简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 NetApp 基于硬件的加密概述

提供者 netapp-thomi

NetApp 基于硬件的加密支持在数据写入时对其进行全磁盘加密( FDE )。如果固件上未存储加密密钥,则无法读取数据。而加密密钥只能由经过身份验证的节点访问。

了解 NetApp 基于硬件的加密

节点使用从外部密钥管理服务器或板载密钥管理器检索的身份验证密钥向自加密驱动器进行自我身份验证:

  • 外部密钥管理服务器是存储环境中的第三方系统,可使用密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )为节点提供密钥。最佳做法是,在与数据不同的存储系统上配置外部密钥管理服务器。

  • 板载密钥管理器是一个内置工具,可从与数据相同的存储系统为节点提供身份验证密钥。

您可以将 NetApp 卷加密与基于硬件的加密结合使用,在 d自加密驱动器上 " 双重加密 " 数据。

注

AFF A220 , AFF A800 , FAS2720 , FAS2750 及更高版本的系统会将核心转储存储在其启动设备上。在这些系统上启用自加密驱动器后,核心转储也会进行加密。

支持的驱动器类型

支持两种类型的自加密驱动器:

  • 所有 FAS 和 AFF 系统均支持自加密 FIPS 认证的 SAS 或 NVMe 驱动器。这些驱动器称为 _fips drives , _ 符合联邦信息处理标准出版物 140-2 第 2 级的要求。经过认证的功能除了加密之外,还可以提供保护,例如防止驱动器受到拒绝服务攻击。不能在同一节点或 HA 对上将 FIPS 驱动器与其他类型的驱动器混合使用。

  • 从 ONTAP 9.6 开始, AFF A800 和 A320 系统支持未经过 FIPS 测试的自加密 NVMe 驱动器。这些驱动器称为 _SED , _ 提供与 FIPS 驱动器相同的加密功能,但可以与同一节点或 HA 对上的非 SED 混合使用。

何时使用 KMIP 服务器

尽管使用板载密钥管理器成本较低且通常更方便,但如果满足以下任一条件,则应设置 KMIP 服务器:

  • 您的加密密钥管理解决方案必须符合 FIPS 140-2 2 级或更高版本的要求。

  • 您需要一个具有集中管理加密密钥的多集群解决方案。

  • 您的企业需要将身份验证密钥存储在系统或与数据不同的位置,从而提高安全性。

支持详细信息

下表显示了重要的硬件加密支持详细信息。有关受支持的 KMIP 服务器,存储系统和磁盘架的最新信息,请参见互操作性表。

资源或功能

支持详细信息

非同构磁盘集

  • 不能在同一节点或 HA 对上将 FIPS 驱动器与其他类型的驱动器混合使用。在同一集群中,遵从的 HA 对可以与不遵从的 HA 对共存。

  • SED 可以在同一节点或 HA 对上与非 SED 混合使用。

驱动器类型

  • FIPS 驱动器可以是 SAS 或 NVMe 驱动器。

  • SED 必须是 NVMe 驱动器。

10 Gb 网络接口

从 ONTAP 9.3 开始, KMIP 密钥管理配置支持使用 10 Gb 网络接口与外部密钥管理服务器进行通信。

用于与密钥管理服务器通信的端口

从 ONTAP 9.3 开始,您可以使用任何存储控制器端口与密钥管理服务器进行通信。否则,您应使用端口 e0m 与密钥管理服务器进行通信。根据存储控制器型号,某些网络接口在启动过程中可能不可用,无法与密钥管理服务器进行通信。

MetroCluster ( MCC )

  • NVMe 驱动器支持 MCC 。

  • SAS 驱动器不支持 MCC 。