配置基于 NetApp 硬件的加密

NetApp 基于硬件的加密支持写入数据时的全磁盘加密 (FDE) 。如果没有存储在固件上的加密密钥、则无法读取数据。而加密密钥只能由经过身份验证的节点访问。

了解基于 NetApp 硬件的加密

节点使用从外部密钥管理服务器或板载密钥管理器检索的身份验证密钥将自身验证为自加密驱动器:

您可以将 NetApp 卷加密与基于硬件的加密一起用于对自加密驱动器上的数据进行“双重加密”。

注:AFF A220 、 AFF A800 、 FAS2720 、 FAS2750 和更高版本的系统在其引导设备上存储核心转储。在这些系统上启用自加密驱动器时,核心转储也会加密。

支持的驱动器类型

支持两种类型的自加密驱动器:

何时使用 KMIP 服务器

虽然使用板载密钥管理器的成本较低、而且通常更方便、但是如果满足以下任何条件、则应设置 KMIP 服务器:

支持详细信息

下表显示了重要的硬件加密支持详细信息。有关支持的 KMIP 服务器、存储系统和磁盘架的最新信息,请参见互操作性表。

资源或功能 支持详细信息
非同类磁盘集
  • FIPS 驱动器不能与同一节点或HA 对。一致的 HA 对可以与同一集群中的非一致 HA 对共存。
  • SED 可以与同一节点或HA 对
驱动器类型
  • FIPS 驱动器可以是 SAS 或 NVMe 驱动器。
  • SED 必须是 NVMe 驱动器。
10 Gb 网络接口 从 ONTAP 9.3 开始、 KMIP 密钥管理配置支持 10 Gb 网络接口、以便与外部密钥管理服务器进行通信。
用于与密钥管理服务器通信的端口 从 ONTAP 9.3 开始,您可以使用任何存储控制器端口与密钥管理服务器进行通信。否则,应使用端口 e0m 与密钥管理服务器进行通信。根据存储控制器型号,某些网络接口在启动过程中可能无法与密钥管理服务器通信。
MetroCluster ( MCC )
  • NVMe 驱动器支持 MCC 。
  • SAS 驱动器不支持 MCC 。