エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

Volume Encryptionの設定 - 概要

Volume Encryption(VE)は、一度に1ボリュームずつ保存データを暗号化するためのソフトウェアベースのテクノロジです。暗号化キーにはストレージ システムからしかアクセスできないため、基盤のデバイスの転用、返却、置き忘れ、盗難に際してボリュームのデータが読み取られることはありません。

VEの概要

VEでは、メタデータとデータ(Snapshotコピーを含む)の両方が暗号化されます。データへのアクセスには、ボリュームごとに 1 つずつ、一意の XTS-AES-256 キーを使用します。外部キー管理サーバーまたはオンボードキーマネージャ(OKM)がノードにキーを提供します。

  • 外部キー管理サーバーはストレージ環境に配置されたサードパーティのシステムで、Key Management Interoperability Protocol(KMIP)を使用してノードにキーを提供します。外部キー管理サーバーは、データとは別のストレージ システムで設定することを推奨します。

  • オンボード キー マネージャは組み込みのツールで、データと同じストレージ システムからノードにキーを提供します。

Volume Encryption(VE)ライセンスがあり、オンボード / 外部キー マネージャを使用している場合、アグリゲートとボリュームの暗号化がデフォルトで有効になります。VEライセンスはONTAP Oneに付属しています。オンボード / 外部キー マネージャが設定されている場合、新しいアグリゲートとボリュームでは保存データの暗号化の設定が異なります。新しいアグリゲートに対しては、デフォルトでAggregate Encryption(AE)が有効になります。AEアグリゲートに属さない新しいボリュームに対しては、デフォルトでVolume Encryption(VE)が有効になります。マルチテナント キー管理を使用してデータStorage Virtual Machine(SVM)に独自のキー マネージャが設定されている場合、そのSVMに対して作成されたボリュームには自動的にVEが設定されます。

新しいボリュームと既存のボリュームのいずれでも暗号化を有効にできます。VEでは、重複排除や圧縮など、ストレージ効率化のためのさまざまな機能をサポートしています。ONTAP 9.14.1以降では、既存のSVMルート ボリュームでVEを有効化できます。

SnapLockを使用している場合は、新しい空のSnapLockボリュームでのみ暗号化を有効にできます。既存のSnapLockボリュームで暗号化を有効にすることはできません。

VEは、アグリゲートのタイプ(HDD、SSD、ハイブリッド、アレイLUN)やRAIDタイプを問わず、サポートされるすべてのONTAP環境で使用できます。VEをハードウェア ベースの暗号化と併用すれば、自己暗号化ドライブのデータを「二重に暗号化」することもできます。

VEを有効にすると、コア ダンプも暗号化されます。

アグリゲートレベルの暗号化

通常、暗号化されたすべてのボリュームには一意のキーが割り当てられます。このキーは、ボリュームを削除すると一緒に削除されます。

Aggregate Encryption(AE)を使用して、暗号化するボリュームの包含アグリゲートにキーを割り当てることができます。暗号化されたボリュームを削除しても、アグリゲートのキーは削除されません。このキーは、アグリゲート全体を削除すると削除されます。

アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。そうしない場合は、VEでアグリゲートレベルの重複排除がサポートされません。

Volume Encryption(VE)ライセンスがあり、オンボード / 外部キー マネージャを使用している場合、アグリゲートとボリュームの暗号化がデフォルトで有効になります。

VEボリュームとAEボリュームは同一アグリゲート内で共存できます。アグリゲートレベルの暗号化で暗号化されたボリュームは、デフォルトでAEボリュームになります。このデフォルトの設定は、ボリュームを暗号化するときに無効にすることができます。

volume moveコマンドを使用して、VEボリュームをAEボリュームに(またはその逆に)変換することができます。AEボリュームはVEボリュームにレプリケートできます。

AEボリュームではsecure purgeコマンドを使用できません。

外部キー管理サーバーを使用する状況

オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合はKMIPサーバーを用意する必要があります。

  • 連邦情報処理標準(FIPS)140-2またはOASIS KMIP標準に準拠した暗号化キー管理ソリューションが必要な場合。

  • 暗号化キーを一元管理するマルチクラスタ ソリューションが必要な場合。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

外部キー管理のスコープ

外部キー管理のスコープによって、キー管理サーバーの保護対象がクラスタ内の全SVMになるか、選択したSVMのみになるかが決まります。

  • クラスタ内の全SVMを対象に外部キー管理を設定するには、クラスタ スコープを使用します。クラスタ管理者は、サーバーに格納されているすべてのキーにアクセスできます。

  • SVMスコープを使用して、クラスタ内の指定したSVMを対象に外部キー管理を設定できます。各テナントが異なるSVM(またはSVMのセット)を使用してデータを提供するマルチテナント環境には、この方法が最適です。特定のテナントのSVM管理者だけが、そのテナントのキーにアクセスできます。

同じクラスタで両方のスコープを使用できます。1つのSVMに対してキー管理サーバーが設定されている場合は、それらのサーバーのみを使用してキーが保護されます。そうでない場合は、クラスタに対して設定されたキー管理サーバーでキーが保護されます。

サポートの詳細

次の表に、VEのサポートの詳細を示します。

リソースまたは機能

サポートの詳細

プラットフォーム

AES-NIオフロード機能が必要です。

暗号化

Volume Encryption(VE)ライセンスを追加し、オンボードまたは外部のキー マネージャを設定している場合、新しく作成したアグリゲートおよびボリュームはデフォルトで暗号化されます。暗号化せずにアグリゲートを作成する必要がある場合は、次のコマンドを使用します。

storage aggregate create -encrypt-with-aggr-key false

プレーン テキストのボリュームを作成する必要がある場合は、次のコマンドを使用します。

volume create -encrypt false

次の場合、暗号化はデフォルトで有効になりません。

  • VEライセンスがインストールされていない。

  • キー マネージャが設定されていない。

  • プラットフォームまたはソフトウェアで暗号化がサポートされていない。

  • ハードウェア暗号化が有効になっている。

ONTAP

すべてのONTAP実装。ONTAP 9.7以降では、ONTAP Cloudがサポートされます。

デバイス

HDD、SSD、ハイブリッド、アレイLUN。

RAID

RAID0、RAID4、RAID-DP、RAID-TEC。

ボリューム

データ ボリュームと既存のSVMルート ボリューム。MetroClusterメタデータ ボリュームのデータは暗号化できません。9.14.1よりも前のバージョンのONTAPでは、VEでSVMルート ボリュームのデータを暗号化することはできません。ONTAP 9.14.1以降では、ONTAPでSVMルート ボリュームでのVEがサポートされます。

アグリゲートレベルの暗号化

ONTAP 9.7以降では、VEでアグリゲートレベルの暗号化(AE)がサポートされます。

  • アグリゲートレベルの重複排除をインラインまたはバックグラウンドで実行する場合は、アグリゲートレベルの暗号化を使用する必要があります。

  • アグリゲートレベルで暗号化されたボリュームのキーは変更できません。

  • アグリゲートレベルで暗号化されたボリュームでは、セキュアー パージがサポートされません。

  • AEでは、データ ボリュームに加えて、SVMルート ボリュームとMetroClusterメタデータ ボリュームの暗号化がサポートされます。ただし、ルート ボリュームの暗号化はサポートされません。

SVMスコープ

VEで外部キー管理のみを対象にSVMスコープがサポートされます。オンボード キー マネージャに対してはサポートされません。MetroClusterはONTAP 9.8以降でサポートされます。

ストレージ効率

重複排除、圧縮、コンパクション、FlexClone。

クローンでは、親からスプリットしたあとも親と同じキーを使用します。クローンをスプリットする際には、volume moveを実行する必要があります。その後、スプリットしたクローンには別のキーが割り当てられます。

レプリケーション

  • ボリューム レプリケーションでは、ソース ボリュームとデスティネーション ボリュームで異なる暗号化設定を使用できます。ソースに対して暗号化を設定し、デスティネーションに対して暗号化の設定を解除できます(その逆も可能です)。

  • SVMレプリケーションの場合、デスティネーション ボリュームは自動的に暗号化されます。ただし、ボリューム暗号化をサポートするノードがデスティネーションに含まれていない場合、レプリケーションは成功しますが、デスティネーション ボリュームは暗号化されません。

  • MetroCluster構成では、各クラスタが設定されたキー サーバーから外部キー管理のキーを取得します。OKM(オンボード キー マネージャ)のキーは、設定レプリケーション サービスによってパートナー サイトにレプリケートされます。

コンプライアンス

新しいボリュームのみを対象に、SnapLockがComplianceモードとEnterpriseモードの両方でサポートされます。既存のSnapLockボリュームで暗号化を有効にすることはできません。

FlexGroup

FlexGroupがサポートされます。デスティネーション アグリゲートは、ソース アグリゲートと同じタイプ(ボリュームレベルまたはアグリゲートレベル)である必要があります。FlexGroupボリュームのキーをインプレースで変更できます。

Top of Page