エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

暗号化されたボリュームでのデータのセキュアー パージ - 概要

セキュアー パージを使用して、VE対応ボリュームのデータを無停止でスクラビングできます。暗号化されたボリュームのデータをスクラビングすると、物理メディアからデータをリカバリーできなくなります。たとえばブロックの上書き時に残るデータの「痕跡」や、解約するテナントのデータを安全に削除する場合に実行します。

セキュアー パージの対象となるのは、VE対応ボリューム上で以前に削除されたファイルだけです。暗号化されていないボリュームはスクラビングできません。キーの提供には、オンボード キー マネージャではなく、KMIPサーバーを使用する必要があります。

セキュアー パージを使用する場合の考慮事項

  • Aggregate Encryption(AE)が有効になっているアグリゲートに作成されたボリュームでは、セキュアー パージがサポートされません。

  • セキュアー パージの対象となるのは、VE対応ボリューム上で以前に削除されたファイルだけです。

  • 暗号化されていないボリュームはスクラビングできません。

  • キーの提供には、オンボード キー マネージャではなく、KMIPサーバーを使用する必要があります。

セキュアー パージの動作は、ONTAPのバージョンによって異なります。

ONTAP 9.8以降
  • セキュアー パージはMetroClusterとFlexGroupでサポートされます。

  • パージするボリュームがSnapMirror関係のソースである場合、セキュアー パージを実行するためにSnapMirror関係を解除する必要はありません。

  • 再暗号化の方法は、SnapMirrorデータ保護(DP)を使用するボリュームと使用しないボリューム、またはSnapMirror拡張データ保護を使用するボリュームとで異なります。

    • SnapMirrorデータ保護(DP)モードを使用するボリュームでは、デフォルトでボリューム移動方式を使用してデータが再暗号化されます。

    • SnapMirrorデータ保護を使用しないボリュームまたはSnapMirror拡張データ保護(XDP)モードを使用するボリュームでは、インプレース再暗号化方式がデフォルトで使用されます。

    • これらのデフォルトの動作は、secure purge re-encryption-method [volume-move|in-place-rekey] コマンドを使用して変更できます。

  • デフォルトでは、FlexVol内のSnapshotコピーはセキュアー パージの実行中にすべて自動的に削除されます。FlexGroupボリュームおよびSnapMirrorデータ保護を使用するボリューム内のSnapshotは、デフォルトではセキュアー パージで自動的に削除されません。これらのデフォルトの動作は、secure purge delete-all-snapshots [true|false] コマンドを使用して変更できます。

ONTAP 9.7
  • 次の機能ではセキュアー パージがサポートされません。

    • FlexClone

    • SnapVault

    • FabricPool

  • パージするボリュームがSnapMirror関係のソースである場合、ボリュームをパージする前にSnapMirror関係を解除する必要があります。

    ボリューム内に使用中のSnapshotコピーがある場合は、ボリュームをパージする前にそのSnapshotコピーを解放する必要があります。たとえば、FlexCloneボリュームを親ボリュームからスプリットする必要がある場合があります。

  • セキュアー パージ機能を呼び出すと、ボリューム移動がトリガーされ、パージされない残りのデータが新しいキーで再度暗号化されます。

    移動されたボリュームは現在のアグリゲートに残ります。パージされたデータをストレージ メディアからリカバリーできないように、古いキーは自動的に破棄されます。

Top of Page