IPsecは、IETFによって管理されるインターネット標準です。ネットワーク エンドポイント間を流れるトラフィックの、IPレベルでのデータ暗号化、データ整合性、認証を実現します。

ONTAPでは、ONTAPとさまざまなクライアントの間のあらゆるIPトラフィック（NFS、SMB、iSCSIプロトコルなど）が、IPsecによって保護されます。プライバシーとデータ整合性を確保するだけでなく、リプレイ攻撃や中間者攻撃などの各種攻撃からネットワーク トラフィックを守ります。ONTAPでは、トランスポート モードのIPsec実装を使用します。IPv4かIPv6を使用してONTAPとクライアントの間でキー マテリアルをネゴシエートするために、Internet Key Exchange（IKE）プロトコル バージョン2を利用します。

クラスタでIPSec機能を有効にすると、さまざまなトラフィック特性に一致するONTAPセキュリティ ポリシー データベース（SPD）のエントリが、ネットワークに1つ以上必要になります。これらのエントリは、データの処理と送信に必要な特定の保護の詳細（暗号スイートや認証方式など）にマッピングされます。各クライアントにも、対応するSPDエントリが必要です。

トラフィックの種類によっては、別の移動中データ暗号化オプションが望ましいものもあります。たとえば、NetApp SnapMirrorとクラスタ ピアリング トラフィックの暗号化については、IPsecではなくTransport Layer Security（TLS）プロトコルが一般的に推奨されます。これは、ほとんどの状況でTLSの方が高いパフォーマンスが得られるためです。

IPsecはONTAP 9.8で初めて導入されました。その実装は、以下に説明するように、その後のONTAPリリースで進化を続けています。

IPsec ハードウェア オフロードのサポートが IPv6 トラフィックに拡張されました。

IPsec ハードウェア オフロードのサポートが"リンク アグリゲーション グループ"に拡張されました。"耐量子事前共有鍵（PPK）"は IPsec 事前共有キー（PSK）認証でサポートされています。

暗号化や整合性チェックなどの暗号化操作の一部は、サポートされているNICカードにオフロードできます。詳細については、IPSecのハードウェア オフロード機能を参照してください。

MetroCluster IP構成とファブリック接続MetroCluster構成で、フロントエンドのホスト プロトコルとしてIPsecがサポートされました。MetroClusterクラスタでのIPsecのサポートはフロントエンドのホスト トラフィックに限定され、MetroClusterのクラスタ間LIFではサポートされません。

IPsec認証には、PSKに加えて証明書も使用できます。ONTAP 9.10.1より前のバージョンでは、認証にはPSKのみがサポートされています。

IPsecで使用される暗号化アルゴリズムが、FIPS 140-2準拠になりました。これらのアルゴリズムは、FIPS 140-2認定を受けたONTAPのNetApp Cryptographic Moduleで処理されています。

IPsecのサポートが、トランスポート モードの実装に基づいて初めて利用可能になりました。

ONTAP 9.16.1以降を使用している場合、暗号化や整合性チェックなど、計算負荷の高い特定の処理を、ストレージ ノードにインストールされたネットワーク インターフェイス コントローラー（NIC）カードにオフロードするオプションがあります。NICカードにオフロードされた処理のスループットは約5%以下です。これにより、IPsecで保護されたネットワーク トラフィックのパフォーマンスとスループットが大幅に向上します。