KTLS でサポートされている ONTAP 暗号

環境

• ONTAP 9.13.1 以降
• KTLS
• S3

回答

ONTAP S3は、以下に示すプロトコルをサポートしています：  

非PSK-TLSv1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256

PSK-TLSv1.2
TLS_DHE_PSK_WITH_AES_256_GCM_SHA384
TLS_PSK_WITH_AES_256_GCM_SHA384
TLS_DHE_PSK_WITH_AES_128_GCM_SHA256
TLS_PSK_WITH_AES_128_GCM_SHA256

TLSv1.3
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256

• 上記リストに記載されていない暗号スイートは、ONTAP S3では正式にサポートされていません。
• 上記リストから少なくとも1つの暗号スイートが設定されていることを確認してください。
• 他のプロトコルが security configで使用するために設定されている場合でも、TLS接続ではリストに記載されているもののみが使用されるため、ONTAP S3にとってセキュリティ上のリスクにはなりません。
• これらのサポート対象プロトコルは、高度なセキュリティとパフォーマンスオフロード能力を考慮して選定されました。

追加情報

• CONTAP-101905：最低限必要なTLS暗号スイートの削除は、一部のアプリケーションに悪影響を及ぼします