Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

IPセキュリティを使用する準備

共同作成者

ONTAP 9 .8以降では、IPセキュリティ(IPsec)を使用してネットワークトラフィックを保護するオプションが用意されています。IPSecは、ONTAPで使用できる複数の転送中データ暗号化または転送中データ暗号化オプションの1つです。本番環境でIPSecを使用する前に、IPSecを設定する準備をしておく必要があります。

ONTAPでのIPセキュリティの実装

IPsecは、IETFによって維持されているインターネット標準です。IPレベルでネットワークエンドポイント間を流れるトラフィックに対して、データの暗号化と整合性、および認証を提供します。

ONTAPでは、ONTAPとさまざまなクライアント(NFS、SMB、iSCSIプロトコルを含む)の間のすべてのIPトラフィックがIPsecによって保護されます。プライバシーとデータの整合性に加えて、ネットワークトラフィックはリプレイ攻撃や中間者攻撃などのいくつかの攻撃から保護されます。ONTAPでは、IPsecトランスポートモードの実装が使用されます。Internet Key Exchange(IKE;インターネットキーエクスチェンジ)プロトコルバージョン2を利用して、IPv4またはIPv6を使用してONTAPとクライアント間でキーマテリアルをネゴシエートします。

クラスタでIPSec機能を有効にすると、ネットワークでは、ONTAPセキュリティポリシーデータベース(SPD)にさまざまなトラフィック特性に一致するエントリが1つ以上必要になります。これらのエントリは、データの処理と送信に必要な特定の保護の詳細(暗号スイート、認証方式など)にマッピングされます。各クライアントには、対応するSPDエントリも必要です。

トラフィックの種類によっては、別の転送中データ暗号化オプションを使用することをお勧めします。たとえば、NetApp SnapMirrorおよびクラスタピアリングトラフィックの暗号化には、一般に、IPsecではなくTransport Layer Security(TLS)プロトコルが推奨されます。これは、ほとんどの状況でTLSの方がパフォーマンスが向上するためです。

ONTAP IPsec実装の進化

IPsecは最初にONTAP 9で導入されました。8.実装は、次のように進化し、改善され続けています。

メモ 特定のONTAPリリース以降に導入された機能は、特に記載がないかぎり、以降のリリースでもサポートされます。
ONTAP 9 .16.1

暗号化や整合性チェックなどの暗号化処理のいくつかは、サポートされているNICカードにオフロードできます。詳細については、を参照してください IPSecハードウェアオフロード機能

ONTAP 9 12.1

IPSecフロントエンド・ホスト・プロトコルは、MetroCluster IPおよびMetroClusterファブリック接続構成でサポートされます。MetroClusterクラスタで提供されるIPSecのサポートはフロントエンドホストトラフィックに限定され、MetroClusterクラスタ間LIFではサポートされません。

ONTAP 9 10.1

証明書は、事前共有キー(PSK)に加えて、IPsec認証にも使用できます。PSK .10.1より前のONTAP 9バージョンでは、PSKのみが認証でサポートされていました。

ONTAP 9 .9.1

IPsecで使用される暗号化アルゴリズムはFIPS 140-2に準拠しています。これらのアルゴリズムは、ONTAPのNetApp暗号モジュールによって処理され、FIPS 140-2の検証が行われます。

ONTAP 9.8

IPsecのサポートは、最初はトランスポートモードの実装に基づいて利用可能になります。

IPSecハードウェアオフロード機能

ONTAP 9 .16.1以降を使用している場合は、暗号化や整合性チェックなど、計算負荷の高い特定の処理を、ストレージノードに取り付けられたNetwork Interface Controller(NIC;ネットワークインターフェイスコントローラ)カードにオフロードすることができます。このハードウェアオフロードオプションを使用すると、IPsecで保護されるネットワークトラフィックのパフォーマンスとスループットが大幅に向上します。

要件と推奨事項

IPsecハードウェアオフロード機能を使用する前に、いくつかの要件を考慮する必要があります。

サポートされるイーサネットカード

ストレージノードに取り付けて使用する必要があるのは、サポートされているイーサネットカードだけです。ONTAP 9 .16.1では、次のイーサネットカードがサポートされています。

  • X50131A(2p、40G/100G/200G/400GイーサネットコントローラCX7)

  • X60243A(4p、10G/25GイーサネットコントローラCX7)

クラスタスコープ

IPSecハードウェアオフロード機能は、クラスタに対してグローバルに設定されます。たとえば、コマンドは `security ipsec config`クラスタ内のすべてのノードに適用されます。

一貫した構成

サポートされているNICカードがクラスタ内のすべてのノードに取り付けられている必要があります。サポートされているNICカードが一部のノードでしか使用できない場合、オフロードに対応したNICで一部のLIFがホストされていないと、フェイルオーバー後にパフォーマンスが大幅に低下することがあります。

アンチリプレイを無効にする

IPsecアンチリプレイ保護は、ONTAP(デフォルト設定)およびIPsecクライアントでディセーブルにする必要があります。ディセーブルにしない場合、フラグメンテーションおよびマルチパス(冗長ルート)はサポートされません。

制限事項

IPsecハードウェアオフロード機能を使用する前に、いくつかの制限事項を考慮する必要があります。

IPv6

IPバージョン6は、IPsecハードウェアオフロード機能ではサポートされていません。IPv6は、IPsecソフトウェア実装でのみサポートされます。

拡張シーケンス番号

IPSec拡張シーケンス番号は、ハードウェアオフロード機能ではサポートされていません。通常の32ビットシーケンス番号のみが使用されます。

リンクアグリゲーション

IPSecハードウェアオフロード機能では、リンクアグリゲーションはサポートされません。そのため、ONTAP CLIのコマンドで管理するインターフェイスまたはリンクアグリゲーショングループでは使用できません network port ifgrp

ONTAP CLIでの設定のサポート

ONTAP 9 .16.1では、次に説明するように、3つの既存のCLIコマンドが更新され、IPSecハードウェアオフロード機能がサポートされています。詳細については、も参照してください"ONTAPでのIPセキュリティの設定"

ONTAPコマンド 更新

security ipsec config show

ブーリアンパラメータは Offload Enabled、現在のNICオフロードステータスを示します。

security ipsec config modify

パラメータを `is-offload-enabled`使用して、NICオフロード機能を有効または無効にできます。

security ipsec config show-ipsecsa

インバウンドおよびアウトバウンドトラフィックをバイトおよびパケット単位で表示するために、4つの新しいカウンタが追加されました。

ONTAP REST APIでの設定のサポート

ONTAP 9 .16.1では、次に説明するように、2つの既存のREST APIエンドポイントが更新され、IPsecハードウェアオフロード機能がサポートされます。

RESTエンドポイント 更新

/api/security/ipsec

パラメータ `offload_enabled`が追加され、PATCHメソッドで使用できるようになりました。

/api/security/ipsec/security_association

オフロード機能で処理された総バイト数とパケット数を追跡するために、2つの新しいカウンタ値が追加されました。

を含むONTAP REST APIの詳細については、ONTAP自動化に関するドキュメントを参照し "ONTAP REST APIの新機能"てください。の詳細については、ONTAP自動化に関するドキュメントも参照して "IPSecエンドポイント"ください。