Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

加密

贡献者

ONTAP 提供了基于软件和基于硬件的加密技术,可确保在存储介质被重新利用,退回,放置在不当位置或被盗时无法读取空闲数据。

对于所有 SSL 连接, ONTAP 均符合联邦信息处理标准( FIPS ) 140-2 的要求。您可以使用以下加密解决方案:

  • 硬件解决方案:

    • NetApp 存储加密( NSE )

      NSE 是一种使用自加密驱动器( SED )的硬件解决方案。

    • NVMe SED

      ONTAP 为未获得 FIPS 140-2 认证的 NVMe SED 提供全磁盘加密。

  • 软件解决方案:

    • NetApp 聚合加密( NAE )

      NAE 是一种软件解决方案,用于对任何驱动器类型上的任何数据卷进行加密,其中每个聚合都使用唯一的密钥启用数据卷。

    • NetApp 卷加密( NVE )

      NVE 是一种软件解决方案,用于对任何驱动器类型上的任何数据卷进行加密,其中每个卷都有一个唯一的密钥。

使用软件( NAE 或 NVE )和硬件( NSE 或 NVMe SED )加密解决方案实现空闲双加密。存储效率不受 NAE 或 NVE 加密的影响。

NetApp 存储加密

NetApp 存储加密( NetApp Storage Encryption , NSE )支持 SED 在写入数据时对数据进行加密。如果磁盘上未存储加密密钥,则无法读取数据。而加密密钥只能由经过身份验证的节点访问。

在发出 I/O 请求时,节点会使用从外部密钥管理服务器或板载密钥管理器检索到的身份验证密钥向 SED 进行自我身份验证:

  • 外部密钥管理服务器是存储环境中的第三方系统,可使用密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )为节点提供身份验证密钥。

  • 板载密钥管理器是一个内置工具,可从与数据相同的存储系统为节点提供身份验证密钥。

NSE 支持自加密 HDD 和 SSD 。您可以将 NetApp 卷加密与 NSE 结合使用,对 NSE 驱动器上的数据进行双重加密。

备注 如果在具有Flash Cache模块的系统上使用NSE、则还应启用NVE或NAE。NSE不会对驻留在Flash Cache模块上的数据进行加密。

NVMe 自加密驱动器

NVMe SED 没有 FIPS 140-2 认证,但这些磁盘使用 AES 256 位透明磁盘加密来保护空闲数据。

数据加密操作(例如生成身份验证密钥)在内部执行。存储系统首次访问磁盘时会生成身份验证密钥。之后,磁盘将通过在每次请求数据操作时要求存储系统身份验证来保护空闲数据。

NetApp 聚合加密

NetApp 聚合加密( NAE )是一种基于软件的技术,用于对聚合上的所有数据进行加密。NAE 的一个优势是,卷包含在聚合级别重复数据删除中,而 NVE 卷则不包括在内。

启用 NAE 后,可以使用聚合密钥对聚合中的卷进行加密。

从ONTAP 9.7开始、如果您具有NVE许可证以及板载或外部密钥管理、则新创建的聚合和卷会默认进行加密。

NetApp 卷加密

NetApp 卷加密( NVE )是一种基于软件的技术,用于一次对一个卷上的空闲数据进行加密。只有存储系统可以访问的加密密钥可确保在底层设备与系统分离时无法读取卷数据。

包括 Snapshot 副本和元数据在内的数据都会进行加密。数据访问由一个唯一的 XTS-AES-256 密钥提供,每个卷一个。内置的板载密钥管理器可保护数据所在系统上的密钥。

您可以在任何类型的聚合( HDD , SSD ,混合,阵列 LUN )上使用任何 RAID 类型以及任何受支持的 ONTAP 实施(包括 ONTAP Select )中使用 NVE 。您还可以将 NVE 与 NetApp 存储加密( NetApp Storage Encryption , NSE )结合使用,对 NSE 驱动器上的数据进行双重加密。

When to use KMIP servers 尽管使用板载密钥管理器成本较低且通常更方便,但如果满足以下任一条件,则应设置 KMIP 服务器:

  • 您的加密密钥管理解决方案必须符合联邦信息处理标准( FIPS ) 140-2 或 OASIS KMIP 标准。

  • 您需要一个多集群解决方案。KMIP 服务器支持多个集群,并可集中管理加密密钥。

    KMIP 服务器支持多个集群,并可集中管理加密密钥。

  • 您的企业需要将身份验证密钥存储在系统或与数据不同的位置,从而提高安全性。

    KMIP 服务器将身份验证密钥与数据分开存储。