配置 NetApp 卷加密

NetApp 卷加密 (NVE) 功能是一种基于软件的技术,用于一次对一个卷上的空闲数据进行加密。只有存储系统才能访问的加密密钥可确保如果底层设备重新调整用途、返回、放错位置或被盗,则无法读取卷数据。

了解 NVE

数据(包括 Snapshot 副本)和元数据都可进行加密。每个卷均可通过一个唯一 XTS-AES-256 密钥提供对数据的访问权限。外部密钥管理服务器或板载密钥管理器为节点提供密钥:

从 ONTAP 9 . 7 开始、如果您拥有卷加密( VE )许可证并使用板载或外部密钥管理器、则默认情况下会启用聚合和卷加密。无论何时配置了外部或板载密钥管理器、 REST 加密的数据配置方式都将发生变化、以用于全新聚合和全新卷。默认情况下,全新聚合将启用 NetApp 聚合加密( NAE )。不属于 NAE 聚合的全新卷默认情况下将启用 NetApp 卷加密( NVE )。 如果数据Storage Virtual Machine (SVM)在使用 NAE 的聚合中使用多租户密钥管理功能配置了自己的密钥管理器、则为SVM将自动配置为使用 NVE 。

您可以在新卷或现有卷上启用加密。NVE 支持所有存储效率功能,包括重复数据删除和数据压缩。

注:如果使用 SnapLock 、则只能对新的、空的 SnapLock 卷启用加密。您无法在现有 SnapLock 卷上启用加密。

您可以在任何类型的聚合(HDD、SSD、混合、阵列 LUN)中使用任何 RAID 类型通过任何受支持的 ONTAP 实施(包括 ONTAP Select)使用 NVE。您还可以将 NVE 与基于硬件的加密一起使用、以“双加密”自加密驱动器上的数据。

注:AFF A220 、 AFF A800 、 FAS2720 、 FAS2750 和更高版本的系统在其引导设备上存储核心转储。在这些系统上启用 nve 后、核心转储也会加密。

聚合级加密

通常情况下,每个加密卷都分配有一个唯一的密钥。删除卷后,该注册表项将随该卷一起删除。

从 ONTAP 9.6 开始、您可以使用 NetApp 聚合加密( NAE )为要加密的卷的包含聚合分配密钥。删除加密卷时,将保留聚合的密钥。只有在删除聚合中的最后一个加密卷后,才会删除这些密钥。

如果计划执行内嵌或后台聚合级重复数据删除,则必须使用聚合级加密。NVE 不支持聚合级重复数据删除。

从 ONTAP 9 . 7 开始、如果您拥有卷加密( VE )许可证并使用板载或外部密钥管理器、则默认情况下会启用聚合和卷加密。

NVE 和 NAE 卷可以在同一聚合上共存。默认情况下,在聚合级别加密下加密的卷是 NAE 卷。您可以在加密卷时覆盖默认值。

您可以使用volume move命令将 nve 卷转换为 NAE 卷,反之亦然。您可以将 NAE 卷复制到 NVE 卷。

何时使用外部密钥管理服务器

虽然使用板载密钥管理器的成本较低、而且通常更方便、但是如果满足以下任何条件、则应设置 KMIP 服务器:

外部密钥管理的范围

外部密钥管理的范围确定密钥管理服务器是保护集群中的所有 SVM 还是仅保护选定的 SVM :

可以在同一个集群中使用这两个范围。如果已为 SVM 配置了密钥管理服务器、 ONTAP 将仅使用这些服务器来保护密钥。否则, ONTAP 会使用为集群配置的密钥管理服务器来保护密钥。

支持详细信息

下表显示了 NVE 支持详细信息:

资源或功能 支持详细信息
平台 需要 AES-NI 卸载功能。请参见 Hardware Universe ( HWU )以验证您的平台是否支持 NVE 和 NAE 。
加密 从 ONTAP 9 . 7 开始、添加卷加密( VE )并配置板载或外部密钥管理器时、默认情况下会对新创建的聚合和卷进行加密。

如果需要创建未加密的聚合、请使用以下命令: storage aggregate create -encrypt-with-aggr-key false

如果需要创建纯文本卷,请使用以下命令: volume create -encrypt false

默认情况下、在以下情况下不启用加密:
  • 未配置 VE
  • 未配置密钥管理器
  • 平台或软件不支持加密
  • 硬件加密已启用
ONTAP 所有 ONTAP 实施。ONTAP 9.5 和更高版本支持 ONTAP Cloud 。
设备 HDD 、 SSD 、混合、阵列 LUN 。
RAID RAID 0 、 RAID 4 、 RAID-DP 、 RAID-TEC 。
仅限数据卷。不能对根卷、SVM 根卷或 MetroCluster 元数据卷上的数据进行加密。
聚合级加密 从 ONTAP 9.6 开始、 NVE 支持聚合级加密( NAE ):
  • 如果计划执行内嵌或后台聚合级重复数据删除,则必须使用聚合级加密。
  • 您不能对聚合级加密卷重新进行密钥。
  • 聚合级加密卷不支持安全清除。
  • 除数据卷外、 NAE 还支持对 SVM 根卷和 MetroCluster 元数据卷进行加密。NAE 不支持根卷的加密。
SVM 范围 从 ONTAP 9.6 开始、 NVE 仅支持 SVM 范围进行外部密钥管理、而不支持板载密钥管理器。不支持 MetroCluster。
存储效率 重复数据删除、压缩、压缩、 FlexClone 。克隆使用与父级相同的密钥、即使在从父级分离克隆之后也是如此。系统将警告您重新对分离克隆进行密钥。
复制
  • 对于卷复制、目标卷必须已启用加密。可以为源配置加密、为目标配置加密、反之亦然。
  • 对于 SVM 复制,除非目标卷不包含支持卷加密的节点、否则目标卷会自动加密、在这种情况下复制会成功、但目标卷不会加密。
  • 对于 MetroCluster 配置、每个集群都从其配置的密钥服务器中提取外部密钥管理密钥。配置复制服务将 OKM 密钥复制到合作伙伴站点。
Compliance 从 ONTAP 9.2 开始、 SnapLock 在合规模式和企业模式中均受支持、仅适用于新卷。您无法在现有 SnapLock 卷上启用加密。
FlexGroup 从 ONTAP 9.2 开始、支持 FlexGroups 。目标聚合的类型必须与源聚合相同、可以是卷级聚合或聚合级聚合聚合。从 ONTAP 9.5 开始、支持 FlexGroup 卷的原位重密钥。
7-模式过渡 从 7- 模式过渡工具 3.3 开始,您可以使用 7- 模式过渡工具 CLI 执行基于副本的过渡,以过渡到集群系统上启用了 NVE 的目标卷。