Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

データレプリケーションの暗号化

共同作成者

保存データの暗号化を補うために、SnapMirror、SnapVault、またはFlexCacheの事前共有キーを使用して、TLS 1.2を使用してクラスタ間のONTAPデータレプリケーショントラフィックを暗号化できます。

ディザスタリカバリ、キャッシュ、またはバックアップのためにデータをレプリケートする場合は、ONTAPクラスタ間でネットワークを介して転送するときに、そのデータを保護する必要があります。これにより、転送中の機密データに対する悪意のある中間者攻撃を防ぐことができます。

ONTAP 9.6以降では、クラスタピアリング暗号化によって、SnapMirror、SnapVault、FlexCacheなどのONTAPデータレプリケーション機能でTLS 1.2 AES-256 GCM暗号化がサポートされます。暗号化は、2つのクラスタピア間で事前共有キー(PSK)を使用してセットアップされます。

NSE、NVE、NAEなどのテクノロジを使用して保存データを保護している場合は、ONTAP 9.6以降にアップグレードしてクラスタ ピアリング暗号化を使用すると、エンドツーエンドのデータ暗号化も実装できます。

クラスタ ピアリング暗号化では、クラスタ ピア間のすべてのデータが暗号化されます。たとえば、SnapMirrorを使用している場合、ソース クラスタとデスティネーション クラスタのピア間のすべてのピアリング情報とすべてのSnapMirror関係が暗号化されます。クラスタ ピアリング暗号化が有効な場合、クラスタ ピア間でクリアテキストのデータを送信することはできません。

ONTAP 9.6以降では、新しいクラスタピア関係で暗号化がデフォルトで有効になっています。ONTAP 9.6より前に作成されたクラスタピア関係で暗号化を有効にするには、ソースクラスタとデスティネーションクラスタを9.6にアップグレードする必要があります。また、コマンドを使用して、クラスタピアリング暗号化を使用するようにソースとデスティネーション両方のクラスタピアを変更する必要があり cluster peer modify ます。

次の例に示すように、ONTAP 9.6でクラスタピアリング暗号化を使用するように既存のピア関係を変換できます。

On the Destination Cluster Peer

cluster2::> cluster peer modify cluster1 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter a passphrase.

On the Source Cluster Peer

cluster1::> cluster peer modify cluster2 -auth-status-admin use-authentication -encryption-protocol-proposed tls-psk

When prompted enter the same passphrase you created in the previous step.