跳转到主内容

NetApp wins prestigious Coveo Relevance Pinnacle Award. Learn more!

INSIGHT Japan :2023年 1月25日(水)ANAインターコンチネンタルホテル開催 へ参加・申込を行う

NVE和NAE如何对数据进行加密?

Views:
4
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

适用场景

  • ONTAP 9
  • NetApp 卷加密 (NetApp Volume Encryption, NVE)
  • NetApp 聚合加密( NAE )

问题解答

NVE和NAE由三个组件组成:
  • 软件加密模块(CryptoMod)
  • 执行数据加密操作并为卷生成加密密钥(请参见图1)。

图1) NVE和NAE加密/解密流

1086920-1.png

  • 在RAID层执行数据加密、以提高存储效率。执行读取操作后、当数据离开RAID层时、数据将不加密。
  • 加密密钥
  • 系统会分别为NVE和NAE的每个卷或聚合生成唯一的XTS-AES-256数据加密密钥。
  • 使用板载密钥管理器(OKM)时、会使用加密密钥层次结构对所有卷或聚合密钥进行加密和保护。这些加密密钥从不以未加密格式显示、显示或报告。
  • 密钥管理器
  • 存储ONTAP 使用的所有加密密钥
  • 可以是板载密钥管理器(OKM)或使用OASIS密钥管理互操作性协议(KMIP)的外部密钥管理器。

 

与NetApp存储加密进行比较
  • NSE要求HA对中的所有驱动器都是专用的自加密驱动器。这些驱动器通过硬件加速机制自行执行数据加密。由于硬件加速、在加密数据时、NSE系统的性能通常优于NVE系统。
  • NSE驱动器已通过FIPS 140-2级别2验证、NVE和NAE使用的CryptoMod 已通过FIPS 140-2级别1验证。FIPS 140-2 1级是软件模块可以达到的最高级别。

注意: 软件 CryptoMod 会为自加密驱动器生成身份验证密钥

 

Scan to view the article on your device