メインコンテンツまでスキップ

NVEとNAEでデータを暗号化する方法は何ですか。

Views:
452
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

環境

  • ONTAP 9
  • NetApp Volume Encryption(NVE)
  • NetAppアグリゲート暗号化(NAE)

回答

NVEとNAEは 、次の3つのコンポーネントで構成されます。
  • ソフトウェア暗号モジュール(CryptoMod)
  • データ暗号化処理を実行し、ボリュームの暗号化キーを生成します(図1を参照)。

図1)NVEとNAEの暗号化/復号化のフロー

NVEとNAEはどのようにしてデータを暗号化しますか?

  • RAIDレイヤでデータ暗号化を実行します。これにより、Storage Efficiencyが機能します。読み取り処理後、データがRAIDレイヤから出ると、データは暗号化されません。
  • 暗号化キー
  • NVEおよびNAEのボリュームまたはアグリゲートごとに、一意のXTS-AES-256データ暗号化キーが生成されます。
  • オンボードキーマネージャ(OKM)を使用する場合は、暗号化キー階層を使用してすべてのボリュームまたはアグリゲートのキーを暗号化および保護します。これらの暗号化キーは、暗号化されていない形式で表示、表示、報告されることはありません。
  • キー管理ツール
  • ONTAPで使用されるすべての暗号化キーを格納します。
  • オンボードキーマネージャ(OKM)またはOASIS Key Management Interoperability Protocol(KMIP)を使用する外部キーマネージャを使用できます。

 

NetAppノストレージアンゴウカトノヒカク
  • NSEでは、HAペアのすべてのドライブが専用の自己暗号化ドライブである必要があります。これらのドライブは、ハードウェアアクセラレーションメカニズムを使用してデータ暗号化を実行します。データ暗号化では、通常、ハードウェアアクセラレーションのために、NSEシステムの方がNVEシステムよりも優れたパフォーマンスを発揮します。
  • NSEドライブはFIPS 140-2レベル2に準拠しており、NVEとNAEで使用されるCryptoModは FIPS 140-2レベル1に準拠しています。FIPS 140-2レベル1は、ソフトウェアモジュールで達成可能な最高レベルです。

注: ソフトウェアCryptoModは自己暗号化ドライブ用の認証キーを生成します。

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.