リリースノート
データレプリケーションの暗号化
変更を提案
-
このドキュメント ページのPDF
-
ボリューム管理
-
CLI を使用した論理ストレージ管理
-
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
-
SMB を使用したファイルアクセスの管理
-
-
-
セキュリティとデータ暗号化
-
PDF版ドキュメントのセット
Creating your file...
保存データの暗号化を補うために、SnapMirror、SnapVault、またはFlexCacheの事前共有キーを使用して、TLS 1.2を使用してクラスタ間のONTAPデータレプリケーショントラフィックを暗号化できます。
ディザスタリカバリ、キャッシュ、またはバックアップのためにデータをレプリケートする場合は、ONTAPクラスタ間でネットワークを介して転送するときに、そのデータを保護する必要があります。これにより、転送中の機密データに対する悪意のある中間者攻撃を防ぐことができます。
ONTAP 9.6以降では、クラスタピアリング暗号化によって、SnapMirror、SnapVault、FlexCacheなどのONTAPデータレプリケーション機能でTLS 1.2 AES-256 GCM暗号化がサポートされます。暗号化は、2つのクラスタピア間で事前共有キー(PSK)を使用してセットアップされます。
NSE、NVE、NAEなどのテクノロジを使用して保存データを保護している場合は、ONTAP 9.6以降にアップグレードしてクラスタ ピアリング暗号化を使用すると、エンドツーエンドのデータ暗号化も実装できます。
クラスタ ピアリング暗号化では、クラスタ ピア間のすべてのデータが暗号化されます。たとえば、SnapMirrorを使用している場合、ソース クラスタとデスティネーション クラスタのピア間のすべてのピアリング情報とすべてのSnapMirror関係が暗号化されます。クラスタ ピアリング暗号化が有効な場合、クラスタ ピア間でクリアテキストのデータを送信することはできません。
ONTAP 9.6以降では、新しいクラスタピア関係で暗号化がデフォルトで有効になっています。ONTAP 9.6より前に作成されたクラスタピア関係で暗号化を有効にするには、ソースクラスタとデスティネーションクラスタを9.6にアップグレードする必要があります。また、コマンドを使用して、クラスタピアリング暗号化を使用するようにソースとデスティネーション両方のクラスタピアを変更する必要があり cluster peer modify ます。
次の例に示すように、ONTAP 9.6でクラスタピアリング暗号化を使用するように既存のピア関係を変換できます。
On the Destination Cluster Peer cluster2::> cluster peer modify cluster1 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk When prompted enter a passphrase. On the Source Cluster Peer cluster1::> cluster peer modify cluster2 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk When prompted enter the same passphrase you created in the previous step.