暗号化

ONTAPは、ストレージ メディアの転用、返却、置き忘れ、盗難に際して保存データが読み取られることがないようにソフトウェア ベースとハードウェア ベースの暗号化テクノロジを提供します。

ONTAPは、すべてのSSL接続について連邦情報処理標準(FIPS)140-2に準拠しています。使用可能な暗号化ソリューションは次のとおりです。
  • ハードウェア ソリューション:
    • NetApp Storage Encryption(NSE)

      NSEは、自己暗号化ドライブ(SED)を使用するハードウェア ソリューションです。

    • NVMe SED

      ONTAPでは、FIPS 140-2認定を取得していないNVMe SEDに対するフル ディスク暗号化が可能です。

  • ソフトウェア ソリューション:
    • NetApp Aggregate Encryption(NAE)

      NetApp Aggregate Encryption(NAE)は、アグリゲートごとに一意のキーを使用して、あらゆるタイプのドライブのあらゆるデータ ボリュームを暗号化できるソフトウェア ソリューションです。

    • NetApp Volume Encryption(NVE)

      NetApp Volume Encryption(NVE)は、ボリュームごとに一意のキーを使用して、あらゆるタイプのドライブのあらゆるデータ ボリュームを暗号化できるソフトウェア ソリューションです。

ソフトウェアの暗号化ソリューション(NAEまたはNVE)とハードウェアの暗号化ソリューション(NSEまたはNVMe SED)の両方を使用して、保存データを二重に暗号化できます。NAE暗号化またはNVE暗号化は、ストレージ効率に影響しません。

NetApp Storage Encryption

NetApp Storage Encryption(NSE)は、データを書き込み時に暗号化するSEDをサポートします。ディスクに格納された暗号化キーがないとデータを読み取ることはできず、 その暗号化キーには認証されたノードからしかアクセスできません。

I/O要求を受け取ったノードは、外部キー管理サーバまたはオンボード キー マネージャから取得した認証キーを使用してSEDへの認証を行います。

NSEでは、HDDとSSDの自己暗号化ディスクをサポートしています。NetApp Volume EncryptionをNSEとともに使用すれば、NSEドライブのデータを二重に暗号化できます。

NVMe自己暗号化ドライブ(SED)

NVMe SEDはFIPS 140-2認定を取得していませんが、AES 256ビットの透過的ディスク暗号化を使用して保存データを保護します。

認証キーの生成などのデータ暗号化処理は、内部的に実行されます。認証キーは、ストレージ システムがディスクに初めてアクセスしたときに生成されます。以降、データ処理が要求されるたびにストレージ システム認証が要求されて、ディスク上の保存データが保護されます。

NetApp Aggregate Encryption

NetApp Aggregate Encryption(NAE)は、アグリゲート内のすべてのデータを暗号化するためのソフトウェアベースのテクノロジです。NAEのメリットは、ボリュームはアグリゲートレベルの重複排除の対象になりますが、NVEボリュームは除外される点です。

NAEを有効にすると、アグリゲート内のボリュームをアグリゲート キーで暗号化できるようになります。

ONTAP 9.7以降では、NVEライセンスがあり、オンボードまたは外部のキー管理を使用している場合、新しく作成したアグリゲートおよびボリュームがデフォルトで暗号化されます。

NetApp Volume Encryption

NetApp Volume Encryption(NVE)は、一度に1ボリュームずつ保管データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージ システムからしかアクセスできないため、基盤のデバイスがシステムから分離されている場合、ボリュームのデータが読み取られることはありません。

データ(Snapshotコピーを含む)とメタデータの両方が暗号化されます。データへのアクセスには、各ボリューム専用の一意のXTS-AES-256キーを使用します。このキーは、組み込みのオンボード キー マネージャによってデータと同じシステムに安全に保管されます。

NVEは、アグリゲートのタイプ(HDD、SSD、ハイブリッド、アレイLUN)やRAIDタイプを問わず、サポートされるすべてのONTAP環境(ONTAP Selectを含む)で使用できます。NVEをNetApp Storage Encryption(NSE)とともに使用して、NSEドライブのデータを二重に暗号化することもできます。

KMIPサーバを使用するケース

オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合はKMIPサーバを用意する必要があります。

  • 連邦情報処理標準(FIPS)140-2またはOASIS KMIP標準に準拠した暗号化キー管理ソリューションが必要な場合。
  • マルチクラスタ ソリューションが必要な場合。KMIPサーバでは、複数のクラスタの暗号化キーの一元管理がサポートされます。

    KMIPサーバでは、複数のクラスタの暗号化キーの一元管理がサポートされます。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

    KMIPサーバでは、データとは別に認証キーが格納されます。