跳转到主内容

常见问题解答: NetApp 卷加密和 NetApp 聚合加密

Views:
17
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

可不使用  

适用于

  • 管理
  • ONTAP 9.1

解答

概述

NetApp 卷加密( NVE )是一款基于软件的、基于数据即用的加密解决方案,从 NetApp ONTAP 9.1 管理软件开始提供。NVE 允许 ONTAP 对数据进行加密并将数据存储在磁盘上、而不需要自加密驱动器。此外、 NVE 还允许客户使用存储效率功能、如果客户决定在应用程序层进行加密,这些功能将会丢失。客户可以将任何现有磁盘与 NVE 配合使用、该磁盘还包括用于双加密或分层加密的 NetApp 存储加密( NSE )驱动器。NVE 和 NAE 是唯一可用于在 NetApp MetroCluster 软件和 ONTAP Select 中加密数据的选项。

  1. 解决方案概述

NVE 由软件加密模块( CryptoMod ),加密密钥和密钥管理器组成。

  1. 软件 CryptoMod

软件 CryptoMod 可执行数据加密操作并为卷生成加密密钥(请参见图 1 )。

图 1 )加密 / 解密流



Cryptood 在 RAID 层执行数据加密,从而使存储效率得以发挥作用。执行读取操作后、数据离开 RAID 层时不会加密数据。

  1. 加密密钥

为每个卷生成唯一的 XTS-AES-256 数据加密密钥。加密密钥层次结构用于加密和保护所有卷密钥。这些加密密钥永远不会以未加密的格式显示、显示或报告。

  1. 密钥管理器

加密密钥存储在密钥管理器中,该管理器会跟踪 ONTAP 使用的所有加密密钥。密钥管理器可以是板载密钥管理器( OKM )或使用 OASIS 密钥管理互操作性协议( KMIP )的外部密钥管理器。

  1. 与 NetApp 存储加密进行比较

NSE 要求 HA 对中的所有驱动器都是专用的自加密驱动器。这些驱动器通过硬件加速机制自行执行数据加密。由于硬件加速、 NSE 系统在加密数据时通常比 NVE 系统性能更好。
NSE 驱动器经过 FIPS 140-2 级别 2 验证、 NVE 使用的密码术经 FIPS 140-2 级别 1 验证。FIPS 140-2 第 1 级是软件模块可以达到的最高水平。

要求
  1. 是否有任何平台要求?

是NVE 要求控制器 CPU 提供一个称为 AES-NI 的卸载。具有所需卸载功能的控制器包括 FAS2620 、 FAS2650 、 FAS6280 、 FAS6290 、 FAS8020 、 FAS8040 、 FAS8060 、 FAS8080 、 FAS8200 、 FAS9000 、 AFF A200 、 AFF A300 、 AFF A700 、 AFF A700 以及随 ONTAP 9.1 及更高版本引入的所有新控制器。

  1. 除了平台之外、我还需要运行 NVE 吗?

您需要一个可以加密和 NVE 软件许可证的 ONTAP 软件映像。不能加密数据的 ONTAP 映像标有特殊扩展名。

  1. 是否为许可功能?

是的、它是用于全球贸易合规性目的的。

  1. 我知道 ONTAP 9.1 包含 nve 、它具有加密功能。如果我向出口控制策略阻止导出强加密算法的国家 / 地区的客户销售该怎么办?

ONTAP 有两种不同的版本:普通版本和无数据(无 DAR )加密版本。Nodar 构建可通过中的 "Nodar" 一词来区分 version -v 或 run local 的版本字符串 version 命令

  1. 哪些密钥管理器与 NVE 兼容或可用?

通过 ONTAP 9.3 、板载密钥管理器 (OKM) 和外部 KMIP 服务器可用于 NVE 和 NAE 。

  1. 如果我的现有 NSE 系统具有外部 KMIP 密钥管理器并希望使用 NVE ,该怎么办?

通过 ONTAP 9.3 、外部密钥管理器可以同时用于 NSE 驱动器和 NVE 。

  1. 从 ONTAP 9.3 开始、哪些外部关键管理器支持 NVE ?

请参阅互操作性表工具( IMT )。

  1. 是否必须按照 NSE 中的要求对我的所有卷进行加密?

目标卷使用 nve ,您可以选择哪些卷已加密、哪些卷未加密。  对于 NAE 聚合、不允许使用未加密的卷。  NAE 聚合上的所有卷必须经过 NAE 加密或 NVE 加密。 

  1. 我可以同时使用 NSE 驱动器吗?

是nve 允许您在 NSE 驱动器已经提供的基础上添加加密层。

  1. 我是否可以在同一个集群中使用支持 NVE 且不支持 NVE 的平台、并且仍然使用 NVE ?

是您可以根据标准 ONTAP 平台混合规则混合使用平台。高可用性( HA )对中的两个平台都必须具备 NVE 功能。集群中不支持 NVE 的平台无法托管加密卷。

架构
  1. 什么是用 NVE 和 NAE 加密的?

对于 NVE 、数据卷(特别是 NetApp FlexVol® 卷)将进行加密。控制器根卷和存储虚拟机( SVM )根卷不使用 NVE 加密。对于 NAE 、数据卷、存储虚拟机( SVM )根卷和 MetroCluster 的元数据卷( MDV )都经过加密。  控制器根卷( vol0 )未使用 NAE 加密。对于 NVE 和 NAE 、数据卷中的任何内容都将进行加密、包括 NetApp Snapshot™ 副本和克隆。

  1. 使用 NVE 和 NAE 时、 NetApp 存储效率是否仍保持不变?

是如解决方案概述(第 1.1 节)中所述、 Cryptood 在 RAID 层执行数据加密、这使得存储效率得以保持在原位、因为它们是在加密功能之前执行的。

  1. NVE 和 NAE 是否可以处理聚合重复数据删除?

您可以将 nve 卷放入已进行重复数据删除的聚合聚合中。nve 卷不参与聚合重复数据删除节省; nve 卷将被忽略。  NAE 卷确实参与了聚合重复数据删除节省。

  1. NVE 和 NAE 使用哪种类型的算法来加密数据?

NVE 和 NAE 的静态数据加密使用 XTS-AES-256 。XTS-AES-256 所需的密钥是使用具有预测性电阻和运行状况检查始终打开的 CTR 模式下的 NIST SP800-90A DRBG 生成的。

  1. Snapshot 副本是否已加密?

  1. FlexClone 卷是否已加密?

是NetApp FlexClone® 卷使用与原始卷相同的密钥进行加密。

  1. FlexClone 卷是否可以使用不同于原始卷的加密密钥进行加密?

是FlexClone 卷必须首先从原始卷中分离。警告消息告诉用户执行卷移动以为分离克隆提供新的加密密钥。用户执行卷移动后、分割克隆具有新的加密密钥。

  1. 是否重复使用数据卷加密密钥?

目标卷每个数据卷密钥对该卷都是唯一的。

  1. 是否可以为数据卷分配特定的密钥?

目标卷创建卷时会自动生成加密密钥。

  1. 如果我使用 NetApp SnapMirror 将加密卷镜像到另一个集群、目标上是否使用相同的加密密钥?

目标卷目标卷是其自己的卷,并且具有其自己的唯一密钥。

  1. NVE 是否对正在运行的数据进行加密?

目标卷nve 专门用于存储在磁盘上的数据。

  1. 如果我使用 SnapMirror 将加密卷镜像到另一个集群、数据是由 NVE 在飞行中还是通过线路加密?

目标卷NetApp SnapMirror® 位于 NetApp WAFL® 层之上,因此由 SnapMirror 发送的数据不会由 NVE 加密。有关详细信息,请参阅第 1.1 节中的解决方案概述。

  1. 是否在集群间复制加密密钥?

目标卷加密密钥仅适用于单个集群。

  1. 数据卷加密密钥存储在何处?

使用板载密钥管理器、数据卷加密密钥存储在 WAFL 元数据中、用户无法访问 WAFL 元数据以及卷位置数据库( VLDB )。使用外部密钥管理器、数据卷加密密钥直接存储在 KMIP 服务器上。

  1. 我的源卷是否可以加密、 SnapMirror 目标是否可以不加密、或者反之?

是源卷和目标卷可以具有不同的加密设置。

  1. NVE FIPS 140-2 是否经过验证?

NVE 符合 FIPS 140-2 标准。这些算法已经实施,以便 NVE 或更准确地说是 NVE 和 OKM 使用的密码术经过 FIPS 140-2 第 1 级验证。

  1. NVE 是否提供特殊机制或程序来防止或处理数据溢出?

目标卷由于固态驱动器( SSD )的磨损水平,在启用 NVE 之前磁盘上的敏感数据仍可能存在。但是,随着 NetApp ONTAP 9.3 中引入的外部密钥服务器、卷密钥在集群外部。此问题并非 NetApp 独有;使用 SSD 的任何供应商都存在相同的问题。

  1. 如何使用 NVE 无中断地补救数据溢出?  例如,我希望确保删除 GDPR " 擦除权 " 中的个人数据。

使用 NVE 安全清除通过移动好的文件并删除用于加密受感染文件的密钥,以加密方式粉碎 NVE 卷上已删除的文件。有关NetApp Encryption Power Guide详细信息,请参见

配置
  1. 如何加密新数据卷?

请参见《 NetApp 卷加密电源指南》。

  1. 是否可以对现有数据卷进行加密?

是您可以通过执行卷移动来执行此操作。有关更多信息、请参见《 NetApp 卷加密电源指南》。

  1. 是否可以对现有数据卷进行加密(不进行卷移动)?

是从 NetApp ONTAP 9.3 开始、可以使用卷加密转换启动命令对卷进行加密。但是,要解密卷、仍需要卷移动。

  1. 我可以在 ONTAP 9.6 中使用 NAE 对现有卷进行加密吗?

目标卷您需要执行以下操作之一:

  1. 创建一个新的包含存储聚合的 NAE 聚合 creation-aggregate_name-node node_name -Encrypt -with-aggr-key true 并通过指定 Encrypt -destination 或 Encrypt -with-aggr-key 将卷移动到该聚合。随着卷的增加、您开始实现聚合重复数据删除空间节省。
  2. 确保聚合中的每个卷都是一个 NVE 卷(在一个 NAE 聚合上不支持纯文本卷)。完成后、可以在聚合上启用 NAE 、并使用 storage aggregate modify-aggregate_name -node node_name -Encrypt -with-aggr-key true 。然后使用卷移动 start - vserver svm_name - volume volume_name - destination-aggregate_name - Encrypt - with-aggr - key true 将 nve 卷移动到同一聚合。

注意:这两个选项都需要足够的可用空间来创建新聚合或在现有聚合中留出足够的可用空间来完成卷移动。

有关更多信息、请参见《 NetApp 卷加密电源指南》。

  1.  如何查看卷加密转换启动命令的进度?

           使用 volume encryption conversion show-fields percent-completed 命令。

  1.  是否可以在活动卷加密开始运行时移动卷?

是  如果卷加密转换显示第 1 阶段的状态,则必须发出卷加密转换暂停,并且卷移动开始时使用 -encrypt-destination true 将使用新的卷数据加密密钥开始卷移动。如果卷加密转换显示的状态为第 2 阶段,则可以在不暂停的情况下启动卷移动(从 -Encrypt 开始)目标为 true 。  当卷在活动卷加密重新密钥启动时移动时,所有这一切都是正确的。

  1. 是否可以调整卷加密转换过程?

目标卷  卷加密转换过程对每个卷运行单线程。ONTAP 将优先于卷加密转换过程的数据访问操作。

  1. 是否可以同时运行最大数量的卷加密转换进程?

不能,但建议每个节点同时不能有 4 个组合加密转换或加密卷移动。

  1. 是否可以在不删除卷的情况下即时删除卷加密密钥?

卷加密密钥将随卷一起删除,直至卷的保留期到期。保留期是标准 ONTAP 卷功能。在保留期到期之前、数据在磁盘上保持加密状态。

  1. 创建加密卷后我该怎么办?

无需任何操作。ONTAP 确保使用该卷的数据已加密。

  1. 是否可以取消对数据卷的加密?

是有关更多信息、请参见《 NetApp 卷加密电源指南》。

  1. 是否可以重新对现有卷进行密钥加密或更改加密卷的加密密钥?

是有关更多信息、请参见《 NetApp 卷加密电源指南》。

  1. 我是否必须使用 NVE 对所有数据卷进行加密?

目标卷您可以选择加密哪些数据卷。

  1. 如何确认哪些卷已加密?

volume show带有-is-encrypted true选项的命令将显示当前加密卷的列表。

  1. 如何从板载密钥管理器过渡到外部密钥管理器?或者反之?

如果您使用的是 NSE 、则需要将身份验证密钥重置为默认制造商安全 ID ( MSID ) 0x0 。如果使用的是 nve 、则需要取消对所有卷的加密。如果您来自 OKM 、请删除 OKM 配置并创建外部密钥管理器配置。或者,如果您来自外部密钥管理器、请删除外部密钥管理器配置并创建 OKM 配置。最后、为 NSE 驱动器设置身份验证密钥并使用 NVE 对所需卷进行加密。有关详细信息,请参见《 NetApp 加密电源指南》。

  1. 如何在控制器重新启动时要求提示输入 OKM 密码短语?

您可以选择使用-enable-cc-mode true命令中的选项来要求使用 OKM 通行密码。 security key-manager setup command.

  1. 节点联系外部密钥管理器的情况是什么?

节点在以下情况下会联系密钥管理器:

  1. 正在启动
  2. 创建密钥。
  3. 应以下请求:
  1. security key-manager query command
  2. security key-manager restore command
  3. security key-manager show -status command
  1. 无法访问外部密钥管理器时的行为是什么?

当:

  1. 正在启动
  • NVE 系统:加密卷保持脱机状态
  • NSE System :拒绝引导、请参见《 NetApp 加密电源指南》
  1. 未创建密钥:密钥
  2. 应以下请求:
  1. security key-manager query 命令:如果已填充高速缓存,则会显示密钥 ID
  2. security key-manager restore 命令:命令将失败
  3. security key-manager show -status 命令:命令将显示不可用
  1. 如果在节点恢复期间外部密钥管理器不可用、则 NVE 卷会发生什么情况?

nve 卷将处于脱机状态。

  1. 我可以从何处下载支持 NVE 的映像?

您可以从 NetApp 支持站点下载用于 9.1 版或更高版本的 ONTAP 映像。例如,转至https://mysupport.netapp.com/NOW/download/software/ontap/9.1/download.shtml ONTAP 9.1 。(参见图 2 。)

图 2 ) ONTAP 软件下载页面


  

 

  1. 如果我在支持 NVE 的 ONTAP 版本上安装支持 ONTAP 的非版本(例如,受限国家的版本)、会发生什么情况?

如果有 nve 卷、 ONTAP 安装应该会失败。

  1. 如何从不支持 NVE 的版本切换到支持 NVE 的版本(例如,限制国家的版本)?

在不执行完全升级过程的情况下完成交换机有两种方法:

  • 使用cluster image package delete [-version] 集群映像软件包,然后使用集群映像软件包 Get[-URL]
  • 用途 system node image update [-package ] <url text> [ -replace-package [true] ]
  • Use cluster image update -version 9.5P5 -nodes
  • Use cluster image show-update-progress (When complete, a reboot takes place)
性能
  1. NVE 对性能有何影响?

这取决于客户工作负载、活动加密数据卷的数量、平台以及正在使用的磁盘类型。

  1. 某些平台是否可以通过 NVE 实现更好的性能?

是具有较高核心数的平台可以更好地利用 NVE 。在某些情况下、在较高端、 NVE 的性能影响可以忽略或不可见。例如,对于相同的工作负载和相同数量的活动加密数据卷, NetApp FAS8080 的影响比 FAS8040 的影响要小。

  1. 在使用 NVE 时、 SSD 和 HDD 之间是否存在性能差异?

由于希望极低延迟,因此通常会将 SSD 中的卷放置在该位置。NVE 可扩展每条数据的路径长度、以便在某些工作负载和操作条件下可以注意到该数据。例如,当 NVE 在 NetApp 全闪存 FAS 系统上运行时、给定延迟下的 IOPS 数量可能会更少。对于驻留在 HDD 中的卷、该系统中的瓶颈是磁盘、对 NVE 的影响不大、甚至不会有任何影响。

  1. 是否会对非加密卷产生影响?

nve 的影响来自扩展加密卷的处理能力。在正常情况下运行时,未加密的卷不应受到影响。

  1. 如果要在现有系统上启用 NVE 或 NAE 、该怎么办?如何衡量影响?

按原样(无加密)使用系统上的保留空间功能来记录现有性能的位置。然后,添加一个 NVE 或 NAE 卷(或转换现有卷)并再次使用保留空间功能查看更改。请记住, nve 是每个卷的;因此,您可以根据保留空间和影响一次加密或创建一个卷。

  1. 为了防止加密影响非加密卷、专用于加密的 CPU 核心数量有限。如果加密核心过载会发生什么情况?

为了防止过载、 NVE 和 NAE 利用英特尔芯片组中的 AES-NI 进行加密加速。如果卸载已饱和、则会以 IOPS 显示影响。

互操作性
  1. 我可以将 NVE 与 MetroCluster 一起使用吗?

是NVE 和 NAE 是 NetApp MetroCluster 唯一可用的静态数据加密选项。

  1. 是否可以将 NVE 与 ONTAP Select 配合使用?

是对于 NetApp ONTAP Select 而言、 NVE 是唯一一种通用的数据即用加密选项。

  1. 是否可以将 NVE 与 NetApp FlexArray® 软件配合使用?

是只要控制器支持 NVE 、您就可以使用 NVE 。

  1. 是否可以将 NVE 与 Cloud Volumes ONTAP 配合使用?

是从 ONTAP 9.5 开始支持 Cloud Volumes ONTAP 。

  1. NetApp 闪存卡是否支持 NVE ?

Flash Cache™ 卡上的数据由 nve 使用的相同密码加密进行加密。

  1. NetApp 闪存池中的数据是否由 NVE 加密?

是闪存池™缓存中的数据由 NVE 加密。

  1. NetApp SnapLock 软件和 NetApp ONTAP FlexGroup 卷是否与 NVE 兼容?

是从 ONTAP 9.2 开始®、支持 SnapLock 软件和 ONTAP FlexGroup 卷。  仅新 SnapLock 卷支持 SnapLock 。  现有 SnapLock 卷不能移动、加密或重新输入密钥。

  1. 外部( KMIP )密钥管理器是否与 NVE 兼容?

是从 ONTAP 9.3 开始、外部关键经理与 NVE 兼容。

  1. 备份应用程序是否支持 NVE ?

是NVE 独立于备份目标或解决方案。提交到备份解决方案的数据未加密。

  1. NVE 是否支持数据分区(例如 ADP/ADPv2 等)?

是由于卷是在执行分区过程之后建立的、因此 nve 与数据分区过程无关。 

  1. 是否可以在 ONTAP 9.6 中使用 NAE 对现有卷进行加密?

目标卷您需要执行以下操作之一:

  1. 创建一个新的包含存储聚合的 NAE 聚合 creation-aggregate_name-node node_name -Encrypt -with-aggr-key true 并通过指定 Encrypt -destination 或 Encrypt -with-aggr-key 将卷移动到该聚合。  添加卷后,您将开始获得聚合重复数据删除空间节省。
  2. 确保聚合中的每个卷都是一个 NVE 卷(在一个 NAE 聚合上不支持纯文本卷)。完成后、可以在聚合上启用 NAE 、同时使用存储聚合 modify-aggregate_name-node node_name-Encrypt -with-aggr-key true 、然后使用卷移动 start 、 vserver svm_name 、 volume volume_name 、 destination-aggregate 聚合名称、 Encrypt 、 with-aggr-key true 将 Nve 卷移动到相同的聚合。 

注意:这两个选项都需要足够的可用空间来创建新聚合或在现有聚合中完成卷移动。

有关更多信息、请参见《 NetApp 卷加密电源指南》。

其他信息

附加信息 _text