Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAP ハードウェアベース暗号化について学ぶ

共同作成者 netapp-ahibbard netapp-aoife netapp-aherbin netapp-bhouser netapp-mwallis matt-shelley netapp-thomi
PDF

NetAppのハードウェアベースの暗号化は、データ書き込み時のFull Disk Encryption(FDE)をサポートします。ファームウェアに格納された暗号化キーがないとデータを読み取ることはできず、その暗号化キーには認証されたノードからしかアクセスできません。

NetAppのハードウェアベースの暗号化について

ノードは、外部キー管理サーバまたはオンボード キー マネージャから取得した認証キーを使用して自己暗号化ドライブへの認証を行います。

  • 外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、Key Management Interoperability Protocol(KMIP)を使用してノードにキーを提供します。外部キー管理サーバは、データとは別のストレージ システムで設定することを推奨します。

  • オンボード キー マネージャは組み込みのツールで、データと同じストレージ システムからノードに認証キーを提供します。

NetApp Volume Encryptionをハードウェアベースの暗号化と組み合わせて使用すると、自己暗号化ドライブ上のデータを「二重に暗号化」できます。

自己暗号化ドライブを有効にすると、コア ダンプも暗号化されます。

メモ HAペアで暗号化SASまたはNVMeドライブ(SED、NSE、FIPS)を使用している場合は、システムを初期化(ブートオプション4または9)する前に、HAペア内のすべてのドライブについて、FIPSドライブまたはSEDを非保護モードに戻すのトピックの手順に従う必要があります。これを行わないと、ドライブを再利用した場合に将来データが失われる可能性があります。

サポートされている自己暗号化ドライブのタイプ

2種類の自己暗号化ドライブがサポートされています。

  • 自己暗号化FIPS認定SASまたはNVMeドライブは、すべてのFASおよびAFFシステムでサポートされています。これらのドライブは「FIPSドライブ」と呼ばれ、連邦情報処理規格(FIPS)140-2レベル2の要件に準拠しています。認定機能により、暗号化に加えて、ドライブへのサービス拒否攻撃の防止など、保護機能も有効になります。FIPSドライブは、同じノードまたはHAペア上で他のタイプのドライブと混在させることはできません。

  • ONTAP 9.6以降、AFF A800、A320、およびそれ以降のシステムでは、FIPSテストを受けていない自己暗号化NVMeドライブがサポートされます。これらのドライブは_SED_と呼ばれ、FIPSドライブと同じ暗号化機能を提供しますが、同じノードまたはHAペアで非暗号化ドライブと混在させることができます。

  • すべてのFIPS準拠ドライブは、FIPS認定を受けたファームウェア暗号化モジュールを使用します。FIPSドライブの暗号化モジュールは、ドライブの外部で生成されたキーを使用しません(ドライブに入力された認証パスフレーズを使用してキー暗号化キーを取得します)。

メモ 非暗号化ドライブとは、SEDでもFIPSでもないドライブです。
メモ Flash Cacheモジュールを搭載したシステムでNSEを使用する場合は、NVEまたはNAEも有効にする必要があります。NSEでは、Flash Cacheモジュール上のデータは暗号化されません。

外部キー管理を使用する状況

オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合は外部キー管理を使用する必要があります。

  • 組織のポリシーで、FIPS 140-2レベル2(以上)の暗号化モジュールを使用するキー管理ソリューションが求められる場合。

  • 暗号化キーを一元管理するマルチクラスタ ソリューションが必要な場合。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

サポートの詳細

次の表に、重要なハードウェア暗号化のサポートの詳細を示します。サポート対象のKMIPサーバ、ストレージ システム、ディスク シェルフの最新情報については、Interoperability Matrixを参照してください。

リソースまたは機能

サポートの詳細

異なるタイプのディスクの混在

  • FIPSドライブは、同じノードまたはHAペアで他のタイプのドライブと混在させることはできません。準拠したHAペアと準拠していないHAペアを同じクラスタに共存させることは可能です。

  • SEDは、同じノードまたはHAペアで非暗号化ドライブと混在させることができます。

ドライブ タイプ

  • FIPSドライブには、SASドライブまたはNVMeドライブを使用できます。

  • SEDは、NVMeドライブである必要があります。

10Gbネットワーク インターフェイス

ONTAP 9.3以降では、KMIPを使用したキー管理の設定で外部キー管理サーバとの通信に10Gbネットワーク インターフェイスがサポートされます。

キー管理サーバとの通信用のポート

ONTAP 9.3以降では、任意のストレージ コントローラ ポートを使用してキー管理サーバと通信できます。それ以外の場合は、キー管理サーバとの通信にポートe0Mを使用する必要があります。ストレージ コントローラのモデルによっては、ブート プロセス時に一部のネットワーク インターフェイスをキー管理サーバとの通信に使用できない場合があります。

MetroCluster(MCC)

  • NVMeドライブではMCCがサポートされます。

  • SASドライブではMCCがサポートされません。

ハードウェアベースの暗号化のワークフロー

自己暗号化ドライブに対してクラスタを認証するには、キー管理サービスを設定する必要があります。外部キー管理サーバまたはオンボード キー マネージャを使用できます。

ハードウェアベースの暗号化のワークフロー

関連情報