エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

ハードウェアベースの暗号化の設定 - 概要

ハードウェアベースの暗号化は、データ書き込み時のFull Disk Encryption(FDE)をサポートします。ファームウェアに格納された暗号化キーがないとデータを読み取ることはできず、その暗号化キーには認証されたノードからしかアクセスできません。

ハードウェアベースの暗号化について

ノードは、外部キー管理サーバーまたはオンボード キー マネージャから取得した認証キーを使用して自己暗号化ドライブへの認証を行います。

  • 外部キー管理サーバーはストレージ環境に配置されたサードパーティのシステムで、Key Management Interoperability Protocol(KMIP)を使用してノードにキーを提供します。外部キー管理サーバーは、データとは別のストレージ システムで設定することを推奨します。

  • オンボード キー マネージャは組み込みのツールで、データと同じストレージ システムからノードに認証キーを提供します。

Volume Encryptionをハードウェアベースの暗号化とともに使用すれば、自己暗号化ドライブのデータを「二重に暗号化」することができます。

自己暗号化ドライブを有効にすると、コア ダンプも暗号化されます。

HAペアでSASドライブまたはNVMeドライブ(SED、SE、FIPS)の暗号化を使用している場合は、システムを初期化(ブート オプション4または9)する前に、HAペア内のすべてのドライブに対して「FIPSドライブまたはSEDを非保護モードに戻す」の手順を実行しておく必要があります。この手順を実行しない場合は、将来ドライブを転用した時にデータが失われる可能性があります。

サポートされている自己暗号化ドライブのタイプ

2種類の自己暗号化ドライブがサポートされています。

  • すべてのETERNUS HX seriesおよびETERNUS AX/AC seriesで、自己暗号化機能を備えたFIPS認定のSASドライブまたはNVMeドライブがサポートされます。これらのドライブはFIPSドライブと呼ばれ、米国連邦情報処理規格140-2レベル2の要件に準拠しています。認定された機能により、ドライブに対するサービス拒否攻撃を防止するなど、暗号化に加えて保護機能が有効になります。FIPSドライブは、同じノードまたはHAペアで他のタイプのドライブと混在させることはできません。

  • FIPSの検証が完了していない自己暗号化NVMeドライブがサポートされます。これらのドライブはSEDと呼ばれ、FIPSドライブと同じ暗号化機能を提供しますが、同じノードまたはHAペアで非暗号化ドライブと混在させることもできます。

  • すべてのFIPS準拠ドライブは、FIPS認定を受けたファームウェア暗号化モジュールを使用します。 FIPSドライブの暗号化モジュールは、ドライブの外部で生成されたキーを使用しません(ドライブに入力された認証パスフレーズを使用してキー暗号化キーを取得します)。

非暗号化ドライブとは、SEDでもFIPSでもないドライブです。
Flash Cacheモジュールを搭載したシステムでSEを使用する場合は、VEまたはAEも有効にする必要があります。SEでは、Flash Cacheモジュール上のデータは暗号化されません。

外部キー管理を使用する状況

オンボード キー マネージャを使用した方がコストもかからず一般的には便利ですが、次のいずれかに当てはまる場合は外部キー管理を使用する必要があります。

  • 組織のポリシーで、FIPS 140-2レベル2(以上)の暗号化モジュールを使用するキー管理ソリューションが求められる場合。

  • 暗号化キーを一元管理するマルチクラスタ ソリューションが必要な場合。

  • 認証キーをデータとは別のシステムや場所に格納してセキュリティを強化する必要がある場合。

サポートの詳細

次の表に、重要なハードウェア暗号化のサポートの詳細を示します。サポート対象のKMIPサーバー、ストレージ システム、ドライブ シェルフの最新情報については、当社サポートにお問い合わせください。

リソースまたは機能

サポートの詳細

異なるタイプのドライブの混在

  • FIPSドライブは、同じノードまたはHAペアで他のタイプのドライブと混在させることはできません。準拠したHAペアと準拠していないHAペアを同じクラスタに共存させることは可能です。

  • SEDは、同じノードまたはHAペアで非暗号化ドライブと混在させることができます。

ドライブ タイプ

  • FIPSドライブには、SASドライブまたはNVMeドライブを使用できます。

  • SEDは、NVMeドライブである必要があります。

10Gbネットワーク インターフェイス

KMIPを使用したキー管理の設定で外部キー管理サーバーとの通信に10Gbネットワーク インターフェイスがサポートされます。

キー管理サーバーとの通信用のポート

任意のストレージ コントローラー ポートを使用してキー管理サーバーと通信できます。それ以外の場合は、キー管理サーバーとの通信にポートe0Mを使用する必要があります。ストレージ コントローラーのモデルによっては、ブート プロセス時に一部のネットワーク インターフェイスをキー管理サーバーとの通信に使用できない場合があります。

MetroCluster(MCC)

  • NVMeドライブではMCCがサポートされます。

  • SASドライブではMCCがサポートされません。

ハードウェアベースの暗号化のワークフロー

自己暗号化ドライブに対してクラスタを認証するには、キー管理サービスを設定する必要があります。外部キー管理サーバーまたはオンボード キー マネージャを使用できます。

ハードウェアベースの暗号化のワークフロー
Top of Page