配置 NetApp 卷加密

了解 NVE

数据（包括 Snapshot 副本）和元数据都可进行加密。每个卷均可通过一个唯一 XTS-AES-256 密钥提供对数据的访问权限。外部密钥管理服务器或板载密钥管理器为节点提供密钥：

外部密钥管理服务器是存储环境中的第三方系统、它使用密钥管理互操作性协议（ KMIP ）为节点提供密钥。最好在数据不同的存储系统上配置外部密钥管理服务器。
板载密钥管理器是一个内置工具，可将密钥从与数据相同的存储系统提供给节点。

从 ONTAP 9 ． 7 开始、如果您拥有卷加密（ VE ）许可证并使用板载或外部密钥管理器、则默认情况下会启用聚合和卷加密。无论何时配置了外部或板载密钥管理器、 REST 加密的数据配置方式都将发生变化、以用于全新聚合和全新卷。默认情况下，全新聚合将启用 NetApp 聚合加密（ NAE ）。不属于 NAE 聚合的全新卷默认情况下将启用 NetApp 卷加密（ NVE ）。如果数据Storage Virtual Machine (SVM)在使用 NAE 的聚合中使用多租户密钥管理功能配置了自己的密钥管理器、则为SVM将自动配置为使用 NVE 。

您可以在新卷或现有卷上启用加密。NVE 支持所有存储效率功能，包括重复数据删除和数据压缩。

注：如果使用 SnapLock 、则只能对新的、空的 SnapLock 卷启用加密。您无法在现有 SnapLock 卷上启用加密。

您可以在任何类型的聚合（HDD、SSD、混合、阵列 LUN）中使用任何 RAID 类型通过任何受支持的 ONTAP 实施（包括 ONTAP Select）使用 NVE。您还可以将 NVE 与基于硬件的加密一起使用、以“双加密”自加密驱动器上的数据。

注：AFF A220 、 AFF A800 、 FAS2720 、 FAS2750 和更高版本的系统在其引导设备上存储核心转储。在这些系统上启用 nve 后、核心转储也会加密。

聚合级加密

通常情况下，每个加密卷都分配有一个唯一的密钥。删除卷后，该注册表项将随该卷一起删除。

从 ONTAP 9.6 开始、您可以使用 NetApp 聚合加密（ NAE ）为要加密的卷的包含聚合分配密钥。删除加密卷时，将保留聚合的密钥。只有在删除聚合中的最后一个加密卷后，才会删除这些密钥。

如果计划执行内嵌或后台聚合级重复数据删除，则必须使用聚合级加密。NVE 不支持聚合级重复数据删除。

从 ONTAP 9 ． 7 开始、如果您拥有卷加密（ VE ）许可证并使用板载或外部密钥管理器、则默认情况下会启用聚合和卷加密。

NVE 和 NAE 卷可以在同一聚合上共存。默认情况下，在聚合级别加密下加密的卷是 NAE 卷。您可以在加密卷时覆盖默认值。

您可以使用volume move命令将 nve 卷转换为 NAE 卷，反之亦然。您可以将 NAE 卷复制到 NVE 卷。

何时使用外部密钥管理服务器

虽然使用板载密钥管理器的成本较低、而且通常更方便、但是如果满足以下任何条件、则应设置 KMIP 服务器：

您的加密密钥管理解决方案必须符合美国联邦信息处理标准 (FIPS) 140-2 或 OASIS KMIP 标准的要求。
您需要一个多集群解决方案、并对加密密钥进行集中管理。
您的业务要求将身份验证密钥与数据存储在不同系统或位置，从而提高安全性。

外部密钥管理的范围

外部密钥管理的范围确定密钥管理服务器是保护集群中的所有 SVM 还是仅保护选定的 SVM ：

您可以使用集群范围为集群中的所有 SVM 配置外部密钥管理。集群管理员可以访问存储在服务器上的每个密钥。
从 ONTAP 9.6 开始、您可以使用 SVM 范围为集群中命名 SVM 配置外部密钥管理。这最适合多租户环境，在多租户环境中，每个租户使用不同的 SVM （或一组 SVM ）来提供数据。只有指定租户的 SVM 管理员才能访问该租户的密钥。

可以在同一个集群中使用这两个范围。如果已为 SVM 配置了密钥管理服务器、 ONTAP 将仅使用这些服务器来保护密钥。否则， ONTAP 会使用为集群配置的密钥管理服务器来保护密钥。

支持详细信息

下表显示了 NVE 支持详细信息：

资源或功能	支持详细信息
平台	需要 AES-NI 卸载功能。请参见 Hardware Universe （ HWU ）以验证您的平台是否支持 NVE 和 NAE 。
加密	从 ONTAP 9 ． 7 开始、添加卷加密（ VE ）并配置板载或外部密钥管理器时、默认情况下会对新创建的聚合和卷进行加密。如果需要创建未加密的聚合、请使用以下命令： `storage aggregate create -encrypt-with-aggr-key false` 如果需要创建纯文本卷，请使用以下命令： `volume create -encrypt false` 默认情况下、在以下情况下不启用加密：未配置 VE 未配置密钥管理器平台或软件不支持加密硬件加密已启用
ONTAP	所有 ONTAP 实施。ONTAP 9.5 和更高版本支持 ONTAP Cloud 。
设备	HDD 、 SSD 、混合、阵列 LUN 。
RAID	RAID 0 、 RAID 4 、 RAID-DP 、 RAID-TEC 。
卷	仅限数据卷。不能对根卷、SVM 根卷或 MetroCluster 元数据卷上的数据进行加密。
聚合级加密	从 ONTAP 9.6 开始、 NVE 支持聚合级加密（ NAE ）：如果计划执行内嵌或后台聚合级重复数据删除，则必须使用聚合级加密。您不能对聚合级加密卷重新进行密钥。聚合级加密卷不支持安全清除。除数据卷外、 NAE 还支持对 SVM 根卷和 MetroCluster 元数据卷进行加密。NAE 不支持根卷的加密。
SVM 范围	从 ONTAP 9.6 开始、 NVE 仅支持 SVM 范围进行外部密钥管理、而不支持板载密钥管理器。不支持 MetroCluster。
存储效率	重复数据删除、压缩、压缩、 FlexClone 。克隆使用与父级相同的密钥、即使在从父级分离克隆之后也是如此。系统将警告您重新对分离克隆进行密钥。
复制	对于卷复制、目标卷必须已启用加密。可以为源配置加密、为目标配置加密、反之亦然。对于 SVM 复制，除非目标卷不包含支持卷加密的节点、否则目标卷会自动加密、在这种情况下复制会成功、但目标卷不会加密。对于 MetroCluster 配置、每个集群都从其配置的密钥服务器中提取外部密钥管理密钥。配置复制服务将 OKM 密钥复制到合作伙伴站点。
Compliance	从 ONTAP 9.2 开始、 SnapLock 在合规模式和企业模式中均受支持、仅适用于新卷。您无法在现有 SnapLock 卷上启用加密。
FlexGroup	从 ONTAP 9.2 开始、支持 FlexGroups 。目标聚合的类型必须与源聚合相同、可以是卷级聚合或聚合级聚合聚合。从 ONTAP 9.5 开始、支持 FlexGroup 卷的原位重密钥。
7-模式过渡	从 7- 模式过渡工具 3.3 开始，您可以使用 7- 模式过渡工具 CLI 执行基于副本的过渡，以过渡到集群系统上启用了 NVE 的目标卷。