Elementドライブ暗号化の仕組み
すべてのとおり
環境
- NetApp Element ソフトウェア
- すべてのNetApp SolidFire ストレージノード
- すべてのNetApp SolidFire SSD
回答
暗号化キーの作成方法
- 各ドライブには、ドライブごとに1つの「一括暗号化キー」があり、ドライブパスワードではキーが保護(暗号化)されます。 実際にはキー自体を設定するのではなく、ドライブのパスワードを管理します
- ここでは、ドライブのパスワードからShamir共有を作成し、クラスタ全体に分割します。 そのため、ドライブごとにキーを配置し、共有パスワードをクラスタ全体に分割します
キー
パスワードを変更するプロセス(通常はキーと呼ばれますが、暗号化キーではなく、ドライブのロックを解除するためのパスワードです)。パスワードは「バルクキー」を暗号化し、ドライブ上のすべてのバイトを暗号化するために使用されます。パスワードは「一括キー」のみを暗号化するため、すばやく設定および変更できます。 パスワードはクラスタ全体に安全に保存されるため、ドライブや単一ノードには保存されず、ネットワークを経由することはありません。このパスワードは、暗号化機能を無効にしてから再度有効にするとリセットされ、数分で完了します
- 上記の手順 は、クラスタ内のすべてのドライブのドライブパスワードを変更します
- ドライブの実際の暗号化キーをリセットする必要がある場合は、ドライブを「安全に消去」する必要があります。つまり、「一括キー」を破棄して新しい暗号化キーを生成します。システムの「バルク暗号化キー」を変更するプロセスでは、ドライブを取り外して追加し、データを移行して保護します(そうしないと失われます)。
アーカイブさ
れたキーを保存するプロセスドライブのパスワードはアーカイブされませんが、クラスタ全体に保存されています。パスワードの組み立てとドライブのロック解除プロセス現在のキー交換または送信のプロセスキーのローカル処理は行われています。キー管理を外部で処理してキーを取り消すプロセスは、暗号化機能を無効にしてから数分後にリセットできます。
これにより、個々のドライブのキーローテーション用の一括キーのパスワードがリセットされます。
- UI / APIを使用してドライブをクラスタから「削除」し、ドライブが使用可能な状態になっていることを確認します
- ドライブでSecure Erase APIコマンドを使用します
- これにより、ドライブは暗号化されたデータを強制的に消去して古いキーを破棄し、新しいキーを生成します
- 次に、ドライブをクラスタに再度追加します
- この処理はスクリプトによって自動化されます
使用される暗号化アルゴリズム
現在、SolidFireの暗号化の大部分はOpenSSLを介して実装されています。スケインとシャミール・シェアが利用されています。Shamir Shareは、Adi Shamirが作成した暗号化アルゴリズムです。秘密の共有の形式であり、秘密は部分に分けられ、各参加者に固有の部分を与え
ます。秘密を再構築するために、一部またはすべての部分が必要になります。暗号化の強度はどのようなものが使用されていますか。
AES-256は、SolidFire が使用
する標準化された暗号化仕様です。証明書に使用するビット長は何ビットか(必要に応じて2048ビット以上)現在、SolidFire は外部で生成された証明書を使用せず、2048ビットキー以上のスクリーンショットでモジュールにインポートされます。SolidFire は自己暗号化ドライブを使用します。クラスタ全体の保存データ暗号化機能は、クラスタのパフォーマンスに影響を与えることなくオン/オフを切り替えることができます。 SolidFire ElementソフトウェアのユーザガイドおよびAPIガイドを参照
クラスタGUIで、[設定]>[保存データの暗号化]>[保存データの暗号化を有効にする]を選択
追加情報
AdditionalInformation_Text