Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

オプション:ノードまたはドライブの暗号化を有効にする

共同作成者
PDF

ノードレベルおよびディスクレベルで暗号化を有効にすると、アプライアンスのディスクを物理的な損失やサイトからの削除から保護できます。

  • ノード暗号化 ソフトウェア暗号化を使用して、アプライアンス内のすべてのディスクを保護します。特別なドライブハードウェアは必要ありません。ノード暗号化は、アプライアンスソフトウェアによって、外部キー管理サーバ(KMS)で管理されるキーを使用して実行されます。

  • ドライブ暗号化 ハードウェア暗号化を使用して、連邦情報処理標準(FIPS)に準拠したドライブを含め、Full Disk Encryption(FED)ドライブとも呼ばれる自己暗号化ドライブ(SED)を保護します。ドライブの暗号化は、StorageGRIDキー管理ツールで管理される暗号化キーを使用して、各ドライブ内で実行されます。

セキュリティを強化するために、サポートされているドライブで両方の暗号化レベルを実行できます。

StorageGRIDアプライアンスで使用できるすべての暗号化方式については、を参照してください "StorageGRID暗号化方式"

ノード暗号化を有効にします

ノードの暗号化を有効にすると、アプライアンス内のディスクを安全なキー管理サーバ( KMS )暗号化によってサイト内での物理的な損失やデータの削除から保護することができます。アプライアンスのインストール時に、ノード暗号化を選択して有効にする必要があります。KMS暗号化プロセスの開始後は、ノード暗号化を無効にすることはできません。

ConfigBuilderを使用してJSONファイルを生成する場合は、ノード暗号化を自動的に有効にすることができます。を参照してください "アプライアンスのインストールと設定を自動化"

作業を開始する前に

に関する情報を確認します "KMSを設定しています"

このタスクについて

ノード暗号化が有効になっているアプライアンスは、 StorageGRID サイト用に設定されている外部キー管理サーバ( KMS )に接続します。各 KMS (または KMS クラスタ)は、サイトにあるすべてのアプライアンスノードの暗号化キーを管理します。これらのキーは、ノード暗号化が有効なアプライアンスで、各ディスク上のデータを暗号化および復号化します。

Grid Manager StorageGRID では、アプライアンスのインストール前またはインストール後に KMS を設定できます。詳細については、 StorageGRID の管理手順の KMS とアプライアンスの設定に関する情報を参照してください。

  • アプライアンスをインストールする前に KMS を設定すると、 KMS で制御される暗号化が開始されます。この暗号化は、アプライアンスでノード暗号化を有効にし、 KMS が設定されている StorageGRID サイトに追加します。

  • アプライアンスをインストールする前に KMS が設定されていない場合は、 KMS が設定され、アプライアンスノードを含むサイトで利用可能になった時点で、ノード暗号化が有効になっている各アプライアンスで KMS 制御された暗号化が実行されます。

注意 ノード暗号化を有効にしてアプライアンスを設置すると、一時キーが割り当てられます。アプライアンスのデータは、アプライアンスがキー管理システム(KMS)に接続され、KMSセキュリティキーが設定されるまで保護されません。詳細については、を参照してください "KMSアプライアンスの設定の概要"

ディスクの復号化にKMSキーが必要でないと、アプライアンス上のデータを取得できず、実質的に失われます。これは、KMSから復号化キーを取得できない場合に発生します。顧客が KMS 設定をクリアするか、 KMS キーの有効期限が切れるか、 KMS への接続が失われるか、 KMS キーがインストールされている StorageGRID システムからアプライアンスが削除されると、キーにアクセスできなくなります。

手順

  1. ブラウザを開き、アプライアンスのコンピューティングコントローラの IP アドレスのいずれかを入力します。

    https://Controller_IP:8443

    Controller_IP は、3つのStorageGRID ネットワークのいずれかでのコンピューティングコントローラ(ストレージコントローラではない)のIPアドレスです。

    StorageGRID アプライアンスインストーラのホームページが表示されます。

    注意 アプライアンスがKMSキーで暗号化されたあとは、同じKMSキーを使用しないとアプライアンスのディスクを復号化できません。

  2. Configure Hardware * > * Node Encryption * を選択します。

    KMS FDE が有効かどうか

  3. [ ノード暗号化を有効にする *] を選択します。

    アプライアンスをインストールする前に、*[ノード暗号化の有効化]*を選択解除してデータが失われるリスクはありません。インストールを開始すると、アプライアンスノードがStorageGRID システム内のKMS暗号化キーにアクセスし、ディスク暗号化を開始します。アプライアンスの設置後にノード暗号化を無効にすることはできません。

    注意 KMSを使用するStorageGRID サイトにノード暗号化が有効になっているアプライアンスを追加したあとで、そのノードでKMS暗号化の使用を停止することはできません。

  4. [ 保存( Save ) ] を選択します。

  5. アプライアンスを StorageGRID システムのノードとして導入します。

    KMS で制御される暗号化は、アプライアンスが StorageGRID サイト用に設定されている KMS キーにアクセスすると開始されます。KMS 暗号化プロセス中にインストーラによって進捗状況のメッセージが表示されます。この処理には、アプライアンス内のディスクボリュームの数によっては数分かかることがあります。

    メモ アプライアンスは、最初に各ディスクボリュームにランダムな KMS 以外の暗号化キーを割り当てて構成します。ディスクはこの一時的な暗号化キーを使用して暗号化されます。このキーは、ノード暗号化が有効になっているアプライアンスが StorageGRID サイト用に設定されている KMS キーにアクセスするまではセキュリティ保護されません。
完了後

アプライアンスノードがメンテナンスモードのときに使用されているノード暗号化ステータス、 KMS の詳細、および証明書を確認できます。を参照してください "メンテナンスモードでノード暗号化を監視します" を参照してください。

ドライブ暗号化

ドライブ暗号化は、書き込みプロセスと読み取りプロセスの間、自己暗号化ドライブ(SED)ハードウェアで管理されます。これらのドライブ上のデータへのアクセスは、ユーザ定義のパスフレーズによって制御されます。

ドライブ暗号化は、SG100、SG1000、SG110、SG1100、SGF6112、 またはSG6100-CNコンピューティングノードまたはコントローラ。

  • サービスアプライアンスの場合、SSDはノードのルートディスクです。

  • SG6100-CNコントローラでは、SSDをキャッシュに使用します。

  • SGF6112では、SSDがノードのルートディスクであり、オブジェクトデータのプライマリストレージに使用されます。

暗号化されたSEDは、アプライアンスの電源をオフにするか、ドライブをアプライアンスから取り外すと、自動的にロックされます。暗号化されたSEDは、電源が復旧しても正しいパスフレーズが入力されるまでロックされたままです。パスフレーズを手動で再入力せずにドライブにアクセスできるようにするには、パスフレーズがStorageGRIDアプライアンスに保存され、アプライアンスの再起動時にアプライアンスに残っている暗号化ドライブのロックが解除されます。SEDパスフレーズで暗号化されたドライブには、パスフレーズを知っている人なら誰でもアクセスできます。

ドライブ暗号化はSANtricity管理ドライブには適用されません。SEDとSANtricityコントローラを搭載したStorageGRIDアプライアンスを使用している場合は、 "SANtricity システムマネージャ"

Grid Managerをロードする前に、アプライアンスの初回インストール時にドライブ暗号化を有効にすることができます。アプライアンスをメンテナンスモードにして、ノード暗号化を有効にしたり、パスフレーズを変更したりすることもできます。

作業を開始する前に

に関する情報を確認します "StorageGRID暗号化方式"

このタスクについて

パスフレーズは、ドライブ暗号化を最初に有効にしたときに設定されます。コンピューティングノードを交換した場合や暗号化されたSEDを新しいコンピューティングノードに移動した場合は、パスフレーズを手動で再入力する必要があります。

注意 ドライブ暗号化パスフレーズは、安全な場所に保存してください。別のStorageGRIDアプライアンスにインストールされている場合、暗号化されたSEDにアクセスするには、同じパスフレーズを手動で入力する必要があります。

ドライブ暗号化の有効化

  1. StorageGRIDアプライアンスインストーラにアクセスします。

    • アプライアンスの初回インストール時に、ブラウザを開き、アプライアンスのコンピューティングコントローラのいずれかのIPアドレスを入力します。

      https://Controller_IP:8443

    Controller_IP は、3つのStorageGRID ネットワークのいずれかでのコンピューティングコントローラ(ストレージコントローラではない)のIPアドレスです。

  2. StorageGRIDアプライアンスインストーラの[ホーム]ページで、[ハードウェアの設定]>*[ドライブ暗号化]*を選択します。

  3. [ドライブ暗号化を有効にする]*を選択します。

    注意 ドライブ暗号化を有効にしてパスフレーズを設定すると、SEDドライブはハードウェアで暗号化されます。同じパスフレーズを使用しないとドライブの内容にアクセスできません。

  4. [ 保存( Save ) ] を選択します。

    ドライブが暗号化されると、ドライブのパスフレーズ情報が表示されます。

    メモ ドライブが最初に暗号化されると、パスフレーズはデフォルトの空白値に設定され、現在のパスフレーズのテキストは「デフォルト(セキュアではない)」を示します。 このドライブ上のデータは暗号化されていますが、一意のパスフレーズが設定されるまで、パスフレーズを入力せずにアクセスできます。

  5. 暗号化されたドライブアクセス用の一意のパスフレーズを入力し、確認のためにもう一度パスフレーズを入力します。パスフレーズは8文字以上32文字以下にする必要があります。

  6. パスフレーズの再入力に役立つパスフレーズの表示テキストを入力します。

    パスフレーズとパスフレーズの表示テキストは、パスワード管理アプリケーションなどの安全な場所に保存します。

  7. [ 保存( Save ) ] を選択します。

ドライブ暗号化ステータスの表示

  1. "アプライアンスをメンテナンスモードにします"

  2. StorageGRIDアプライアンスインストーラで、[ハードウェアの設定]>*[ドライブ暗号化]*を選択します。

暗号化されたドライブへのアクセス

暗号化されたドライブにアクセスするには、コンピューティングノードの交換後またはドライブを新しいコンピューティングノードに移動したあとにパスフレーズを入力する必要があります。

  1. StorageGRIDアプライアンスインストーラにアクセスします。

    • ブラウザを開き、アプライアンスのコンピューティングコントローラのいずれかのIPアドレスを入力します。

      https://Controller_IP:8443

    Controller_IP は、3つのStorageGRID ネットワークのいずれかでのコンピューティングコントローラ(ストレージコントローラではない)のIPアドレスです。

  2. StorageGRIDアプライアンスインストーラで、警告バナーの*[ドライブ暗号化]*リンクを選択します。

  3. 前の手順で*および[新しいパスフレーズの再入力]*で設定したドライブ暗号化パスフレーズを入力します。

    メモ パスフレーズとパスフレーズの表示テキストに前に入力した値と一致しない値を入力すると、ドライブ認証が失敗します。アプライアンスを再起動し、正しいパスフレーズとパスフレーズの表示テキストを入力する必要があります。

  4. [新しいパスフレーズの表示テキスト]*で前に設定したパスフレーズの表示テキストを入力します。

  5. [ 保存( Save ) ] を選択します。

    ドライブのロックが解除されると、警告バナーは表示されなくなります。

  6. StorageGRIDアプライアンスインストーラのホームページに戻り、[Installation]セクションのバナーで*[Reboot]*を選択してコンピューティングノードを再起動し、暗号化されたドライブにアクセスします。

ドライブ暗号化パスフレーズの変更

  1. StorageGRIDアプライアンスインストーラにアクセスします。

    • ブラウザを開き、アプライアンスのコンピューティングコントローラのいずれかのIPアドレスを入力します。

      https://Controller_IP:8443

    Controller_IP は、3つのStorageGRID ネットワークのいずれかでのコンピューティングコントローラ(ストレージコントローラではない)のIPアドレスです。

  2. StorageGRIDアプライアンスインストーラで、[ハードウェアの設定]>*[ドライブ暗号化]*を選択します。

  3. ドライブアクセス用の新しい一意のパスフレーズを入力し、確認のためにもう一度入力します。パスフレーズは8文字以上32文字以下にする必要があります。

    メモ ドライブ暗号化パスフレーズを変更する前に、ドライブへのアクセスで認証しておく必要があります。

  4. パスフレーズの再入力に役立つパスフレーズの表示テキストを入力します。

  5. [ 保存( Save ) ] を選択します。

    注意 新しいパスフレーズを設定した後、暗号化されたドライブは、新しいパスフレーズとパスフレーズの表示テキストを使用しないと復号化できません。

  6. 新しいパスフレーズとパスフレーズの表示テキストを、パスワード管理アプリケーションなどの安全な場所に保存します。

ドライブ暗号化の無効化

  1. StorageGRIDアプライアンスインストーラにアクセスします。

    • ブラウザを開き、アプライアンスのコンピューティングコントローラのいずれかのIPアドレスを入力します。

      https://Controller_IP:8443

    Controller_IP は、3つのStorageGRID ネットワークのいずれかでのコンピューティングコントローラ(ストレージコントローラではない)のIPアドレスです。

  2. StorageGRIDアプライアンスインストーラで、[ハードウェアの設定]>*[ドライブ暗号化]*を選択します。

  3. *ドライブ暗号化を有効にする*をオフにします。

  4. ドライブ暗号化が無効なときにすべてのドライブデータを消去するには、[ドライブ上のすべてのデータを消去する]を選択します。

    メモ データ消去オプションを使用できるのは、StorageGRIDアプライアンスインストーラからアプライアンスをグリッドに追加する前だけです。メンテナンスモードからStorageGRIDアプライアンスインストーラにアクセスする場合、このオプションにはアクセスできません。

  5. [ 保存( Save ) ] を選択します。

ドライブの内容が暗号化されていないか暗号化によって消去され、暗号化パスフレーズが消去され、パスフレーズなしでSEDにアクセスできるようになります。