配置 NetApp 基于硬件的加密概述
建议更改
PDF
NetApp 基于硬件的加密支持在数据写入时对其进行全磁盘加密( FDE )。如果固件上未存储加密密钥,则无法读取数据。而加密密钥只能由经过身份验证的节点访问。
了解 NetApp 基于硬件的加密
节点使用从外部密钥管理服务器或板载密钥管理器检索的身份验证密钥向自加密驱动器进行自我身份验证:
-
外部密钥管理服务器是存储环境中的第三方系统,可使用密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )为节点提供密钥。最佳做法是,在与数据不同的存储系统上配置外部密钥管理服务器。
-
板载密钥管理器是一个内置工具,可从与数据相同的存储系统为节点提供身份验证密钥。
您可以将 NetApp 卷加密与基于硬件的加密结合使用,在 d自加密驱动器上 " 双重加密 " 数据。
启用自加密驱动器后、核心转储也会进行加密。
|
如果 HA 对使用加密 SAS 或 NVMe 驱动器( SED , NSE , FIPS ),则必须按照主题中的说明进行操作 将 FIPS 驱动器或 SED 恢复到未受保护的模式 初始化系统之前 HA 对中的所有驱动器(启动选项 4 或 9 )。如果不这样做,则在重新利用驱动器时,可能会导致未来数据丢失。 |
支持的自加密驱动器类型
支持两种类型的自加密驱动器:
-
所有 FAS 和 AFF 系统均支持自加密 FIPS 认证的 SAS 或 NVMe 驱动器。这些驱动器称为 _fips drives , _ 符合联邦信息处理标准出版物 140-2 第 2 级的要求。经过认证的功能除了加密之外,还可以提供保护,例如防止驱动器受到拒绝服务攻击。不能在同一节点或 HA 对上将 FIPS 驱动器与其他类型的驱动器混合使用。
-
从ONTAP 9.6开始、AFF A800、A320及更高版本的系统支持未经过FIPS测试的自加密NVMe驱动器。这些驱动器称为_SED、可提供与FIPS驱动器相同的加密功能、但可以与同一节点或HA对上的非加密驱动器混合使用。
-
所有经过FIPS验证的驱动器都使用经过FIPS验证的固件加密模块。 FIPS驱动器加密模块不使用在驱动器外部生成的任何密钥(驱动器的固件加密模块使用输入到驱动器的身份验证密码短语来获取密钥加密密钥)。
|
|
非加密驱动器是指非SED或FIPS驱动器的驱动器。 |
|
|
如果在具有Flash Cache模块的系统上使用NSE、则还应启用NVE或NAE。NSE不会对驻留在Flash Cache模块上的数据进行加密。 |
何时使用外部密钥管理
尽管使用板载密钥管理器成本较低且通常更方便、但如果满足以下任一条件、则应使用外部密钥管理:
-
贵组织的策略要求密钥管理解决方案 使用FIPS 140-2 2级(或更高)加密模块。
-
您需要一个具有集中管理加密密钥的多集群解决方案。
-
您的企业需要将身份验证密钥存储在系统或与数据不同的位置,从而提高安全性。
支持详细信息
下表显示了重要的硬件加密支持详细信息。有关受支持的 KMIP 服务器,存储系统和磁盘架的最新信息,请参见互操作性表。
资源或功能 |
支持详细信息 |
非同构磁盘集 |
|
驱动器类型 |
|
10 Gb 网络接口 |
从 ONTAP 9.3 开始, KMIP 密钥管理配置支持使用 10 Gb 网络接口与外部密钥管理服务器进行通信。 |
用于与密钥管理服务器通信的端口 |
从 ONTAP 9.3 开始,您可以使用任何存储控制器端口与密钥管理服务器进行通信。否则、您应使用端口e0M与密钥管理服务器进行通信。根据存储控制器型号,某些网络接口在启动过程中可能不可用,无法与密钥管理服务器进行通信。 |
MetroCluster ( MCC ) |
|
基于硬件的加密工作流
您必须先配置密钥管理服务,然后集群才能向自加密驱动器进行身份验证。您可以使用外部密钥管理服务器或板载密钥管理器。
