ONTAP 9.8以降では、必要に応じてIPセキュリティ（IPsec）を使用してネットワークトラフィックを保護できます。IPSecは、ONTAPで使用できるいくつかの移動中 / 転送中データ暗号化オプションの1つです。本番環境でIPSecを使用する前に、IPSecを設定する準備をしておく必要があります。

ONTAPでのIPセキュリティの実装

IPsecは、IETFによって管理されるインターネット標準です。ネットワークエンドポイント間を流れるトラフィックの、IPレベルでのデータ暗号化、データ整合性、認証を実現します。

ONTAPでは、ONTAPとさまざまなクライアントの間のあらゆるIPトラフィック（NFS、SMB、iSCSIプロトコルなど）が、IPsecによって保護されます。プライバシーとデータ整合性を確保するだけでなく、リプレイ攻撃や中間者攻撃などの各種攻撃からネットワークトラフィックを守ります。ONTAPでは、トランスポートモードのIPsec実装を使用します。IPv4かIPv6を使用してONTAPとクライアントの間でキーマテリアルをネゴシエートするために、Internet Key Exchange（IKE）プロトコルバージョン2を利用します。

クラスタでIPSec機能を有効にすると、さまざまなトラフィック特性に一致するONTAPセキュリティポリシーデータベース（SPD）のエントリが、ネットワークに1つ以上必要になります。これらのエントリは、データの処理と送信に必要な特定の保護の詳細（暗号スイートや認証方式など）にマッピングされます。各クライアントにも、対応するSPDエントリが必要です。

トラフィックの種類によっては、別の移動中データ暗号化オプションが望ましいものもあります。たとえば、SnapMirrorとクラスタピアリングトラフィックの暗号化については、IPsecではなくTransport Layer Security（TLS）プロトコルが一般的に推奨されます。これは、ほとんどの状況でTLSの方が高いパフォーマンスが得られるためです。

ONTAP IPsec実装の進化

IPsecはONTAP 9.8で初めて導入されました。その後も実装は以下のように進化と改善を続けています。

特定のONTAPリリースで導入された機能は、特に記載がないかぎり、以降のリリースでもサポートされます。

ONTAP 9.16.1

暗号化や整合性チェックなどいくつかの暗号化処理を、サポート対象のNICカードにオフロードできるようになりました。詳細については、<<「IPsecのハードウェアオフロード機能」>>を参照してください。

ONTAP 9.12.1

MetroCluster IP構成とファブリック接続MetroCluster構成で、フロントエンドのホストプロトコルとしてIPsecがサポートされました。MetroClusterクラスタでのIPsecのサポートはフロントエンドのホストトラフィックに限定され、MetroClusterのクラスタ間LIFではサポートされません。

ONTAP 9.10.1

事前共有キー（PSK）に加えて、証明書もIPsec認証に使用できるようになりました。ONTAP 9.10.1より前のバージョンでは、認証でサポートされるのはPSKのみでした。

ONTAP 9.9.1

IPsecで使用される暗号化アルゴリズムが、FIPS 140-2準拠になりました。これらのアルゴリズムは、FIPS 140-2認定を受けたONTAPのCryptographic Moduleで処理されています。

ONTAP 9.8

IPsecのサポートが、トランスポートモードの実装に基づいて初めて利用可能になりました。

IPSecのハードウェアオフロード機能

ONTAP 9.16.1以降を使用している場合、暗号化や整合性チェックなど一部の計算負荷が高い処理を、ストレージノードに取り付けられたネットワークインターフェイスコントローラー（NIC）カードにオフロードするオプションがあります。このハードウェアオフロードオプションを使用すると、IPsecで保護されたネットワークトラフィックのパフォーマンスとスループットが大幅に向上します。

要件と推奨事項

IPsecのハードウェアオフロード機能を使用する前に、考慮しておくべき要件がいくつかあります。

サポートされるイーサネットカード

ストレージノードに取り付けて使用できるのは、サポートされているイーサネットカードだけです。ONTAP 9.16.1でサポートされるイーサネットカードは以下のとおりです。

X50131A（2p、40G / 100G / 200G / 400GイーサネットコントローラーCX7）
X60243A（4p、10G / 25GイーサネットコントローラーCX7）

クラスタスコープ

IPSecのハードウェアオフロード機能は、クラスタに対してグローバルに設定されます。たとえば、security ipsec configコマンドはクラスタ内のすべてのノードに適用されます。

構成の一貫性

サポートされているNICカードが、クラスタ内のすべてのノードに取り付けられている必要があります。サポートされているNICカードが一部のノードでしか使用できない場合、一部のLIFがオフロード対応のNICにホストされていないと、フェイルオーバー後にパフォーマンスが大幅に低下することがあります。

アンチリプレイの無効化

IPsecのアンチリプレイ保護は、ONTAP（デフォルト設定）とIPsecクライアントで無効にしておく必要があります。無効にしていないと、断片化とマルチパス（冗長ルート）はサポートされません。

制限事項

IPsecのハードウェアオフロード機能を使用する前に、考慮しておくべき制限事項がいくつかあります。

IPv6

IPv6は、IPsecのハードウェアオフロード機能ではサポートされていません。IPv6は、IPsecソフトウェア実装でのみサポートされます。

拡張シーケンス番号

IPSecの拡張シーケンス番号は、ハードウェアオフロード機能ではサポートされていません。通常の32ビットシーケンス番号のみが使用されます。

リンクアグリゲーション

IPSecのハードウェアオフロード機能では、リンクアグリゲーションはサポートされていません。そのため、この機能をONTAP CLIでnetwork port ifgrpコマンドを通じて管理されるインターフェイスやリンクアグリゲーショングループで使用することはできません。

ONTAP CLIでの設定のサポート

ONTAP 9 16.1では、以下に説明するように、IPSecのハードウェアオフロード機能をサポートするために、既存の3つのCLIコマンドが更新されています。詳細については、「ONTAPでのIPセキュリティの設定」も参照してください。

ONTAPコマンド更新

ONTAPコマンド	更新
`security ipsec config show`	ブーリアンパラメーター`Offload Enabled`は、現在のNICオフロードステータスを示します。
`security ipsec config modify`	`is-offload-enabled`パラメーターを使用すると、NICオフロード機能の有効と無効を切り替えられます。
`security ipsec config show-ipsecsa`	インバウンドトラフィックとアウトバウンドトラフィックをバイト数とパケット数で表示するために、4つの新しいカウンタが追加されています。

security ipsec config show

ブーリアンパラメーターOffload Enabledは、現在のNICオフロードステータスを示します。

security ipsec config modify

is-offload-enabledパラメーターを使用すると、NICオフロード機能の有効と無効を切り替えられます。

security ipsec config show-ipsecsa

インバウンドトラフィックとアウトバウンドトラフィックをバイト数とパケット数で表示するために、4つの新しいカウンタが追加されています。

ONTAP REST APIでの設定のサポート

ONTAP 9.16.1では、以下に説明するように、IPSecのハードウェアオフロード機能をサポートするために、既存の2つのREST APIエンドポイントが更新されています。

RESTエンドポイント更新

RESTエンドポイント	更新
`/api/security/ipsec`	パラメーター`offload_enabled`が追加され、PATCHメソッドで使用できるようになりました。
`/api/security/ipsec/security_association`	オフロード機能で処理された総バイト数とパケット数を追跡するために、2つの新しいカウンタ値が追加されています。

/api/security/ipsec

パラメーターoffload_enabledが追加され、PATCHメソッドで使用できるようになりました。

/api/security/ipsec/security_association

オフロード機能で処理された総バイト数とパケット数を追跡するために、2つの新しいカウンタ値が追加されています。

ONTAP 9 マニュアル ( CA08871-402 )

IPセキュリティを使用する準備