メインコンテンツまでスキップ

Elementドライブ暗号化の仕組み

Views:
18
Visibility:
Public
Votes:
0
Category:
element-software
Specialty:
solidfire
Last Updated:

すべてのとおり

環境

  • NetApp Element ソフトウェア
  • すべてのNetApp SolidFire ストレージノード
  • すべてのNetApp SolidFire SSD

回答

暗号化キーの作成方法

  • 各ドライブには、ドライブごとに1つの「一括暗号化キー」があり、ドライブパスワードではキーが保護(暗号化)されます。  実際にはキー自体を設定するのではなく、ドライブのパスワードを管理します
  • ここでは、ドライブのパスワードからShamir共有を作成し、クラスタ全体に分割します。  そのため、ドライブごとにキーを配置し、共有パスワードをクラスタ全体に分割します

 
キー
パスワードを変更するプロセス(通常はキーと呼ばれますが、暗号化キーではなく、ドライブのロックを解除するためのパスワードです)。パスワードは「バルクキー」を暗号化し、ドライブ上のすべてのバイトを暗号化するために使用されます。パスワードは「一括キー」のみを暗号化するため、すばやく設定および変更できます。  パスワードはクラスタ全体に安全に保存されるため、ドライブや単一ノードには保存されず、ネットワークを経由することはありません。このパスワードは、暗号化機能を無効にしてから再度有効にするとリセットされ、数分で完了します

  1. 上記の手順 は、クラスタ内のすべてのドライブのドライブパスワードを変更します
  2. ドライブの実際の暗号化キーをリセットする必要がある場合は、ドライブを「安全に消去」する必要があります。つまり、「一括キー」を破棄して新しい暗号化キーを生成します。システムの「バルク暗号化キー」を変更するプロセスでは、ドライブを取り外して追加し、データを移行して保護します(そうしないと失われます)。

アーカイブさ






れたキーを保存するプロセスドライブのパスワードはアーカイブされませんが、クラスタ全体に保存されています。パスワードの組み立てとドライブのロック解除プロセス現在のキー交換または送信のプロセスキーのローカル処理は行われています。キー管理を外部処理してキーを取り消すプロセスは、暗号化機能を無効にしてから数分後にリセットできます。
これにより、個々のドライブのキーローテーション用の一括キーのパスワードがリセットされます。

  1. UI / APIを使用してドライブをクラスタから「削除」し、ドライブが使用可能な状態になっていることを確認します
  2. ドライブでSecure Erase APIコマンドを使用します
  3. これにより、ドライブは暗号化されたデータを強制的に消去して古いキーを破棄し、新しいキーを生成します
  4. 次に、ドライブをクラスタに再度追加します
  5. この処理はスクリプトによって自動化されます

使用される暗号化アルゴリズム
現在、SolidFireの暗号化の大部分はOpenSSLを介して実装されています。スケインとシャミール・シェアが利用されています。Shamir Shareは、Adi Shamirが作成した暗号化アルゴリズムです。秘密の共有の形式であり、秘密は部分に分けられ、各参加者に固有の部分を与え

ます。秘密を再構築するために、一部またはすべての部分が必要になります。暗号化の強度はどのようなものが使用されていますか。
AES-256は、SolidFire が使用





する標準化された暗号化仕様です。証明書に使用するビット長は何ビットか(必要応じて2048ビット以上)現在、SolidFire は外部で生成された証明書を使用せず、2048ビットキー以上のスクリーンショットでモジュールにインポートされます。SolidFire は自己暗号化ドライブを使用します。クラスタ全体の保存データ暗号化機能は、クラスタのパフォーマンスに影響を与えることなくオン/オフを切り替えることができます。 SolidFire ElementソフトウェアのユーザガイドおよびAPIガイドを参照

クラスタGUIで、[設定]>[保存データの暗号化]>[保存データの暗号化を有効にする]を選択

clipboard_e92a520fc5d95d25614b3370fc9981453.png

追加情報

AdditionalInformation_Text

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.