NVEとNAEでデータを暗号化する方法は何ですか。

NVEとNAEは次の3つのコンポーネントで構成されます。

• ソフトウェア暗号モジュール（CryptoMod）

• データ暗号化処理を実行し、ボリュームの暗号化キーを生成します（図1を参照）。

図1）NVEとNAEの暗号化/復号化のフロー

• RAIDレイヤでデータ暗号化を実行します。これにより、ストレージ効率が向上します。読み取り処理が完了すると、データがRAIDレイヤから送信されるときに、データの暗号化が解除されます。

• 暗号キー

• NVEおよびNAEのボリュームまたはアグリゲートごとに、それぞれ一意のXTS-AES-256データ暗号化キーが生成されます。
• オンボードキーマネージャ（OKM）を使用する場合、暗号化キー階層を使用して、すべてのボリュームキーまたはアグリゲートキーを暗号化および保護します。これらの暗号化キーは、暗号化されていない形式では表示、表示、レポートされません。

• キー管理ツール

• ONTAP で使用されるすべての暗号キーを格納します
• OASIS Key Management Interoperability Protocol（KMIP）を使用するオンボードキーマネージャ（OKM）または外部キーマネージャを使用できます。

NetApp Storage Encryptionとの比較

• NSEでは、専用の自己暗号化ドライブを使用するために、HAペア内のすべてのドライブが必要になります。これらのドライブは、ハードウェアアクセラレーションメカニズムによってデータの暗号化を実行します。ハードウェアアクセラレーションにより、NSEシステムは通常、データを暗号化する際にNVEシステムよりもパフォーマンスが優れています。
• NSEドライブ はFIPS 140-2レベル2に準拠しており、NVEおよびNAEで使用されるCryptoModはFIPS 140-2レベル1に準拠しています。FIPS 140-2レベル1は、ソフトウェアモジュールで達成可能な最高レベルです。

注： CryptoMod では、自己暗号化ドライブの認証キーが生成されます