IPsecは、IETFによって維持されているインターネット標準です。IPレベルでネットワークエンドポイント間を流れるトラフィックに対して、データの暗号化と整合性、および認証を提供します。

ONTAPでは、ONTAPとさまざまなクライアント（NFS、SMB、iSCSIプロトコルを含む）の間のすべてのIPトラフィックがIPsecによって保護されます。プライバシーとデータの整合性に加えて、ネットワークトラフィックはリプレイ攻撃や中間者攻撃などのいくつかの攻撃から保護されます。ONTAPでは、IPsecトランスポートモードの実装が使用されます。Internet Key Exchange（IKE;インターネットキーエクスチェンジ）プロトコルバージョン2を利用して、IPv4またはIPv6を使用してONTAPとクライアント間でキーマテリアルをネゴシエートします。

クラスタでIPSec機能を有効にすると、ネットワークでは、ONTAPセキュリティポリシーデータベース（SPD）にさまざまなトラフィック特性に一致するエントリが1つ以上必要になります。これらのエントリは、データの処理と送信に必要な特定の保護の詳細（暗号スイート、認証方式など）にマッピングされます。各クライアントには、対応するSPDエントリも必要です。

トラフィックの種類によっては、別の転送中データ暗号化オプションを使用することをお勧めします。たとえば、NetApp SnapMirrorおよびクラスタピアリングトラフィックの暗号化には、一般に、IPsecではなくTransport Layer Security（TLS）プロトコルが推奨されます。これは、ほとんどの状況でTLSの方がパフォーマンスが向上するためです。

IPsecは最初にONTAP 9で導入されました。8.実装は、次のように進化し、改善され続けています。

暗号化や整合性チェックなどの暗号化処理のいくつかは、サポートされているNICカードにオフロードできます。詳細については、を参照してください IPSecハードウェアオフロード機能 。

IPSecフロントエンド・ホスト・プロトコルは、MetroCluster IPおよびMetroClusterファブリック接続構成でサポートされます。MetroClusterクラスタで提供されるIPSecのサポートはフロントエンドホストトラフィックに限定され、MetroClusterクラスタ間LIFではサポートされません。

証明書は、事前共有キー（PSK）に加えて、IPsec認証にも使用できます。PSK .10.1より前のONTAP 9バージョンでは、PSKのみが認証でサポートされていました。

IPsecで使用される暗号化アルゴリズムはFIPS 140-2に準拠しています。これらのアルゴリズムは、ONTAPのNetApp暗号モジュールによって処理され、FIPS 140-2の検証が行われます。

IPsecのサポートは、最初はトランスポートモードの実装に基づいて利用可能になります。

ONTAP 9 .16.1以降を使用している場合は、暗号化や整合性チェックなど、計算負荷の高い特定の処理を、ストレージノードに取り付けられたNetwork Interface Controller（NIC;ネットワークインターフェイスコントローラ）カードにオフロードすることができます。このハードウェアオフロードオプションを使用すると、IPsecで保護されるネットワークトラフィックのパフォーマンスとスループットが大幅に向上します。