エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

オンボード キー管理の有効化(ONTAP 9.7以降)- VE

オンボードキーマネージャを使用して、暗号化されたデータにアクセスする際にクラスタで使用するキーを安全に保管できます。オンボードキーマネージャは、暗号化されたボリュームや自己暗号化ドライブにアクセスする各クラスタで有効にする必要があります。

タスク概要

クラスタにノードを追加するたびに、security key-manager onboard syncコマンドを実行する必要があります。

MetroCluster構成を使用する場合は、同じパスフレーズを使用してまずローカル クラスタでsecurity key-manager onboard enableコマンドを実行し、次にリモート クラスタでsecurity key-manager onboard syncコマンドを実行する必要があります。ローカル クラスタからsecurity key-manager onboard enableコマンドを実行したあとでリモート クラスタで同期する場合、リモート クラスタからenableコマンドを再度実行する必要はありません。

デフォルトでは、ノードのリブート時にキー管理ツールのパスフレーズを入力する必要はありません。リブート後にユーザーにパスフレーズの入力を求めるには、cc-mode-enabled=yesオプションを使用します。

VEの場合、cc-mode-enabled=yesを設定すると、volume createコマンドとvolume move startコマンドで作成したボリュームが自動的に暗号化されます。volume createでは、-encrypt trueを指定する必要はありません。volume move startでは、-encrypt-destination trueを指定する必要はありません。

保存データの暗号化を設定する場合は、Commercial Solutions for Classified(CSfC)の要件を満たすために、Storage Encryption (SE)とVolume Encryptionを使用し、オンボード キー マネージャがCommon Criteriaモードで有効にする必要があります。

オンボードキーマネージャをCommon Criteriaモード(cc-mode-enabled=yes)で有効にすると、システムの動作が次のように変更されます。

  • Common Criteriaモードでは、クラスタ パスフレーズの連続入力エラーが監視されます。

    ブート時に正しいクラスタ パスフレーズを入力しないと、暗号化されたボリュームはマウントされません。この問題を解決するには、ノードをリブートし、正しいクラスタ パスフレーズを入力する必要があります。ブート後は、クラスタ パスフレーズを求められるコマンドを実行するたびに、クラスタ パスフレーズを24時間以内に5回まで試行できます。制限に達した場合(例:クラスタ パスフレーズを5回連続で間違えた場合)、24時間のタイムアウト時間が過ぎるのを待つか、またはノードをリブートして制限をリセットする必要があります。

  • システム イメージの更新では、通常の富士通のRSA-2048コード署名証明書とSHA-256のコード署名ダイジェストではなく、富士通のRSA-3072コード署名証明書とSHA-384のコード署名ダイジェストを使用してイメージの整合性がチェックされます。

    アップグレード コマンドは、さまざまなデジタル署名をチェックして、イメージの内容が変更されていないか、または破損していないかを確認します。検証に成功した場合、イメージの更新プロセスは次のステップに進み、成功しなかった場合は更新に失敗します。システム更新の情報については、cluster imageのマニュアル ページを参照してください。

オンボード キー マネージャは揮発性メモリーにキーを格納します。揮発性メモリーの内容はシステムのリブート時または停止時にクリアされます。通常の動作状態では、揮発性メモリーの内容はシステムが停止してから30秒以内にクリアされます。
開始する前に
  • このタスクを実行するには、クラスタ管理者である必要があります。

  • オンボードキーマネージャを設定する前に、 MetroCluster 環境を設定する必要があります。

手順
  1. キー管理ツールのセットアップを開始します。

    security key-manager onboard enable -cc-mode-enabled yes|no

    リブート後にユーザーにパスフレーズの入力を求めるには、cc-mode-enabled=yesを設定します。VEの場合、cc-mode-enabled=yesを設定すると、volume createコマンドとvolume move startコマンドで作成したボリュームが自動的に暗号化されます。- cc-mode-enabledオプションはMetroCluster構成ではサポートされません。 security key-manager onboard enableコマンドは、security key-manager setupコマンドに置き換わるものです。

    次の例は、リブートのたびにパスフレーズの入力を求めずに、cluster1でキー管理ツール セットアップ コマンドを開始します。

    cluster1::> security key-manager onboard enable
    
    Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. パスフレーズのプロンプトで32~256文字のパスフレーズを入力します。「cc-mode」の場合は64~256文字のパスフレーズを入力します。

    指定した「cc-mode」のパスフレーズが64文字未満の場合、5秒後に再度パスフレーズのプロンプトが表示されます。

  3. パスフレーズの確認のプロンプトでパスフレーズをもう一度入力します。

  4. 認証キーが作成されたことを確認します。

    security key-manager key query -key-type NSE-AK

    security key-manager key queryコマンドは、security key-manager query keyコマンドに置き換わるものです。コマンド構文全体については、マニュアル ページを参照してください。

    次の例では、cluster1の認証キーが作成されたことを検証します。

    cluster1::> security key-manager key query -key-type NSE-AK
                   Node: node1
                Vserver: cluster1
            Key Manager: onboard
       Key Manager Type: OKM
     Key Manager Policy: -
    
     Key Tag                               Key Type Encryption   Restored
    
    ------------------------------------  -------- ------------ --------
    
    node1                                 NSE-AK   AES-256      true
    
        Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000
    
    node1                                 NSE-AK   AES-256      true
    
        Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000
    
    2 entries were displayed.
  5. 必要に応じて、プレーンテキストボリュームを暗号化ボリュームに変換します。

    volume encryption conversion start

    ボリュームを変換する前に、オンボードキーマネージャの設定が完了している必要があります。MetroCluster環境では、両方のサイトでオンボードキーマネージャを設定する必要があります。

終了後の操作

あとで使用できるように、ストレージ システムの外部の安全な場所にパスフレーズをコピーしておきます。

オンボード キー マネージャのパスフレーズは、災害時に備えて、ストレージ システム外部の安全な場所にも手動でバックアップしておく必要があります。「オンボード キー管理情報の手動バックアップ」を参照してください。

Top of Page