IPセキュリティを使用する準備
ONTAP 9 .8以降では、IPセキュリティ(IPsec)を使用してネットワークトラフィックを保護するオプションが用意されています。IPSecは、ONTAPで使用できる複数の転送中データ暗号化または転送中データ暗号化オプションの1つです。本番環境でIPSecを使用する前に、IPSecを設定する準備をしておく必要があります。
ONTAPでのIPセキュリティの実装
IPsecは、IETFによって維持されているインターネット標準です。IPレベルでネットワークエンドポイント間を流れるトラフィックに対して、データの暗号化と整合性、および認証を提供します。
ONTAPでは、ONTAPとさまざまなクライアント(NFS、SMB、iSCSIプロトコルを含む)の間のすべてのIPトラフィックがIPsecによって保護されます。プライバシーとデータの整合性に加えて、ネットワークトラフィックはリプレイ攻撃や中間者攻撃などのいくつかの攻撃から保護されます。ONTAPでは、IPsecトランスポートモードの実装が使用されます。Internet Key Exchange(IKE;インターネットキーエクスチェンジ)プロトコルバージョン2を利用して、IPv4またはIPv6を使用してONTAPとクライアント間でキーマテリアルをネゴシエートします。
クラスタでIPSec機能を有効にすると、ネットワークでは、ONTAPセキュリティポリシーデータベース(SPD)にさまざまなトラフィック特性に一致するエントリが1つ以上必要になります。これらのエントリは、データの処理と送信に必要な特定の保護の詳細(暗号スイート、認証方式など)にマッピングされます。各クライアントには、対応するSPDエントリも必要です。
トラフィックの種類によっては、別の転送中データ暗号化オプションを使用することをお勧めします。たとえば、NetApp SnapMirrorおよびクラスタピアリングトラフィックの暗号化には、一般に、IPsecではなくTransport Layer Security(TLS)プロトコルが推奨されます。これは、ほとんどの状況でTLSの方がパフォーマンスが向上するためです。
ONTAP IPsec実装の進化
IPsecは最初にONTAP 9で導入されました。8.実装は、次のように進化し、改善され続けています。
特定のONTAPリリース以降に導入された機能は、特に記載がないかぎり、以降のリリースでもサポートされます。 |
暗号化や整合性チェックなどの暗号化処理のいくつかは、サポートされているNICカードにオフロードできます。詳細については、を参照してください IPSecハードウェアオフロード機能 。
IPSecフロントエンド・ホスト・プロトコルは、MetroCluster IPおよびMetroClusterファブリック接続構成でサポートされます。MetroClusterクラスタで提供されるIPSecのサポートはフロントエンドホストトラフィックに限定され、MetroClusterクラスタ間LIFではサポートされません。
証明書は、事前共有キー(PSK)に加えて、IPsec認証にも使用できます。PSK .10.1より前のONTAP 9バージョンでは、PSKのみが認証でサポートされていました。
IPsecで使用される暗号化アルゴリズムはFIPS 140-2に準拠しています。これらのアルゴリズムは、ONTAPのNetApp暗号モジュールによって処理され、FIPS 140-2の検証が行われます。
IPsecのサポートは、最初はトランスポートモードの実装に基づいて利用可能になります。
IPSecハードウェアオフロード機能
ONTAP 9 .16.1以降を使用している場合は、暗号化や整合性チェックなど、計算負荷の高い特定の処理を、ストレージノードに取り付けられたNetwork Interface Controller(NIC;ネットワークインターフェイスコントローラ)カードにオフロードすることができます。このハードウェアオフロードオプションを使用すると、IPsecで保護されるネットワークトラフィックのパフォーマンスとスループットが大幅に向上します。
要件と推奨事項
IPsecハードウェアオフロード機能を使用する前に、いくつかの要件を考慮する必要があります。
ストレージノードに取り付けて使用する必要があるのは、サポートされているイーサネットカードだけです。ONTAP 9 .16.1では、次のイーサネットカードがサポートされています。
-
X50131A(2p、40G/100G/200G/400GイーサネットコントローラCX7)
-
X60243A(4p、10G/25GイーサネットコントローラCX7)
IPSecハードウェアオフロード機能は、クラスタに対してグローバルに設定されます。たとえば、コマンドは `security ipsec config`クラスタ内のすべてのノードに適用されます。
サポートされているNICカードがクラスタ内のすべてのノードに取り付けられている必要があります。サポートされているNICカードが一部のノードでしか使用できない場合、オフロードに対応したNICで一部のLIFがホストされていないと、フェイルオーバー後にパフォーマンスが大幅に低下することがあります。
IPsecアンチリプレイ保護は、ONTAP(デフォルト設定)およびIPsecクライアントでディセーブルにする必要があります。ディセーブルにしない場合、フラグメンテーションおよびマルチパス(冗長ルート)はサポートされません。
制限事項
IPsecハードウェアオフロード機能を使用する前に、いくつかの制限事項を考慮する必要があります。
IPバージョン6は、IPsecハードウェアオフロード機能ではサポートされていません。IPv6は、IPsecソフトウェア実装でのみサポートされます。
IPSec拡張シーケンス番号は、ハードウェアオフロード機能ではサポートされていません。通常の32ビットシーケンス番号のみが使用されます。
IPSecハードウェアオフロード機能では、リンクアグリゲーションはサポートされません。そのため、ONTAP CLIのコマンドで管理するインターフェイスまたはリンクアグリゲーショングループでは使用できません network port ifgrp
。
ONTAP CLIでの設定のサポート
ONTAP 9 .16.1では、次に説明するように、3つの既存のCLIコマンドが更新され、IPSecハードウェアオフロード機能がサポートされています。詳細については、も参照してください"ONTAPでのIPセキュリティの設定"。
ONTAPコマンド | 更新 |
---|---|
|
ブーリアンパラメータは |
|
パラメータを `is-offload-enabled`使用して、NICオフロード機能を有効または無効にできます。 |
|
インバウンドおよびアウトバウンドトラフィックをバイトおよびパケット単位で表示するために、4つの新しいカウンタが追加されました。 |
ONTAP REST APIでの設定のサポート
ONTAP 9 .16.1では、次に説明するように、2つの既存のREST APIエンドポイントが更新され、IPsecハードウェアオフロード機能がサポートされます。
RESTエンドポイント | 更新 |
---|---|
|
パラメータ `offload_enabled`が追加され、PATCHメソッドで使用できるようになりました。 |
|
オフロード機能で処理された総バイト数とパケット数を追跡するために、2つの新しいカウンタ値が追加されました。 |
を含むONTAP REST APIの詳細については、ONTAP自動化に関するドキュメントを参照し "ONTAP REST APIの新機能"てください。の詳細については、ONTAP自動化に関するドキュメントも参照して "IPSecエンドポイント"ください。