Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定NetApp硬體加密總覽

貢獻者

NetApp硬體式加密可在寫入資料時支援完整磁碟加密(FDE)。如果沒有儲存在韌體上的加密金鑰、就無法讀取資料。而加密金鑰則只能由驗證的節點存取。

瞭解NetApp硬體型加密

節點會使用從外部金鑰管理伺服器或Onboard Key Manager擷取的驗證金鑰、將自己驗證到自我加密磁碟機:

  • 外部金鑰管理伺服器是儲存環境中的第三方系統、使用金鑰管理互通性傳輸協定(KMIP)為節點提供金鑰。最佳實務做法是在不同的儲存系統上設定外部金鑰管理伺服器與資料。

  • 內建金鑰管理程式是一項內建工具、可從與資料相同的儲存系統、為節點提供驗證金鑰。

您可以使用NetApp Volume Encryption搭配硬體加密、在自我加密磁碟機上「雙重加密」資料。

啟用自我加密磁碟機時、核心傾印也會加密。

註 如果HA配對使用加密SAS或NVMe磁碟機(SED、NSE、FIPS)、您必須遵循主題中的指示 將FIPS磁碟機或SED恢復為無保護模式 在初始化系統之前、HA配對內的所有磁碟機(開機選項4或9)。如果未這麼做、可能會在磁碟機重新調整用途時、導致未來的資料遺失。

支援的自我加密磁碟機類型

支援兩種自我加密磁碟機:

  • 自我加密FIPS認證SAS或NVMe磁碟機可在FAS 所有的作業系統上支援AFF 。這些磁碟機稱為_FIPS磁碟機_、符合美國聯邦資訊處理標準出版品1402、Level 2的要求。認證的功能除了提供加密保護之外、還能防止磁碟機遭受拒絕服務攻擊。FIPS磁碟機無法與同一個節點或HA配對上的其他類型磁碟機混合使用。

  • 從ONTAP 推出支援不通過FIPS測試的自我加密NVMe磁碟機開始、AFF 支援在32、320及更新版本系統上執行。這些磁碟機稱為_SED__、提供與FIPS磁碟機相同的加密功能、但可以與同一個節點或HA配對上的非加密磁碟機混合使用。

  • 所有FIPS驗證的磁碟機都使用已通過FIPS驗證的韌體密碼編譯模組。 FIPS磁碟機密碼編譯模組不會使用磁碟機外部產生的任何金鑰(磁碟機的韌體密碼編譯模組會使用輸入磁碟機的驗證密碼來取得金鑰加密金鑰)。

註 非加密磁碟機是不是SED或FIPS磁碟機的磁碟機。
註 如果您在具有 Flash Cache 模組的系統上使用 NSE 、您也應該啟用 NVE 或 NAE 。NSE 不會加密位於 Flash Cache 模組上的資料。

何時使用外部金鑰管理

雖然使用內建金鑰管理程式的成本較低、而且通常更方便、但如果下列任一項屬實、您應該使用外部金鑰管理:

  • 貴組織的原則需要使用FIPS 140-2第2級(或更高版本)密碼編譯模組的金鑰管理解決方案。

  • 您需要一套多叢集解決方案、集中管理加密金鑰。

  • 您的企業需要更高的安全性、將驗證金鑰儲存在系統或與資料不同的位置。

支援詳細資料

下表顯示重要的硬體加密支援詳細資料。如需支援的KMIP伺服器、儲存系統和磁碟櫃的最新資訊、請參閱互通性對照表。

資源或功能

支援詳細資料

非同質磁碟集

  • FIPS磁碟機無法與同一個節點或HA配對上的其他類型磁碟機混合使用。符合的HA配對可與同一叢集中不符合要求的HA配對共存。

  • SED可與同一節點或HA配對上的非加密磁碟機混合使用。

磁碟機類型

  • FIPS磁碟機可以是SAS或NVMe磁碟機。

  • SED必須是NVMe磁碟機。

10 Gb網路介面

KMIP金鑰管理組態從ONTAP 支援10 Gb網路介面開始、可與外部金鑰管理伺服器進行通訊。

用於與金鑰管理伺服器通訊的連接埠

從功能介紹9.3開始ONTAP 、您可以使用任何儲存控制器連接埠來與金鑰管理伺服器通訊。否則、您應該使用連接埠 e0M 與金鑰管理伺服器通訊。視儲存控制器機型而定、某些網路介面在開機程序期間可能無法用於與金鑰管理伺服器的通訊。

部分(MCC)MetroCluster

  • NVMe磁碟機支援MCC。

  • SAS磁碟機不支援MCC。

硬體型加密工作流程

您必須先設定金鑰管理服務、叢集才能將自己驗證到自我加密磁碟機。您可以使用外部金鑰管理伺服器或內建金鑰管理程式。

硬體型加密工作流程