エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

暗号化

ONTAPは、ストレージ メディアの転用、返却、置き忘れ、盗難に際して保存データが読み取られることがないようにソフトウェア ベースとハードウェア ベースの暗号化テクノロジを提供します。

ONTAPは、すべてのSSL接続について連邦情報処理標準(FIPS)140-2に準拠しています。使用可能な暗号化ソリューションは次のとおりです。

  • ハードウェア ソリューション:

    • Storage Encryption(SE)

      SEは、自己暗号化ドライブ(SED)を使用するハードウェア ソリューションです。

    • NVMe SED

      ONTAPでは、FIPS 140-2認定を取得していないNVMe SEDに対するフル ディスク暗号化が可能です。

  • ソフトウェア ソリューション:

    • Aggregate Encryption(AE)

      Aggregate Encryption(AE)は、アグリゲートごとに一意のキーを使用して、あらゆるタイプのドライブのあらゆるデータ ボリュームを暗号化できるソフトウェア ソリューションです。

    • Volume Encryption(VE)

      Volume Encryption(VE)は、ボリュームごとに一意のキーを使用して、あらゆるタイプのドライブのあらゆるデータ ボリュームを暗号化できるソフトウェア ソリューションです。

ソフトウェアの暗号化ソリューション(AEまたはVE)とハードウェアの暗号化ソリューション(SEまたはNVMe SED)の両方を使用して、保存データを二重に暗号化できます。AE暗号化またはVE暗号化は、ストレージ効率に影響しません。

Storage Encryption

Storage Encryption(SE)は、データを書き込み時に暗号化するSEDをサポートします。ディスクに格納された暗号化キーがないとデータを読み取ることはできず、その暗号化キーには認証されたノードからしかアクセスできません。

I/O要求を受け取ったノードは、外部キー管理サーバーまたはオンボード キー マネージャから取得した認証キーを使用してSEDへの認証を行います。

  • 外部キー管理サーバーはストレージ環境に配置されたサードパーティのシステムで、Key Management Interoperability Protocol(KMIP)を使用してノードに認証キーを提供します。

  • オンボード キー マネージャは組み込みのツールで、データと同じストレージ システムからノードに認証キーを提供します。

SEでは、HDDとSSDの自己暗号化ディスクをサポートしています。Volume EncryptionをSEとともに使用すれば、SEドライブのデータを二重に暗号化できます。

Flash Cacheモジュールを搭載したシステムでSEを使用する場合は、VEまたはAEも有効にする必要があります。SEでは、Flash Cacheモジュール上のデータは暗号化されません。

NVMe自己暗号化ドライブ(SED)

NVMe SEDはFIPS 140-2認定を取得していませんが、AES 256ビットの透過的ディスク暗号化を使用して保存データを保護します。

認証キーの生成などのデータ暗号化処理は、内部的に実行されます。認証キーは、ストレージ システムがディスクに初めてアクセスしたときに生成されます。以降、データ処理が要求されるたびにストレージ システム認証が要求されて、ディスク上の保存データが保護されます。

Aggregate Encryption

Aggregate Encryption(AE)は、アグリゲート内のすべてのデータを暗号化するためのソフトウェアベースのテクノロジです。AEのメリットは、ボリュームはアグリゲートレベルの重複排除の対象になりますが、VEボリュームは除外される点です。

AEを有効にすると、アグリゲート内のボリュームをアグリゲート キーで暗号化できるようになります。

ONTAP 9.7以降では、VEライセンスがあり、オンボードまたは外部のキー管理を使用している場合、新しく作成したアグリゲートおよびボリュームがデフォルトで暗号化されます。

Volume Encryption

Volume Encryption(VE)は、一度に1ボリュームずつ保存データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージ システムからしかアクセスできないため、基盤のデバイスがシステムから分離されている場合、ボリュームのデータが読み取られることはありません。

データ(Snapshotコピーを含む)とメタデータの両方が暗号化されます。データへのアクセスには、各ボリューム専用の一意のXTS-AES-256キーを使用します。このキーは、組み込みのオンボード キー マネージャによってデータと同じシステムに安全に保管されます。

VEは、アグリゲートのタイプ(HDD、SSD、ハイブリッド、アレイLUN)やRAIDタイプを問わず、サポートされるすべてのONTAP環境で使用できます。VEをStorage Encryption(SE)とともに使用して、SEドライブのデータを二重に暗号化することもできます。

KMIPサーバーを使用するケース オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合はKMIPサーバーを用意する必要があります。

  • 連邦情報処理標準(FIPS)140-2またはOASIS KMIP標準に準拠した暗号化キー管理ソリューションが必要な場合。

  • マルチクラスタ ソリューションが必要な場合。

    KMIPサーバーでは、複数のクラスタにわたる暗号化キーの一元管理がサポートされます。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

    KMIPサーバーでは、データとは別に認証キーが格納されます。

Top of Page