스토리지 암호화
디스크 도난, 반환 또는 용도 변경 시 기밀 데이터를 보호하려면 하드웨어 기반 NetApp 스토리지 암호화나 소프트웨어 기반 NetApp 볼륨 암호화/NetApp 애그리게이트 암호화를 사용하십시오. 두 메커니즘 모두 FIPS-140-2 검증을 거쳤으며 소프트웨어 기반 메커니즘과 함께 하드웨어 기반 메커니즘을 사용할 경우 CSfC(Commercial Solutions for Classified) 프로그램에 적합합니다. 하드웨어 및 소프트웨어 계층 모두에서 저장된 비밀 데이터와 주요 기밀 데이터에 대한 보안 보호 기능이 강화됩니다.
유휴 데이터 암호화는 디스크 도난, 반환 또는 용도 변경이 발생할 경우 중요한 데이터를 보호하는 데 중요합니다.
ONTAP 9에는 세 가지 FIPS(Federal Information Processing Standard) 140-2를 준수하는 유휴 데이터 암호화 솔루션이 있습니다.
-
NetApp Storage Encryption(NSE)은 자체 암호화 드라이브를 사용하는 하드웨어 솔루션입니다.
-
NetApp Volume Encryption(NVE)은 각 볼륨의 고유 키를 사용하여 모든 드라이브 유형의 모든 데이터 볼륨을 암호화할 수 있는 소프트웨어 솔루션입니다.
-
NetApp Aggregate Encryption(NAE)은 각 애그리게이트의 고유 키를 사용하여 활성화된 모든 드라이브 유형의 모든 데이터 볼륨을 암호화할 수 있는 소프트웨어 솔루션입니다.
NSE, NVE, NAE는 외부 키 관리 또는 온보드 키 관리자(OKM)를 사용할 수 있습니다. NSE, NVE, NAE를 사용할 경우 ONTAP 스토리지 효율성 기능에 영향을 미치지 않습니다. 하지만, NVE 볼륨은 애그리게이트 중복제거에서 제외됩니다. NAE 볼륨은 애그리게이트 중복제거가 사용되며 이를 통해 더 많은 이점을 누리고 있습니다.
OKM은 NSE, NVE, NAE와 함께 유휴 데이터를 위한 모든 구성요소가 완비된 암호화 솔루션을 제공합니다.
NVE, NAE 및 OKM은 ONTAP CryptoMod를 사용합니다. CryptoMod는 CMVP FIPS 140-2 검증 모듈 목록에 나열되어 있습니다. 을 "FIPS 140-2 인증 #4144"참조하십시오.
OKM 구성을 시작하려면 security key-manager onboard enable
명령을 사용합니다. 외부 키 관리 상호 운용성 프로토콜(KMIP) 키 관리자를 구성하려면 security key-manager external enable
명령을 사용하십시오. ONTAP 9.6부터 멀티 테넌시가 외부 키 관리자를 위해 지원됩니다. 매개 변수를 사용하여 -vserver <vserver name>
특정 SVM에 대한 외부 키 관리를 활성화합니다. 9.6 이전 버전에서는 security key-manager setup
OKM과 외부 키 관리자를 모두 구성하기 위해 명령을 사용했습니다. 온보드 키 관리를 위해 이 구성은 운영자 또는 관리자에게 OKM 구성을 위한 암호 설정과 추가 매개 변수를 안내합니다.
구성의 일부가 다음 예에 나와 있습니다.
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. Enter the following commands at any time "help" or "?" if you want to have a question clarified, "back" if you want to change your answers to previous questions, and "exit" if you want to quit the key manager setup wizard. Any changes you made before typing "exit" will be applied. Restart the key manager setup wizard with "security key-manager setup". To accept a default or omit a question, do not enter a value. Would you like to configure onboard key management? {yes, no} [yes]: Enter the cluster-wide passphrase for onboard key management. To continue the configuration, enter the passphrase, otherwise type "exit": Re-enter the cluster-wide passphrase: After configuring onboard key management, save the encrypted configuration data in a safe location so that you can use it if you need to perform a manual recovery operation. To view the data, use the "security key-manager backup show" command.
ONTAP 9.4부터는 의 true 옵션을 사용하여 재부팅 후 사용자가 암호를 입력하도록 요구할 수 -enable-cc-mode
security key-manager setup
있습니다. ONTAP 9.6 이상에서 명령 구문은 입니다 security key-manager onboard enable -cc-mode-enabled yes
.
ONTAP 9.4부터 고급 권한의 기능을 사용하여 NVE 지원 볼륨에서 데이터를 중단 없이 "스크럽" 할 수 secure-purge
있습니다. 암호화된 볼륨의 데이터를 스크러빙하면 물리적 미디어에서 데이터를 복구할 수 없습니다. 다음 명령을 실행하면 SVM VS1의 vol1에서 삭제된 파일이 안전하게 제거됩니다.
cluster1::> volume encryption secure-purge start -vserver vs1 -volume vol1
ONTAP 9.7부터 VE 라이센스가 설정되어 있고 OKM 또는 외부 키 관리자가 구성되어 있고 NSE가 사용되지 않는 경우 NAE와 NVE가 기본적으로 활성화됩니다. NAE 볼륨은 NAE 애그리게이트에 대해 기본적으로 생성되며, 비 NAE 애그리게이트에 NVE 볼륨이 기본적으로 생성됩니다. 다음 명령을 입력하여 이를 재정의할 수 있습니다.
cluster1::*> options -option-name encryption.data_at_rest_encryption.disable_by_default true
ONTAP 9.6부터 SVM 범위를 사용하여 클러스터에 있는 데이터 SVM에 대한 외부 키 관리를 구성할 수 있습니다. 이는 각 테넌트가 데이터를 제공하기 위해 다른 SVM(또는 SVM 세트)을 사용하는 멀티테넌트 환경에 가장 적합합니다. 지정된 테넌트의 SVM 관리자만 해당 테넌트의 키에 액세스할 수 있습니다. 자세한 내용은 ONTAP 설명서의 을 "ONTAP 9.6 이상에서 외부 키 관리를 활성화합니다" 참조하십시오.
ONTAP 9.11.1부터는 SVM에서 기본 및 보조 키 서버를 지정하여 클러스터된 외부 키 관리 서버에 대한 연결을 구성할 수 있습니다. 자세한 내용은 ONTAP 설명서의 을 "클러스터된 외부 키 서버를 구성합니다" 참조하십시오.
ONTAP 9.13.1부터 시스템 관리자에서 외부 키 관리자 서버를 구성할 수 있습니다. 자세한 내용은 ONTAP 설명서의 을 "외부 키 관리자를 관리합니다" 참조하십시오.