跳转到主内容

NVE和NAE如何对数据进行加密?

Views:
39
Visibility:
Public
Votes:
1
Category:
ontap-9
Specialty:
core
Last Updated:

适用场景

  • ONTAP 9
  • NetApp 卷加密 (NetApp Volume Encryption, NVE)
  • NetApp聚合加密(NAE)

问题解答

NVE和NAE由 三部分组成:
  • 软件加密模块(CryptoModm)
  • 执行数据加密操作并为卷生成加密密钥(参见图1)。

图1) NVE和NAE加密/解密流

NVE和NAE如何加密数据?

  • 在RAID层执行数据加密、以提高存储效率。执行读取操作后、当数据离开RAID层时、数据将处于未加密状态。
  • 加密密钥
  • 系统会分别为NVE和NAE的每个卷或聚合生成一个唯一的XTS-AES-256数据加密密钥。
  • 使用板载密钥管理器(OKM)时、加密密钥层次结构用于加密和保护所有卷或聚合密钥。这些加密密钥不会以未加密格式显示、显示或报告。
  • 密钥管理器
  • 存储 ONTAP使用的所有加密密钥
  • 可以是板载密钥管理器(OKM)、也可以是使用OASY密钥管理互操作性协议(KMIP)的外部密钥管理器。

 

与NetApp存储加密进行比较
  • NSE要求HA对中的所有驱动器都是专用的自加密驱动器。这些驱动器通过硬件加速机制自行执行数据加密。由于硬件加速、NSE系统在加密数据时通常优于NVE系统。
  • NSE驱动器已通过FIPS 140-2 2级验证,NVE和NAE使用的CryptoMode已 通过FIPS 140-2 1级验证。FIPS 140-2 1级是软件模块可以达到的最高级别。

注意: 软件CryptoMod.为自加密驱动器生成身份验证密钥

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.