メインコンテンツまでスキップ

FAQ : NetApp ボリューム暗号化と NetApp アグリゲート暗号化

Views:
53
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

すべてのとおり  

に適用されます

  • 管理
  • ONTAP 9.1

回答

概要

NetApp Volume Encryption ( NVE )は、ソフトウェアベースの静止データ暗号化ソリューションで、 NetApp ONTAP 9.1 管理ソフトウェア以降で利用できます。NVE を使用すると、 ONTAP は自己暗号化ドライブを使用せずにデータを暗号化し、そのデータをディスクに格納できます。また、お客様がアプリケーション層で暗号化を決定した場合に失われる Storage Efficiency 機能を使用することもできます。NVE では、既存のディスクを使用できます。また、 NetApp Storage Encryption ( NSE )ドライブを使用して、二重または階層型の暗号化を行うこともできます。NetApp MetroCluster ソフトウェアと ONTAP Select では、データの暗号化に NVE と NAE のみを使用できます。

  1. ソリューション概要

NVE は、ソフトウェア暗号化モジュール( CryptoMod )、暗号化キー、キー管理ツールで構成されています。

  1. ソフトウェアCryptoMod

CryptoMod ソフトウェアでは、データ暗号化処理が実行され、ボリュームの暗号化キーが生成されます(図 1 を参照)。

図 1 ) NVE 暗号化 / 復号化フロー



暗号化モジュールは RAID レイヤでデータ暗号化を実行し、ストレージの効率化を実現します。読み取り処理の後、データが RAID レイヤから離れるとデータは暗号化されません。

  1. 暗号キーアンゴウキー

ボリュームごとに一意の XTS-AES-256 データ暗号化キーが生成されます。暗号化キー階層は、すべてのボリュームキーの暗号化と保護に使用されます。これらの暗号化キーは、暗号化されていない形式では表示、表示、またはレポートされません。

  1. キー管理ツール

暗号化キーはキー管理ツール内に保存され、 ONTAP で使用されるすべての暗号化キーが追跡されます。Key Manager は、 OKVM (オンボードキーマネージャ)または KMIP (オアシスキー管理相互運用プロトコル)を使用する外部キーマネージャです。

  1. NetApp Storage Encryption との比較

NSE では、専用の自己暗号化ドライブを使用するために、 HA ペア内のすべてのドライブが必要になります。これらのドライブは、ハードウェアアクセラレーションメカニズムを使用してデータの暗号化を実行します。ハードウェアアクセラレーションのため、データを暗号化する場合、 NSE システムは通常、 NVE システムよりも優れたパフォーマンスを発揮します。
NSE ドライブは FIPS 140-2 レベル 2 で検証済みで、 NVE で使用される CryptoMod は FIPS 140-2 レベル 1 で検証済みです。FIPS 140-2 レベル 1 は、ソフトウェアモジュールで達成可能な最高レベルです。

要件
  1. プラットフォーム要件はありますか。

○NVE では、コントローラ CPU が AES-NI と呼ばれるオフロードを提供する必要があります。オフロードが必要なコントローラは、 FAS2620 、 FAS2650 、 FAS6280 、 FAS6290 、 FAS8020 、 FAS8040 、 FAS8060 、 FAS8080 、 FAS8200 、 FAS9000 、 AFF A200 、 AFF A300 、 AFF A700 、 AFF A700S 、および ONTAP 9.1 以降で導入されたすべての新しいコントローラです。

  1. プラットフォームに加えて、 NVE を実行するために他に必要なものは何ですか。

暗号化および NVE ソフトウェアライセンスが可能な ONTAP ソフトウェアイメージが必要です。データを暗号化できない ONTAP イメージには、特別な拡張子が付いています。

  1. NVE はライセンスが必要な機能ですか?

はい。これは、グローバルな貿易コンプライアンスを目的としたものです。

  1. ONTAP 9.1 には暗号化機能を備えた NVE が含まれていることを理解しています。輸出規制ポリシーによって強力な暗号化アルゴリズムの輸出が禁止されている国で、お客様に販売する場合はどうすればよいですか。

ONTAP には、通常のビルドと非保存データ( NDAR )暗号化ビルドの 2 種類のビルドがあります。NODAR ビルドは、の中の nodar という単語によって区別されます version -v または run local のバージョン文字列 version コマンドを使用します

  1. NVE と互換性があるか、または NVE で使用できるキー管理ツールはどれですか?

ONTAP 9.3 では、 OnBoard Key Manager ( OTM )サーバと外部 KMIP サーバを NVE と NAE に使用できます。

  1. 既存の NSE システムに外部 KMIP キーマネージャがあり、 NVE も使用したい場合はどうすればよいですか。

ONTAP 9.3 では、外部キーマネージャを NSE ドライブと NVE の両方に使用できます。

  1. ONTAP 9.3 以降では、 NVE でサポートされる外部キーマネージャはどれですか。

Interoperability Matrix Tool ( IMT )を参照してください。

  1. NSE で必要に応じて、すべてのボリュームを暗号化する必要がありますか。

デスティネーションNVE では、暗号化するボリュームと暗号化しないボリュームを選択できます。  ネイアグリゲートでは、暗号化されていないボリュームは許可されません。  ネイアグリゲート上のすべてのボリュームは、ネイ暗号化または NVE 暗号化されている必要があります。 

  1. NSE ドライブと NVE を併用できますか。

○NVE を使用すると、 NSE ドライブがすでに提供している暗号化レイヤの上に暗号化レイヤを追加できます。

  1. 同じクラスタ内に NVE 対応プラットフォームと NVE 非対応プラットフォームを配置しても、 NVE を使用できますか。

○プラットフォームは、標準の ONTAP プラットフォームの混在ルールに従って混在させることができます。ハイアベイラビリティ( HA )ペアの両方のプラットフォームは、 NVE 対応である必要があります。クラスタ内の NVE 対応でないプラットフォームは、暗号化されたボリュームをホストできません。

アーキテクチャ
  1. NVE と NAE で暗号化されるものは何ですか?

NVE の場合、データボリューム、特に NetApp FlexVol® が暗号化されます。コントローラのルートボリュームと Storage Virtual Machine ( SVM )のルートボリュームは、 NVE では暗号化されません。ネイ、データボリューム、 Storage Virtual Machine ( SVM )ルートボリューム、 MetroCluster のメタデータボリューム( MDV )は暗号化されます。  コントローラのルートボリューム( vol0 )は、ネイトでは暗号化されません。NVE と NAE の両方で、データボリュームの一部™であるすべてのもの( NetApp Snapshot コピーやクローンなど)が暗号化されます。

  1. NetApp ストレージの効率性は、 NVE と NAE を使用しても維持されますか?

○ソリューションの概要( 1.1 項)に示すように、 CryptoMod は RAID レイヤでデータ暗号化を実行します。これにより、暗号化機能の前に実行されるため、ストレージの効率性が維持されます。

  1. NVE と NAE はアグリゲートの重複排除と連携して動作しますか。

アグリゲートされた重複排除アグリゲートに NVE ボリュームを配置できます。NVE ボリュームはアグリゲート重複排除の節約には関与しません。 NVE ボリュームは無視されます。  ネイボリュームは、重複排除によるアグリゲートの削減に参加します。

  1. NVE と NAE は、データの暗号化にどのような種類のアルゴリズムを使用していますか?

NVE と NAE の静止データ暗号化では、 XTS-AES-256 を使用します。XTS-AES-256 に必要なキーは、 CTR_DRBG モードで NIST SP800-90A DRBG を使用して生成され、予測抵抗とヘルスチェックは常にオンになっています。

  1. Snapshot コピーは暗号化されているか

  1. FlexClone ボリュームは暗号化されていますか

○NetApp FlexClone® ボリュームは、元のボリュームと同じキーで暗号化されます。

  1. FlexClone ボリュームは、元のボリュームとは異なる暗号化キーで暗号化できますか。

○FlexClone ボリュームは、最初に元のボリュームからスプリットする必要があります。警告メッセージが表示され、スプリットクローンに新しい暗号化キーを付与するためにボリュームの移動を実行するように指示されます。ユーザーがボリュームの移動を実行すると、スプリットクローンに新しい暗号化キーが設定されます。

  1. データボリュームの暗号化キーは再利用されますか?

デスティネーション各データボリュームキーは、そのボリュームに固有のキーです。

  1. データボリュームに特定のキーを割り当てることはできますか。

デスティネーション暗号化キーは、ボリュームの作成時に自動的に生成されます。

  1. NetApp SnapMirror を使用して、暗号化されたボリュームを別のクラスタにミラーリングする場合、デスティネーションで使用されている暗号化キーと同じですか。

デスティネーションデスティネーションボリュームは独自のボリュームであり、固有のキーがあります。

  1. NVE は、転送中のデータを暗号化しますか?

デスティネーションNVE は、ディスクに保存されているデータ専用です。

  1. SnapMirror を使用して暗号化されたボリュームを別のクラスタにミラーリングする場合、データは転送中またはネットワーク経由で NVE によって暗号化されますか。

デスティネーションNetApp SnapMirror® は、 NetApp WAFL® レイヤの上にあります。したがって、 SnapMirror によって送信されるデータは、 NVE では暗号化されません。詳細については、セクション 1.1 のソリューションの概要を参照してください。

  1. 暗号化キーはクラスタ間でレプリケートされていますか。

デスティネーション暗号化キーは 1 つのクラスタにのみ適用されます。

  1. データボリュームの暗号化キーはどこに保存されますか?

オンボードキーマネージャを使用すると、データボリューム暗号化キーは WAFL メタデータに格納されます。 WAFL メタデータはユーザがアクセスできません。また、 Volume Location Database ( VLDB )にも格納されます。外部キーマネージャを使用すると、データボリューム暗号化キーは KMIP サーバに直接保存されます。

  1. ソースボリュームを暗号化して SnapMirror ターゲットを暗号化したり、逆に暗号化したりすることはできますか。

○ソースボリュームとデスティネーションボリュームでは、異なる暗号化設定を使用できます。

  1. NVE FIPS 140-2 は検証されていますか。

NVE は FIPS 140-2 に準拠しています。このアルゴリズムは、 NVE またはより正確に NVE および OTM で使用される CryptoMod が FIPS 140-2 レベル 1 で検証されるように配置されています。

  1. NVE には、データの流出を防ぐための特別なメカニズムや手順が用意されていますか?

デスティネーションソリッドステートドライブ( SSD )のウェアレベリングのため、 NVE が有効になる前にディスクに保存されていた機密データが存在する可能性があります。ただし、 NetApp ONTAP 9.3 で導入された外部キーサーバでは、ボリュームキーはクラスタの外部にあります。この問題はネットアップ独自のものではありません。 SSD を使用しているベンダーも同じ問題を抱えています。

  1. NVE を使用して、無停止で流出したデータを修正する方法を教えてください。  たとえば、 GDPR の「データの削除権の削除」は確実に削除したいと考えています。

NVE のセキュアパージを使用して、適切なファイルを移動し、感染ファイルの暗号化に使用されたキーを削除することで、 NVE ボリューム上で削除されたファイルを暗号化によって破棄します。NetApp Encryption Power Guide詳細については、を参照してください

設定
  1. 新しいデータボリュームを暗号化する方法を教えてください。

『 NetApp Volume Encryption Power Guide 』を参照してください。

  1. 既存のデータボリュームを暗号化できますか。

○ボリュームの移動を実行すると、ボリュームを移動できます。詳細[1]については、『 NetApp Volume Encryption Power Guide 』を参照してください。

  1. 既存のデータボリュームを暗号化できますか(ボリュームの移動なし)。

○NetApp ONTAP 9.3 以降では、 volume encryption conversion start コマンドを使用して、ボリュームを暗号化できます。ただし、ボリュームを復号化するには、ボリュームの移動が必要です。

  1. 既存のボリュームを、 ONTAP 9.6 のネで暗号化できますか。

デスティネーション次のいずれかを実行する必要があります。

  1. ストレージアグリゲート create -aggregate aggregate_name -node node_name -encrypt-with-aggr-key true を指定して新しいネイアグリゲートを作成し、 encrypt-destination または encrypt-with-aggr-key を指定してボリュームを移動します。ボリュームが追加されると、アグリゲートの重複排除スペースの節約が実現します。
  2. アグリゲート内のすべてのボリュームが NVE ボリュームであることを確認します( NAE アグリゲートではプレーンテキストボリュームはサポートされません)。これを実行すると、ストレージアグリゲート modify -aggregate aggregate_name -node node_name -encrypt-with-aggr-key true を使用して、アグリゲートでネアを有効にできます。次に、ボリューム move start -vserver svm_name -volume volume_name -destination aggregate aggregate_name -encrypt-with-aggr-key true を指定して、同じアグリゲートに NVE ボリュームを移動します。

:これらのオプションでは、ボリュームの移動を完了するために、新しいアグリゲートを作成するための十分な空きスペース、または既存のアグリゲートに十分な空きスペースが必要です。

詳細[2]については、『 NetApp Volume Encryption Power Guide 』を参照してください。

  1.  volume encryption conversion start コマンドの進行状況を表示するにはどうすればよいですか。

           volume encryption conversion show-fields percentage-completed コマンドを使用します。

  1.  アクティブボリューム暗号化の開始中にボリュームを移動できますか?

○  ボリューム暗号化変換のステータスがフェーズ 1 になっている場合は、ボリューム暗号化変換の一時停止が必要です。 -encrypt-destination true を指定してボリュームの移動が開始され、新しいボリュームデータ暗号化キーを使用してボリュームの移動が開始されます。ボリューム暗号化変換のステータスがフェーズ 2 で表示される場合は、 -encrypt-destination true で始まるボリューム移動を一時停止せずに開始できます。  これは、アクティブボリューム暗号化キー再生成開始時のボリューム移動に当てはまります。

  1. ボリューム暗号化の変換プロセスを調整できますか?

デスティネーション  ボリューム暗号化変換プロセスは、ボリュームごとにシングルスレッドで実行されます。ONTAP は、ボリューム暗号化変換プロセスよりもデータアクセス処理を優先します。

  1. 一度に実行できる同時ボリューム暗号化変換プロセスの最大数はありますか。

いいえ。ただし、ノードごとに 4 つ以上の暗号化変換または暗号化ボリュームの移動を同時に行うことはお勧めしません。

  1. ボリュームを削除せずにボリューム暗号化キーを瞬時に削除できますか。

ボリュームの保持期間が終了するまで、ボリュームとともにボリューム暗号化キーが削除されます。保持期間は、 ONTAP の標準ボリューム機能です。保存期間が終了するまで、データはディスク上で暗号化されたままになります。

  1. 暗号化されたボリュームを作成した後の操作を教えてください。

必要ありません。ONTAP では、そのボリュームのデータが暗号化されていることが確認されます。

  1. データボリュームの暗号化を解除できますか?

○詳細[3]については、『 NetApp Volume Encryption Power Guide 』を参照してください。

  1. 既存のボリュームのキーを変更したり、暗号化されたボリュームの暗号化キーを変更したりできますか。

○詳細[4]については、『 NetApp Volume Encryption Power Guide 』を参照してください。

  1. すべてのデータボリュームを NVE で暗号化する必要がありますか。

デスティネーションNVE では、暗号化するデータボリュームを選択できます。

  1. 暗号化されているボリュームを確認する方法を教えてください。

volume show-is-encrypted trueこのコマンドにオプションを指定すると、現在暗号化されているボリュームのリストが表示されます。

  1. オンボードキーマネージャから外部キーマネージャに移行する方法、または逆に移行する方法を教えてください。

NSE を使用している場合は、認証キーをデフォルトの Manufacturer Secure ID ( MSID ) 0x0 にリセットする必要があります。NVE を使用している場合は、すべてのボリュームの暗号化を解除する必要があります。OTM からの場合は、 OTM 設定を削除し、外部キーマネージャ設定を作成します。または、外部キーマネージャからアクセスする場合は、外部キーマネージャの設定を削除して OTM 設定を作成します。最後に、 NSE ドライブの認証キーを設定し、必要なボリュームを NVE で暗号化します。詳細については、『 NetApp Encryption Power Guide 』を参照してください。

  1. コントローラのリブート時に OTM パスフレーズのプロンプトを表示するにはどうすればよいですか。

OTM パスフレーズを要求するに-enable-cc-mode truesecurity key-manager setupは、コマンドでオプションを使用します。

  1. ノードから外部キーマネージャにアクセスする状況はどのようなものですか。

次の場合、ノードがキー管理ツールにアクセスします。

  1. ブート中
  2. キーの作成
  3. A の要求では、次のようになります。
  1. security key-manager query コマンド
  2. security key-manager restore コマンド
  3. security key-manager show -status コマンド
  1. 外部キーマネージャにアクセスできない場合の動作を教えてください。

格納目的

  1. ブート中
  • NVE システム:暗号化されたボリュームはオフラインのままです
  • NSE システム:ブートを拒否する場合は、『 NetApp Encryption Power Guide 』を参照してください
  1. キーの作成:キーは作成されません
  2. A の要求では、次のようになります。
  1. security key-manager query コマンド:キャッシュがいっぱいになると、キー ID が表示されます
  2. security key-manager restore コマンド:コマンドは失敗します
  3. security key-manager show -status コマンド:コマンドは「使用不可」と表示されます
  1. ノードのギブバック中に外部キーマネージャを使用できない場合、 NVE ボリュームではどうなりますか。

NVE ボリュームはオフラインになります。

  1. NVE 対応イメージはどこからダウンロードできますか?

リリース 9.1 以降の ONTAP イメージは、ネットアップのサポートサイトからダウンロードできます。https://mysupport.netapp.com/NOW/download/software/ontap/9.1/download.shtmlたとえば、 ONTAP 9.1 の場合は、に進みます。(図 2 を参照)。

図 2 ) ONTAP ソフトウェアのダウンロードページ


  

 

  1. NVE 対応の ONTAP リリースに、 NVE 非対応の ONTAP リリース(制限対象国のバージョンなど)をインストールするとどうなりますか。

NVE ボリュームがある場合、 ONTAP のインストールは失敗します。

  1. NVE 対応でないバージョンから NVE 対応のバージョン(制限対象国のバージョンなど)に切り替えるにはどうすればよいですか?

完全なアップグレードプロセスを実行せずにスイッチを実行するには、次の 2 つの方法があります。

  • cluster image package delete [-version] cluster image package get [-url] を使用してから使用します。
  • 用途 system node image update [-package ] <url text> [ -replace-package [true] ]
  • Use cluster image update -version 9.5P5 -nodes
  • Use cluster image show-update-progress (When complete, a reboot takes place)
パフォーマンス
  1. NVE のパフォーマンスへの影響

これは、お客様のワークロード、アクティブな暗号化データボリュームの数、プラットフォーム、使用するディスクタイプによって異なります。

  1. NVE では、特定のプラットフォームのパフォーマンスが向上しますか。

○NVE では、コア数が多いプラットフォームのパフォーマンスが向上します。特定の状況では、ハイエンドでは、 NVE のパフォーマンスへの影響はほとんど見られません。たとえば、 NetApp FAS8080 は、同じワークロードと同じ数のアクティブな暗号化データボリュームの FAS8040 よりも影響を受けません。

  1. NVE を使用している場合、 SSD と HDD のパフォーマンスに違いはありますか?

SSD に存在するボリュームは、非常に低レイテンシが必要なため、通常はその場所に配置されます。NVE では、一部のワークロードや動作条件で認識できるように、データの各部分のパスの長さが拡張されます。たとえば、 NetApp All Flash FAS システムで NVE を実行すると、特定のレイテンシでの IOPS 数が少なくなることがあります。HDD に存在するボリュームの場合、そのシステムのボトルネックはディスクであり、 NVE による影響はほとんどありません。

  1. 暗号化されていないボリュームに影響はありますか?

NVE の影響は、暗号化されたボリュームの処理を拡張することによるものです。暗号化されていないボリュームは、通常の状態での動作中は影響を受けません

  1. 既存のシステムで NVE または NAE を有効にするにはどうすればよいですか。影響を測定する方法を教えてください。

システムのヘッドルーム機能をそのまま使用して(暗号化なし)、既存のパフォーマンスがどこにあるかを確認します。次に、 NVE ボリュームまたは NAE ボリュームを追加し(または既存のボリュームを変換し)、ヘッドルーム機能をもう一度使用して変更点を確認します。NVE はボリュームごとに実行されるため、ヘッドルームと影響に基づいて暗号化または作成を一度に行うことができます。

  1. 暗号化が暗号化されていないボリュームに影響を与えないようにするため、暗号化専用の CPU コアの数は限られています。暗号化コアが過負荷になった場合はどうなりますか?

オーバーロードを防止するため、 NVE と NAE は、インテル・チップセットの AES-NI を利用して暗号化を高速化します。オフロードが飽和状態になると、 IOPS の影響が見られます。

相互運用性
  1. MetroCluster で NVE を使用できますか。

○NVE と NAE は、 NetApp MetroCluster で一般的に使用できる唯一の静止データ暗号化オプションです。

  1. ONTAP Select で NVE を使用できますか。

○NVE は、 NetApp ONTAP Select で一般的に使用できる唯一の静止データ暗号化オプションです。

  1. NetApp FlexArray® ソフトウェアで NVE を使用できますか?

○コントローラが NVE をサポートしている限り、 NVE を使用できます。

  1. クラウドボリューム ONTAP で NVE を使用できますか。

○Cloud Volumes ONTAP は ONTAP 9.5 以降でサポートされています。

  1. NetApp フラッシュキャッシュカードで NVE はサポートされていますか?

フラッシュキャッシュ™カード上のデータは、 NVE で使用されるものと同じ暗号化によって暗号化されます。

  1. NetApp フラッシュプールのデータは、 NVE で暗号化されていますか?

○フラッシュプール™キャッシュ内のデータは、 NVE によって暗号化されます。

  1. NetApp SnapLock ソフトウェアと NetApp ONTAP FlexGroup ボリュームは、 NVE と互換性がありますか。

○ONTAP 9.2 以降®では、 SnapLock ソフトウェアと ONTAP FlexGroup ボリュームがサポートされています。  SnapLock は、新しい SnapLock ボリュームでのみサポートされます。  既存の SnapLock ボリュームは、移動、暗号化、キーの変更はできません。

  1. 外部( KMIP )キーマネージャは NVE と互換性がありますか。

○ONTAP 9.3 以降では、外部キーマネージャは NVE と互換性があります。

  1. バックアップアプリケーションで NVE はサポートされていますか。

○NVE は、バックアップターゲットやソリューションに依存しません。バックアップソリューションに提供されるデータは暗号化されません。

  1. NVE はデータパーティショニングをサポートしていますか( ADP や ADPv2 など)?

○NVE は、パーティショニングプロセスの実行後にボリュームが確立されるため、データパーティショニングプロセスに依存しません。 

  1. 既存のボリュームを ONTAP 9.6 のネで暗号化できますか。

デスティネーション次のいずれかを実行する必要があります。

  1. ストレージアグリゲート create -aggregate aggregate_name -node node_name -encrypt-with-aggr-key true を指定して新しいネイアグリゲートを作成し、 encrypt-destination または encrypt-with-aggr-key を指定してボリュームを移動します。  ボリュームが追加されたら、アグリゲートの重複排除スペースの節約を開始します。
  2. アグリゲート内のすべてのボリュームが NVE ボリュームであることを確認します( NAE アグリゲートではプレーンテキストボリュームはサポートされません)。これが完了したら、 storage aggregate modify -aggregate aggregate_name -node node_name -encrypt-with-aggr-key true を指定してアグリゲートで NAE を有効にし、ボリューム move start -vserver svm_name -volume volume_name -destination aggregate_name -encrypt-with-aggr-key true を指定して、同じアグリゲートに NVE ボリュームを移動します。 

:これらのオプションでは、ボリュームの移動を完了するために、新しいアグリゲートを作成するのに十分な空きスペースが必要です。

詳細[5]については、『 NetApp Volume Encryption Power Guide 』を参照してください。

追加情報

AdditionalInformation_Text