存储加密
要在磁盘被盗、退回或重新利用时保护敏感数据、请使用基于硬件的NetApp存储加密或基于软件的NetApp卷加密/NetApp聚合加密。这两种机制均经过FIPS-140-2验证、如果将基于硬件的机制与基于软件的机制结合使用、该解决方案符合分类商业解决方案(CSFC)计划的要求。它可以为硬件层和软件层的机密和顶级机密空闲数据提供增强的安全保护。
空闲数据加密对于在磁盘被盗、退回或重新利用时保护敏感数据非常重要。
ONTAP 9具有三个符合联邦信息处理标准(Federal Information Processing Standard、FIPS) 140-2的空闲数据加密解决方案:
-
NetApp存储加密(NSE)是一种使用自加密驱动器的硬件解决方案。
-
NetApp 卷加密 (NVE) 是一种软件解决方案,支持对任何驱动器类型上的任何数据卷进行加密,在这种情况下,每个卷都有一个唯一密钥。
-
NetApp 聚合加密 (NAE) 是一种软件解决方案,支持对任何驱动器类型上的任何数据卷进行加密,在这种情况下,每个聚合都有唯一密钥。
NSE、NVE和NAE可以使用外部密钥管理或板载密钥管理器(OKM)。NSE、NVE 和 NAE 的使用不影响 ONTAP 的存储效率功能。但是,NVE 卷将从聚合重复数据删除中排除。NAE 卷参与聚合重复数据消除并从中受益。
借助 NSE、NVE 或 NAE,OKM 为空闲数据提供了独立的加密解决方案。
NVE、NAE和OKM使用ONTAP加密模块。CryptoMod列在CMVP FIPS 140-2验证模块列表中。请参阅。 "FIPS 140-2证书编号4144"
要开始OKM配置、请使用 security key-manager onboard enable
命令。要配置外部密钥管理互操作性协议(Key Management互操作性协议、KMIP)密钥管理器、请使用 security key-manager external enable
命令。从ONTAP 9.6开始、外部密钥管理器支持多租户。使用 -vserver <vserver name>
参数为特定SVM启用外部密钥管理。在9.6之前的版本中、此 security key-manager setup
命令用于配置OKM和外部密钥管理器。对于板载密钥管理、此配置将引导操作员或管理员完成用于配置OKM的密码短语设置和其他参数。
以下示例提供了部分配置:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. Enter the following commands at any time "help" or "?" if you want to have a question clarified, "back" if you want to change your answers to previous questions, and "exit" if you want to quit the key manager setup wizard. Any changes you made before typing "exit" will be applied. Restart the key manager setup wizard with "security key-manager setup". To accept a default or omit a question, do not enter a value. Would you like to configure onboard key management? {yes, no} [yes]: Enter the cluster-wide passphrase for onboard key management. To continue the configuration, enter the passphrase, otherwise type "exit": Re-enter the cluster-wide passphrase: After configuring onboard key management, save the encrypted configuration data in a safe location so that you can use it if you need to perform a manual recovery operation. To view the data, use the "security key-manager backup show" command.
从ONTAP 9.4开始、您可以将true选项与结合使用 -enable-cc-mode
security key-manager setup
、以要求用户在重新启动后输入密码短语。对于ONTAP 9.6及更高版本,命令语法为 security key-manager onboard enable -cc-mode-enabled yes
。
从ONTAP 9.4开始、您可以使用具有高级权限的 secure-purge
功能无故障"擦除"启用了NVE的卷上的数据。擦洗加密卷上的数据可确保无法从物理介质中恢复数据。以下命令可安全清除SVM VS1上vol1上已删除的文件:
cluster1::> volume encryption secure-purge start -vserver vs1 -volume vol1
从ONTAP 9.7开始、如果已安装VE许可证、已配置OKM或外部密钥管理器、但未使用NSE、则默认情况下会启用NAE和NVE。默认情况下、会在NAE聚合上创建NAE卷、而在非NAE聚合上会默认创建NVE卷。您可以输入以下命令来覆盖此设置:
cluster1::*> options -option-name encryption.data_at_rest_encryption.disable_by_default true
从ONTAP 9.6开始、您可以使用SVM范围为集群中的数据SVM配置外部密钥管理。如果多租户环境中的每个租户都使用一个或一组不同的SVM来提供数据、则此方法最适合此环境。只有给定租户的 SVM 管理员才能访问该租户的密钥。有关详细信息、请参见 "在ONTAP 9.6及更高版本中启用外部密钥管理" ONTAP文档中的。
从ONTAP 9.11.1开始、您可以通过在SVM上指定主密钥服务器和二级密钥服务器来配置与集群模式外部密钥管理服务器的连接。有关详细信息、请参见 "配置集群模式外部密钥服务器" ONTAP文档中的。
从ONTAP 9.131开始、您可以在System Manager中配置外部密钥管理器服务器。有关详细信息、请参见 "管理外部密钥管理器" ONTAP文档中的。