メインコンテンツまでスキップ

NVEとNAEでデータを暗号化する方法は何ですか。

Views:
254
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

環境

  • ONTAP 9
  • NetApp Volume Encryption(NVE)
  • NetApp アグリゲート暗号化(ネ)

回答

NVEとNAEは次の3つのコンポーネントで構成されます。
  • ソフトウェア暗号モジュール(CryptoMod)
  • データ暗号化処理を実行し、ボリュームの暗号化キーを生成します(図1を参照)。

図1)NVEとNAEの暗号化/復号化のフロー

1086920-1.png

  • RAIDレイヤでデータ暗号化を実行します。これにより、ストレージ効率が向上します。読み取り処理が完了すると、データがRAIDレイヤから送信されるときに、データの暗号化が解除されます。
  • 暗号キー
  • NVEおよびNAEのボリュームまたはアグリゲートごとに、それぞれ一意のXTS-AES-256データ暗号化キーが生成されます。
  • オンボードキーマネージャ(OKM)を使用する場合、暗号化キー階層を使用して、すべてのボリュームキーまたはアグリゲートキーを暗号化および保護します。これらの暗号化キーは、暗号化されていない形式では表示、表示、レポートされません。
  • キー管理ツール
  • ONTAP で使用されるすべての暗号キーを格納します
  • OASIS Key Management Interoperability Protocol(KMIP)を使用するオンボードキーマネージャ(OKM)または外部キーマネージャを使用できます。

 

NetApp Storage Encryptionとの比較
  • NSEでは、専用の自己暗号化ドライブを使用するために、HAペア内のすべてのドライブが必要になります。これらのドライブは、ハードウェアアクセラレーションメカニズムによってデータの暗号化を実行します。ハードウェアアクセラレーションにより、NSEシステムは通常、データを暗号化する際にNVEシステムよりもパフォーマンスが優れています。
  • NSEドライブ はFIPS 140-2レベル2に準拠しており、NVEおよびNAEで使用されるCryptoModはFIPS 140-2レベル1に準拠してます。FIPS 140-2レベル1は、ソフトウェアモジュールで達成可能な最高レベルです。

注: CryptoMod では、自己暗号化ドライブの認証キーが生成されます

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.
Scan to view the article on your device