Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 NetApp 卷加密概述

贡献者

NetApp 卷加密( NVE )是一种基于软件的技术,用于一次对一个卷上的空闲数据进行加密。只有存储系统可以访问的加密密钥可确保在底层设备被重新利用,退回,放置在不当位置或被盗时无法读取卷数据。

了解 NVE

使用NVE时、元数据和数据(包括Snapshot副本)均会加密。数据访问由一个唯一的 XTS-AES-256 密钥提供,每个卷一个。外部密钥管理服务器或板载密钥管理器(Onboard Key Manager、OKM)为节点提供密钥:

  • 外部密钥管理服务器是存储环境中的第三方系统,可使用密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )为节点提供密钥。最佳做法是,在与数据不同的存储系统上配置外部密钥管理服务器。

  • 板载密钥管理器是一个内置工具,可为数据所在存储系统中的节点提供密钥。

从 ONTAP 9.7 开始,如果您拥有卷加密( Volume Encryption , VE )许可证并使用板载或外部密钥管理器,则默认情况下会启用聚合和卷加密。VE许可证随一起提供"ONTAP One"。每当配置外部或板载密钥管理器时,为全新聚合和全新卷配置空闲数据加密的方式都会发生变化。默认情况下,全新聚合将启用 NetApp 聚合加密( NAE )。默认情况下,不属于 NAE 聚合的全新卷将启用 NetApp 卷加密( NVE )。如果使用多租户密钥管理为数据存储虚拟机( SVM )配置了自己的密钥管理器,则为该 SVM 创建的卷将自动配置 NVE 。

您可以对新卷或现有卷启用加密。NVE 支持所有存储效率功能,包括重复数据删除和数据压缩。从ONTAP 9.14.1开始、您可以执行此操作 在现有SVM根卷上启用NVE

备注 如果您使用的是 SnapLock ,则只能对新的空 SnapLock 卷启用加密。您不能在现有 SnapLock 卷上启用加密。

您可以在任何类型的聚合( HDD , SSD ,混合,阵列 LUN )上使用任何 RAID 类型以及任何受支持的 ONTAP 实施(包括 ONTAP Select )中使用 NVE 。您还可以将 NVE 与基于硬件的加密结合使用,在 d自加密驱动器上 " 双重加密 " 数据。

启用NVE后、核心转储也会进行加密。

聚合级加密

通常,每个加密卷都分配有一个唯一的密钥。删除卷后,此密钥将随之删除。

从 ONTAP 9.6 开始,您可以使用 _NetApp 聚合加密( NAE ) _ 为要加密的卷所在的聚合分配密钥。删除加密卷后,聚合的密钥将保留下来。如果删除整个聚合、则这些密钥将被删除。

如果计划执行实时或后台聚合级重复数据删除,则必须使用聚合级加密。否则, NVE 不支持聚合级重复数据删除。

从 ONTAP 9.7 开始,如果您拥有卷加密( Volume Encryption , VE )许可证并使用板载或外部密钥管理器,则默认情况下会启用聚合和卷加密。

NVE 和 NAE 卷可以同时位于同一聚合上。默认情况下,在聚合级别加密下加密的卷为 NAE 卷。对卷进行加密时,您可以覆盖默认值。

您可以使用 volume move 命令将NVE卷转换为NAE卷、反之亦然。您可以将 NAE 卷复制到 NVE 卷。

您不能使用 secure purge NAE卷上的命令。

何时使用外部密钥管理服务器

尽管使用板载密钥管理器成本较低且通常更方便,但如果满足以下任一条件,则应设置 KMIP 服务器:

  • 您的加密密钥管理解决方案必须符合联邦信息处理标准( FIPS ) 140-2 或 OASIS KMIP 标准。

  • 您需要一个具有集中管理加密密钥的多集群解决方案。

  • 您的企业需要将身份验证密钥存储在系统或与数据不同的位置,从而提高安全性。

外部密钥管理的范围

外部密钥管理的范围决定了密钥管理服务器是保护集群中的所有 SVM 还是仅保护选定 SVM :

  • 您可以使用 cluster scopter 为集群中的所有 SVM 配置外部密钥管理。集群管理员可以访问存储在服务器上的每个密钥。

  • 从 ONTAP 9.6 开始,您可以使用 SVM scopter 为集群中的指定 SVM 配置外部密钥管理。这最适合多租户环境,其中每个租户都使用不同的 SVM (或一组 SVM )来提供数据。只有给定租户的 SVM 管理员才能访问该租户的密钥。

  • 从 ONTAP 9.10.1 开始,您可以使用 Azure 密钥存储和 Google Cloud KMS 仅保护数据SVM的NVE密钥。从9.12.0开始、此功能可用于AWS的KMS。

您可以在同一集群中使用这两个范围。如果为 SVM 配置了密钥管理服务器,则 ONTAP 仅使用这些服务器来保护密钥。否则, ONTAP 将使用为集群配置的密钥管理服务器来保护密钥。

中提供了经过验证的外部密钥管理器列表 "NetApp 互操作性表工具( IMT )"。您可以通过在IMT的搜索功能中输入术语"密钥管理器"来查找此列表。

支持详细信息

下表显示了 NVE 支持详细信息:

资源或功能

支持详细信息

平台

需要 AES-NI 卸载功能。请参见 Hardware Universe ( HWU )以验证您的平台是否支持 NVE 和 NAE 。

加密

从 ONTAP 9.7 开始,在添加卷加密( Volume Encryption , VE )许可证并配置板载或外部密钥管理器时,新创建的聚合和卷会默认加密。如果需要创建未加密的聚合,请使用以下命令:

storage aggregate create -encrypt-with-aggr-key false

如果需要创建纯文本卷,请使用以下命令:

volume create -encrypt false

在以下情况下,默认情况下不启用加密:

  • 未安装 Ve 许可证。

  • 未配置密钥管理器

  • 平台或软件不支持加密

  • 已启用硬件加密

ONTAP

所有 ONTAP 实施。ONTAP 9.5 及更高版本支持 ONTAP 云。

设备

HDD , SSD ,混合,阵列 LUN 。

RAID

RAID0 , RAID4 , RAID-DP , RAID-TEC 。

Volumes

数据卷和现有SVM根卷。您不能对MetroCluster元数据卷上的数据进行加密。在9.14.1之前的ONTAP版本中、不能使用NVE对SVM根卷上的数据进行加密。从ONTAP 9.14.1开始、ONTAP支持 SVM根卷上的NVE

聚合级加密

从 ONTAP 9.6 开始, NVE 支持聚合级加密( Aggregate-Level Encryption , NAE ):

  • 如果计划执行实时或后台聚合级重复数据删除,则必须使用聚合级加密。

  • 您不能为聚合级别的加密卷重新设置密钥。

  • 聚合级加密卷不支持安全清除。

  • 除了数据卷之外, NAE 还支持对 SVM 根卷和 MetroCluster 元数据卷进行加密。NAE 不支持对根卷进行加密。

SVM 范围

从 ONTAP 9.6 开始, NVE 仅支持用于外部密钥管理的 SVM 范围,而不支持板载密钥管理器。从 ONTAP 9.8 开始,支持 MetroCluster 。

存储效率

重复数据删除,数据压缩,数据缩减, FlexClone 。

即使从父级拆分克隆后,克隆也会使用与父级相同的密钥。您应执行 volume move 在拆分的克隆上、之后、拆分的克隆将具有不同的密钥。

Replication

  • 对于卷复制、源卷和目标卷可以具有不同的加密设置。可以为源配置加密,也可以为目标取消配置加密,反之亦然。在源上配置的加密不会复制到目标。必须在源和目标上手动配置加密。请参阅配置NVE使用 NVE 对卷数据进行加密

  • 对于 SVM 复制,目标卷会自动加密,除非目标卷不包含支持卷加密的节点(在这种情况下复制成功,但目标卷不会加密)。

  • 对于 MetroCluster 配置,每个集群从其配置的密钥服务器中提取外部密钥管理密钥。配置复制服务会将 OKM 密钥复制到配对站点。

合规性

从 ONTAP 9.2 开始, SnapLock 在合规和企业模式下均受支持,仅适用于新卷。您不能在现有 SnapLock 卷上启用加密。

FlexGroup

从 ONTAP 9.2 开始,支持 FlexGroup 。目标聚合的类型必须与源聚合相同,可以是卷级聚合,也可以是聚合级聚合。从 ONTAP 9.5 开始,支持对 FlexGroup 卷进行原位重新设置密钥。

7- 模式过渡

从 7- 模式过渡工具 3.3 开始,您可以使用 7- 模式过渡工具命令行界面对集群系统上启用了 NVE 的目标卷执行基于副本的过渡。