NVEとNAEでデータを暗号化する方法は何ですか。
環境
- ONTAP 9
- NetApp Volume Encryption(NVE)
- NetApp アグリゲート暗号化(ネ)
回答
NVEとNAEは次の3つのコンポーネントで構成されます。
-
ソフトウェア暗号モジュール(CryptoMod)
- データ暗号化処理を実行し、ボリュームの暗号化キーを生成します(図1を参照)。
図1)NVEとNAEの暗号化/復号化のフロー
- RAIDレイヤでデータ暗号化を実行します。これにより、ストレージ効率が向上します。読み取り処理が完了すると、データがRAIDレイヤから送信されるときに、データの暗号化が解除されます。
-
暗号キー
- NVEおよびNAEのボリュームまたはアグリゲートごとに、それぞれ一意のXTS-AES-256データ暗号化キーが生成されます。
- オンボードキーマネージャ(OKM)を使用する場合、暗号化キー階層を使用して、すべてのボリュームキーまたはアグリゲートキーを暗号化および保護します。これらの暗号化キーは、暗号化されていない形式では表示、表示、レポートされません。
-
キー管理ツール
- ONTAP で使用されるすべての暗号キーを格納します
- OASIS Key Management Interoperability Protocol(KMIP)を使用するオンボードキーマネージャ(OKM)または外部キーマネージャを使用できます。
NetApp Storage Encryptionとの比較
- NSEでは、専用の自己暗号化ドライブを使用するために、HAペア内のすべてのドライブが必要になります。これらのドライブは、ハードウェアアクセラレーションメカニズムによってデータの暗号化を実行します。ハードウェアアクセラレーションにより、NSEシステムは通常、データを暗号化する際にNVEシステムよりもパフォーマンスが優れています。
- NSEドライブ はFIPS 140-2レベル2に準拠しており、NVEおよびNAEで使用されるCryptoModはFIPS 140-2レベル1に準拠しています。FIPS 140-2レベル1は、ソフトウェアモジュールで達成可能な最高レベルです。
注: CryptoMod では、自己暗号化ドライブの認証キーが生成されます