Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

IPSec転送中データの暗号化

共同作成者

データレプリケーショントラフィックにNetApp Storage Encryption(NSE)やNetApp Volume Encryption(NVE)やクラスタピアリング暗号化(CPE)などの保存データ暗号化テクノロジを使用しているお客様は、ONTAP 9.8以降にアップグレードして次を使用することで、ハイブリッドマルチクラウドデータファブリック全体でクライアントとストレージの間でエンドツーエンドの暗号化を使用できるようになりました。 IPSec:IPSecは、NFS暗号化またはSMB / CIFS暗号化の代替手段であり、iSCSIトラフィックの唯一の転送中暗号化オプションです。

状況によっては、ネットワークを介してONTAP SVMに転送される(または転送中の)すべてのクライアントデータの保護が必要になることがあります。これにより、転送中の機密データに対するリプレイや悪意のある中間者攻撃を防ぐことができます。

ONTAP 9.8以降では、インターネットプロトコルセキュリティ(IPsec)で、クライアントとONTAP SVMの間のすべてのIPトラフィックをエンドツーエンドで暗号化できます。すべての IP トラフィックの IPSec データ暗号化には、 NFS 、 iSCSI 、 SMB/CIFS の各プロトコルが含まれます。IPSecは、iSCSIトラフィックに対して唯一の転送中暗号化オプションを提供します。

ネットワークを介したNFS暗号化は、IPsecの主なユースケースの1つです。ONTAP 9.8より前のバージョンでは、ネットワーク上でのNFS暗号化では、krb5pを使用して転送中のNFSデータを暗号化するためにKerberosのセットアップと設定が必要でした。これは、すべてのお客様の環境で、必ずしも簡単ではありません。

データレプリケーショントラフィックにNetApp Storage Encryption(NSE)やNetApp Volume Encryption(NVE)やクラスタピアリング暗号化(CPE)などの保存データ暗号化テクノロジを使用しているお客様は、ONTAP 9.8以降にアップグレードして次を使用することで、ハイブリッドマルチクラウドデータファブリック全体でクライアントとストレージの間でエンドツーエンドの暗号化を使用できるようになりました。 IPSec:

IPSecはIETF標準です。ONTAPはトランスポートモードでIPsecを使用します。また、Internet Key Exchange(IKE;インターネットキー交換)プロトコルバージョン2も利用します。IKEプロトコルバージョン2では、事前共有キー(PSK)を使用して、クライアントとONTAP間でIPv4またはIPv6のいずれかでキー素材をネゴシエートします。デフォルトでは、IPsecはSuite-B AES-GCM 256ビット暗号化を使用します。Suite-B AES-GMAC256およびAES-CBC256(256ビット暗号化)もサポートされています。

IPSec機能はクラスタで有効にする必要がありますが、Security Policy Database(SPD;セキュリティポリシーデータベース)エントリを使用して個 々 のSVMのIPアドレスに適用されます。ポリシー(SPD)エントリには、クライアントIPアドレス(リモートIPサブネット)、SVM IPアドレス(ローカルIPサブネット)、使用する暗号スイート、およびIKEv2を介した認証とIPsec接続の確立に必要な事前共有シークレット(PSK)が含まれます。IPsecポリシーエントリに加えて、トラフィックがIPsec接続を通過する前に、クライアントに同じ情報(ローカルおよびリモートIP、PSK、および暗号スイート)を設定する必要があります。ONTAP 9.10.1以降では、IPsec証明書認証のサポートが追加されています。これにより、IPsecポリシーの制限がなくなり、Windows OSでIPsecがサポートされるようになります。

クライアントとSVMのIPアドレスの間にファイアウォールがある場合は、IKEv2ネゴシエーションが成功し、IPsecトラフィックが許可されるように、ESPおよびUDP(ポート500および4500)プロトコル(インバウンド(入力)とアウトバウンド(出力)の両方)を許可する必要があります。

NetApp SnapMirrorおよびクラスタピアリングトラフィックの暗号化では、引き続きIPSecよりもクラスタピアリング暗号化(CPE)が推奨され、ネットワークを介してセキュアに転送されます。CPEは、IPsecよりもこれらのワークロードに対して優れたパフォーマンスを発揮します。IPsecのライセンスは必要ありません。また、輸出入に関する制限もありません。

次の例に示すように、クラスタでIPSecを有効にし、単一のクライアントおよび単一のSVM IPアドレスに対してSPDエントリを作成できます。

On the Destination Cluster Peer

cluster1::> security ipsec config modify -is-enabled true

cluster1::> security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32

When prompted enter and confirm the pre shared secret (PSK).