暗号化

ONTAPは、ストレージ メディアの転用、返却、置き忘れ、盗難に際して保存データが読み取られることがないようにソフトウェア ベースとハードウェア ベースの暗号化テクノロジを提供します。

NetApp Volume Encryption

NetApp Volume Encryption(NVE)は、一度に1ボリュームずつ保管データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージ システムからしかアクセスできないため、基盤のデバイスがシステムから分離されている場合、ボリュームのデータが読み取られることはありません。

データ(Snapshotコピーを含む)とメタデータの両方が暗号化されます。データへのアクセスには、各ボリューム専用の一意のXTS-AES-256キーを使用します。このキーは、組み込みのオンボード キー マネージャによってデータと同じシステムに安全に保管されます。

NVEは、アグリゲートのタイプ(HDD、SSD、ハイブリッド、アレイLUN)やRAIDタイプを問わず、サポートされるすべてのONTAP環境(ONTAP Selectを含む)で使用できます。NVEはNetApp Storage Encryption(NSE)とともに使用することも可能で、NSEのオンボード キー マネージャ オプションを使用すればNSEドライブのデータを二重に暗号化することができます。

NetApp Storage Encryption

NetApp Storage Encryption(NSE)は、データを書き込み時に暗号化する「自己暗号化」ディスク(SED)をサポートします。ディスクに格納された暗号化キーがないとデータを読み取ることはできず、 その暗号化キーには認証されたノードからしかアクセスできません。

I/O要求を受け取ったノードは、外部キー管理サーバまたはオンボード キー マネージャから取得した認証キーを使用してSEDへの認証を行います。

NSEでは、HDDとSSDの自己暗号化ディスクをサポートしています。NetApp Volume EncryptionをNSEとともに使用して、オンボード キー マネージャを使用すれば、NSEドライブのデータを二重に暗号化することができます。

KMIPサーバを使用するケース

オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合はKMIPサーバを用意する必要があります。

  • 連邦情報処理標準(FIPS)140-2またはOASIS KMIP標準に準拠した暗号化キー管理ソリューションが必要な場合。
  • マルチクラスタ ソリューションが必要な場合。KMIPサーバでは、複数のクラスタの暗号化キーの一元管理がサポートされます。

    KMIPサーバでは、複数のクラスタの暗号化キーの一元管理がサポートされます。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

    KMIPサーバでは、データとは別に認証キーが格納されます。