Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ネットアップのハードウェアベースの暗号化の概要を設定

共同作成者

ネットアップのハードウェアベースの暗号化は、データ書き込み時の Full Disk Encryption ( FDE )をサポートします。ファームウェアに格納された暗号化キーがないとデータを読み取ることはできません。暗号化キーには認証されたノードからしかアクセスできません。

ネットアップのハードウェアベースの暗号化について理解する

ノードは、外部キー管理サーバまたはオンボードキーマネージャから取得した認証キーを使用して自己暗号化ドライブへの認証を行います。

  • 外部キー管理サーバはストレージ環境に配置されたサードパーティのシステムで、 Key Management Interoperability Protocol ( KMIP )を使用してノードにキーを提供します。外部キー管理サーバは、データとは別のストレージシステムで設定することを推奨します。

  • オンボードキーマネージャは組み込みのツールで、データと同じストレージシステムからノードに認証キーを提供します。

NetApp Volume Encryption をハードウェアベースの暗号化とともに使用すると、自己暗号化ドライブのデータを「暗号化」できます。

自己暗号化ドライブが有効な場合は、コアダンプも暗号化されます。

メモ HA ペアが SAS ドライブまたは NVMe ドライブ( SED 、 NSE 、 FIPS )の暗号化を使用している場合は、トピックの手順に従う必要があります FIPS ドライブまたは SED を非保護モードに戻します システムを初期化する前の HA ペア内のすべてのドライブ(ブートオプション 4 または 9 )。そうしないと、ドライブを転用した場合にデータが失われる可能性があります。

サポートされている自己暗号化ドライブのタイプ

2種類の自己暗号化ドライブがサポートされています。

  • すべての FAS システムおよび AFF システムで、自己暗号化機能を備えた FIPS 認定の SAS ドライブまたは NVMe ドライブがサポートされます。これらのドライブは _FIPS ドライブと呼ばれ、 Federal Information Processing Standard Publication 140-2 レベル 2 の要件に準拠しています。認定された機能により、ドライブに対する DoS 攻撃を防止するなど、暗号化に加えて保護が可能になります。FIPS ドライブは、同じノードまたは HA ペアで他のタイプのドライブと混在させることはできません。

  • ONTAP 9.6以降では、AFF A800、A320、およびそれ以降のシステムで、FIPSのテストを実施していない自己暗号化NVMeドライブがサポートされます。これらのドライブは_SED _と呼ばれ、FIPSドライブと同じ暗号化機能を提供しますが、同じノードまたはHAペアで非暗号化ドライブと混在させることもできます。

  • すべてのFIPS検証済みドライブは、FIPS検証に合格したファームウェア暗号化モジュールを使用します。 FIPSドライブ暗号化モジュールは、ドライブの外部で生成されたキーを使用しません(ドライブに入力された認証パスフレーズは、ドライブのファームウェア暗号化モジュールでキー暗号化キーの取得に使用されます)。

メモ 非暗号化ドライブとは、SEDやFIPSドライブではないドライブです。
メモ Flash Cacheモジュールを搭載したシステムでNSEを使用する場合は、NVEまたはNAEも有効にする必要があります。NSEは、Flash Cacheモジュール上のデータを暗号化しません。

外部キー管理を使用する状況

オンボードキーマネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合は外部キー管理を使用することを推奨します。

  • 組織のポリシーには、FIPS 140-2レベル2以上の暗号化モジュールを使用するキー管理解決策 が必要です。

  • 暗号化キーを一元管理するマルチクラスタ解決策が必要です。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

サポートの詳細

次の表に、重要なハードウェア暗号化のサポートの詳細を示します。サポートされている KMIP サーバ、ストレージシステム、ディスクシェルフの最新情報については、 Interoperability Matrix を参照してください。

リソースまたは機能

サポートの詳細

異なるタイプのディスクの混在

  • FIPS ドライブは、同じノードまたは HA ペアで他のタイプのドライブと混在させることはできません。準拠した HA ペアと準拠していない HA ペアを同じクラスタに共存させることは可能です。

  • SEDは、同じノードまたはHAペアで暗号化されていないドライブと混在させることができます。

ドライブタイプ

  • FIPS ドライブには、 SAS ドライブまたは NVMe ドライブを使用できます。

  • SED は NVMe ドライブである必要があります。

10Gb ネットワークインターフェイス

ONTAP 9.3 以降では、 KMIP を使用したキー管理の設定で外部キー管理サーバとの通信に 10Gb ネットワークインターフェイスがサポートされます。

キー管理サーバとの通信に使用するポートを指定します

ONTAP 9.3 以降では、任意のストレージコントローラポートを使用してキー管理サーバと通信できます。それ以外の場合は、キー管理サーバとの通信にポートe0mを使用する必要があります。ストレージコントローラのモデルによっては、ブートプロセス時に一部のネットワークインターフェイスをキー管理サーバとの通信に使用できない場合があります。

MetroCluster ( MCC )

  • NVMe ドライブでは MCC がサポートされます。

  • SAS ドライブでは MCC がサポートされません。

ハードウェアベースの暗号化のワークフロー

自己暗号化ドライブに対してクラスタを認証するには、キー管理サービスを設定する必要があります。外部キー管理サーバまたはオンボードキーマネージャを使用できます。

ハードウェアベースの暗号化のワークフロー