日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

StorageGRID の暗号化方式を確認します

寄稿者

StorageGRID には、データを暗号化するためのさまざまなオプションがあります。使用可能な方法を確認して、データ保護の要件を満たす方法を決定する必要があります。

次の表に、 StorageGRID で使用できる暗号化方式の概要を示します。

暗号化オプション 動作の仕組み 環境

Grid Manager からキー管理サーバ( KMS )を取得します

StorageGRID サイト用のキー管理サーバ( * configuration * > * Security * > * Key management server * )を設定し、アプライアンスでノード暗号化を有効にします。次に、アプライアンスノードが KMS に接続して、 Key Encryption Key ( KEK ;キー暗号化キー)を要求します。このキーは、各ボリュームのデータ暗号化キー( DEK )を暗号化および復号化します。

インストール中にノード暗号化 * が有効になっているアプライアンスノード。アプライアンスのすべてのデータは、物理的な損失やデータセンターからの削除から保護されます。一部の StorageGRID ストレージおよびサービスアプライアンスで使用できます。

SANtricity System Manager のドライブセキュリティ

ストレージアプライアンスでドライブセキュリティ機能が有効になっている場合は、 SANtricity System Manager を使用してセキュリティキーを作成および管理できます。このキーは、セキュリティ保護されたドライブ上のデータにアクセスするために必要です。

Full Disk Encryption ( FDE )ドライブまたは連邦情報処理標準( FIPS )ドライブが搭載されたストレージアプライアンス。セキュリティ保護されたドライブ上のデータは、すべて物理的な損失やデータセンターからの削除から保護されます。一部のストレージアプライアンスまたはサービスアプライアンスでは使用できません。

格納オブジェクトの暗号化グリッドオプション

格納オブジェクトの暗号化 * オプションは Grid Manager で有効にできます( * configuration * > * System * > * Grid options * )。有効にすると、バケットレベルまたはオブジェクトレベルで暗号化されていない新しいオブジェクトは取り込み時に暗号化されます。

新たに取り込まれた S3 および Swift オブジェクトデータ。

既存の格納オブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。

S3 バケットの暗号化

バケットの暗号化を有効にするには、 PUT Bucket 暗号化要求を問題 に設定します。オブジェクトレベルで暗号化されていない新しいオブジェクトは取り込み時に暗号化されます。

新たに取り込まれた S3 オブジェクトデータのみ。

バケットに対して暗号化を指定する必要があります。既存のバケットオブジェクトは暗号化されません。オブジェクトメタデータやその他の機密データは暗号化されません。

S3 オブジェクトのサーバ側の暗号化( SSE )

オブジェクトを格納する S3 要求を問題 に設定し、「 x-amz-server-side-encryption 」要求ヘッダーを追加します。

新たに取り込まれた S3 オブジェクトデータのみ。

オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。

キーは StorageGRID で管理されます。

ユーザ指定のキーによる S3 オブジェクトのサーバ側暗号化( SSE-C )

オブジェクトを格納する S3 要求を問題 し、 3 つの要求ヘッダーを含めます。

  • 「 x-amz-server-side-encryption-customer-algorithm 」を実行します

  • 「 x-amz-server-side-encryption-customer-key 」

  • 「 x-amz-server-side-encryption-customer-key-MD5 」

新たに取り込まれた S3 オブジェクトデータのみ。

オブジェクトに対して暗号化を指定する必要があります。オブジェクトメタデータやその他の機密データは暗号化されません。

キーは StorageGRID の外部で管理されます。

外部ボリュームまたはデータストアの暗号化

導入プラットフォームで暗号化がサポートされている場合は、 StorageGRID の外部の暗号化方式を使用して、ボリュームまたはデータストア全体を暗号化できます。

すべてのボリュームまたはデータストアが暗号化されていることを前提として、すべてのオブジェクトデータ、メタデータ、およびシステム構成データ。

外部暗号化方式を使用すると、暗号化アルゴリズムと暗号キーを厳密に制御できます。は、記載されている他の方法と組み合わせることができます。

StorageGRID の外部でのオブジェクトの暗号化

StorageGRID に取り込まれる前にオブジェクトデータとメタデータを暗号化するには、 StorageGRID の外部の暗号化メソッドを使用します。

オブジェクトデータとメタデータのみ(システム設定データは暗号化されません)。

外部暗号化方式を使用すると、暗号化アルゴリズムと暗号キーを厳密に制御できます。は、記載されている他の方法と組み合わせることができます。

複数の暗号化方式を使用します

要件に応じて、一度に複数の暗号化方式を使用できます。例:

  • KMS を使用してアプライアンスノードを保護したり、 SANtricity システムマネージャのドライブセキュリティ機能を使用して、同じアプライアンス内の自己暗号化ドライブ上のデータを「二重に暗号化」することもできます。

  • KMS を使用してアプライアンスノード上のデータを保護したり、格納されているオブジェクト暗号化グリッドオプションを使用してすべてのオブジェクトを取り込み時に暗号化することもできます。

暗号化を必要とするオブジェクトがごく一部しかない場合は、暗号化をバケットレベルまたは個々のオブジェクトレベルで制御することを検討してください。複数レベルの暗号化を有効にすると、パフォーマンスコストが増加します。