NetApp Volume Encryptionの設定

NetApp Volume Encryption(NVE)は、一度に1ボリュームずつ保管データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージ システムからしかアクセスできないため、基盤のデバイスの転用、返却、置き忘れ、盗難に際してボリュームのデータが読み取られることはありません。

NVEの概要

データ(Snapshotコピーを含む)とメタデータの両方が暗号化されます。データへのアクセスには、各ボリューム専用の一意のXTS-AES-256キーを使用します。外部キー管理サーバまたはオンボード キー マネージャでノードにキーを提供します。

新しいボリュームと既存のボリュームのいずれでも暗号化を有効にできます。NVEでは、重複排除や圧縮など、ストレージ効率化のためのさまざまな機能をサポートしています。
注: SnapLockを使用している場合は、新しい空のSnapLockボリュームでのみ暗号化を有効にできます。既存のSnapLockボリュームで暗号化を有効にすることはできません。

NVEは、アグリゲートのタイプ(HDD、SSD、ハイブリッド、アレイLUN)やRAIDタイプを問わず、サポートされるすべてのONTAP環境(ONTAP Selectを含む)で使用できます。NVEをハードウェア ベースの暗号化と併用すれば、自己暗号化ドライブのデータを二重に暗号化することもできます。

注: AFF A220、AFF A800、FAS2720、FAS2750以降のシステムでは、ブート デバイスにコア ダンプが格納されます。これらのシステムでNVEを有効にすると、コア ダンプも暗号化されます。

アグリゲートレベルの暗号化

通常、暗号化されたすべてのボリュームには一意のキーが割り当てられます。このキーは、ボリュームを削除すると一緒に削除されます。

ONTAP 9.6以降では、NetApp Aggregate Encryption(NAE)を使用して、暗号化するボリュームの包含アグリゲートにキーを割り当てることができます。暗号化されたボリュームを削除しても、アグリゲートのキーは削除されません。アグリゲート内の最後の暗号化されたボリュームが削除されるまでキーは保持されます。

アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。そうしないと、NVEでアグリゲートレベルの重複排除がサポートされません。

NVEボリュームとNAEボリュームは同一アグリゲート内で共存できます。アグリゲートレベルの暗号化で暗号化されたボリュームは、デフォルトでNAEボリュームになります。このデフォルトの設定は、ボリュームを暗号化するときに無効にすることができます。

volume moveコマンドを使用して、NVEボリュームをNAEボリュームに(またはその逆に)変換することができます。NAEボリュームはNVEボリュームにレプリケートできます。

外部キー管理サーバを使用する状況

オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合はKMIPサーバを用意する必要があります。

外部キー管理のスコープ

外部キー管理のスコープによって、キー管理サーバの保護対象がクラスタ内の全SVMになるか、選択したSVMのみになるかが決まります。

同じクラスタで両方のスコープを使用できます。1つのSVMに対してキー管理サーバが設定されている場合は、それらのサーバのみを使用してキーが保護されます。そうでない場合は、クラスタに対して設定されたキー管理サーバでキーが保護されます。

サポートの詳細

次の表に、NVEのサポートの詳細を示します。

リソースまたは機能 サポートの詳細
プラットフォーム AES-NIオフロード機能が必要です。ご使用のプラットフォームでNVEとNAEがサポートされていることを確認するには、Hardware Universe(HWU)を参照してください。
ONTAP すべてのONTAP実装。ONTAP 9.5以降では、ONTAP Cloudがサポートされます。
デバイス HDD、SSD、ハイブリッド、アレイLUN。
RAID RAID0、RAID4、RAID-DP、RAID-TEC。
ボリューム データ ボリュームのみ。ルート ボリューム、SVMルート ボリューム、MetroClusterメタデータ ボリュームのデータは暗号化できません。
アグリゲートレベルの暗号化 ONTAP 9.6以降では、NVEでアグリゲートレベルの暗号化(NAE)がサポートされます。
  • アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。
  • アグリゲートレベルで暗号化されたボリュームのキーは変更できません。
  • アグリゲートレベルで暗号化されたボリュームでは、セキュア パージがサポートされません。
  • NAEでは、データ ボリュームに加えて、SVMルート ボリュームとMetroClusterメタデータ ボリュームの暗号化がサポートされます。ただし、ルート ボリュームの暗号化はサポートされません。
SVMスコープ ONTAP 9.6以降では、NVEで外部キー管理のみを対象にSVMスコープがサポートされます。オンボード キー マネージャに対してはサポートされません。MetroClusterはサポートされません。
Storage Efficiency 重複排除、圧縮、コンパクション、FlexClone。クローンでは、親からスプリットしたあとも親と同じキーを使用します。スプリットしたクローンのキーを変更するように警告が表示されます。
レプリケーション
  • ボリューム レプリケーションの場合、デスティネーション ボリュームで暗号化が有効になっている必要があります。ソースに対して暗号化を設定し、デスティネーションに対して暗号化の設定を解除できます(その逆も可能です)。
  • SVMレプリケーションの場合、デスティネーション ボリュームは自動的に暗号化されます。ただし、ボリューム暗号化をサポートするノードがデスティネーションに含まれていない場合、レプリケーションは成功しますが、デスティネーション ボリュームは暗号化されません。
  • MetroCluster構成では、各クラスタが設定されたキー サーバから外部キー管理のキーを取得します。OKM(オンボード キー マネージャ)のキーは、設定レプリケーション サービスによってパートナー サイトにレプリケートされます。
Compliance ONTAP 9.2以降では、新しいボリュームのみを対象に、SnapLockがComplianceモードとEnterpriseモードの両方でサポートされます。既存のSnapLockボリュームで暗号化を有効にすることはできません。
FlexGroup ONTAP 9.2以降では、FlexGroupがサポートされます。デスティネーション アグリゲートは、ソース アグリゲートと同じタイプ(ボリュームレベルまたはアグリゲートレベル)でなければなりません。ONTAP 9.5以降では、FlexGroupボリュームのキーをインプレースで変更できます。
7-Modeからの移行 7-Mode Transition Tool 3.3以降では、7-Mode Transition Tool CLIを使用して、クラスタ システムのNVE対応デスティネーション ボリュームへのコピーベースの移行を実行できます。