ネットアップのハードウェアベースの暗号化の設定

ネットアップのハードウェアベースの暗号化は、データ書き込み時のFull Disk Encryption(FDE)をサポートします。ファームウェアに格納された暗号化キーがないとデータを読み取ることはできず、 その暗号化キーには認証されたノードからしかアクセスできません。

ネットアップのハードウェアベースの暗号化について

ノードは、外部キー管理サーバまたはオンボード キー マネージャから取得した認証キーを使用して自己暗号化ドライブへの認証を行います。

NetApp Volume Encryptionをハードウェアベースの暗号化とともに使用すれば、自己暗号化ドライブのデータを「二重に暗号化」することができます。

注: AFF A220、AFF A800、FAS2720、FAS2750以降のシステムでは、ブート デバイスにコア ダンプが格納されます。これらのシステムで自己暗号化ドライブを有効にすると、コア ダンプも暗号化されます。

サポートされているドライブ タイプ

2種類の自己暗号化ドライブがサポートされています。

KMIPサーバを使用するケース

オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合はKMIPサーバを用意する必要があります。

サポートの詳細

次の表に、重要なハードウェア暗号化のサポートの詳細を示します。サポート対象のKMIPサーバ、ストレージ システム、ディスク シェルフの最新情報については、Interoperability Matrixを参照してください。

リソースまたは機能 サポートの詳細
異なるタイプのディスクの混在
  • FIPSドライブは、同じノードまたはHAペアで他のタイプのドライブと混在させることはできません。準拠したHAペアと準拠していないHAペアを同じクラスタに共存させることは可能です。
  • SEDは、同じノードまたはHAペアでSED以外と混在させることができます。
ドライブ タイプ
  • FIPSドライブには、SASドライブまたはNVMeドライブを使用できます。
  • SEDは、NVMeドライブである必要があります。
10Gbネットワーク インターフェイス ONTAP 9.3以降では、KMIPを使用したキー管理の設定で外部キー管理サーバとの通信に10Gbネットワーク インターフェイスがサポートされます。
キー管理サーバとの通信用のポート ONTAP 9.3以降では、任意のストレージ コントローラ ポートを使用してキー管理サーバと通信できます。それ以外の場合は、キー管理サーバとの通信にポートe0mを使用する必要があります。ストレージ コントローラのモデルによっては、ブート プロセス時に一部のネットワーク インターフェイスをキー管理サーバとの通信に使用できない場合があります。
MetroCluster(MCC)
  • NVMeドライブではMCCがサポートされます。
  • SASドライブではMCCがサポートされません。