NVE和NAE如何对数据进行加密？

NVE和NAE由三个组件组成：

• 软件加密模块(CryptoMod)

• 执行数据加密操作并为卷生成加密密钥(请参见图1)。

图1) NVE和NAE加密/解密流

• 在RAID层执行数据加密、以提高存储效率。执行读取操作后、当数据离开RAID层时、数据将不加密。

• 加密密钥

• 系统会分别为NVE和NAE的每个卷或聚合生成唯一的XTS-AES-256数据加密密钥。
• 使用板载密钥管理器(OKM)时、会使用加密密钥层次结构对所有卷或聚合密钥进行加密和保护。这些加密密钥从不以未加密格式显示、显示或报告。

• 密钥管理器

• 存储ONTAP 使用的所有加密密钥
• 可以是板载密钥管理器(OKM)或使用OASIS密钥管理互操作性协议(KMIP)的外部密钥管理器。

与NetApp存储加密进行比较

• NSE要求HA对中的所有驱动器都是专用的自加密驱动器。这些驱动器通过硬件加速机制自行执行数据加密。由于硬件加速、在加密数据时、NSE系统的性能通常优于NVE系统。
• NSE驱动器已通过FIPS 140-2级别2验证、NVE和NAE使用的CryptoMod 已通过FIPS 140-2级别1验证。FIPS 140-2 1级是软件模块可以达到的最高级别。

注意： 软件 CryptoMod 会为自加密驱动器生成身份验证密钥