跳转到主内容

NVE和NAE如何对数据进行加密?

Views:
8
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

适用场景

  • ONTAP 9
  • NetApp 卷加密 (NetApp Volume Encryption, NVE)
  • NetApp 聚合加密( NAE )

问题解答

NVE和NAE由三个组件组成:
  • 软件加密模块(CryptoMod)
  • 执行数据加密操作并为卷生成加密密钥(请参见图1)。

图1) NVE和NAE加密/解密流

1086920-1.png

  • 在RAID层执行数据加密、以提高存储效率。执行读取操作后、当数据离开RAID层时、数据将不加密。
  • 加密密钥
  • 系统会分别为NVE和NAE的每个卷或聚合生成唯一的XTS-AES-256数据加密密钥。
  • 使用板载密钥管理器(OKM)时、会使用加密密钥层次结构对所有卷或聚合密钥进行加密和保护。这些加密密钥从不以未加密格式显示、显示或报告。
  • 密钥管理器
  • 存储ONTAP 使用的所有加密密钥
  • 可以是板载密钥管理器(OKM)或使用OASIS密钥管理互操作性协议(KMIP)的外部密钥管理器。

 

与NetApp存储加密进行比较
  • NSE要求HA对中的所有驱动器都是专用的自加密驱动器。这些驱动器通过硬件加速机制自行执行数据加密。由于硬件加速、在加密数据时、NSE系统的性能通常优于NVE系统。
  • NSE驱动器已通过FIPS 140-2级别2验证、NVE和NAE使用的CryptoMod 已通过FIPS 140-2级别1验证。FIPS 140-2 1级是软件模块可以达到的最高级别。

注意: 软件 CryptoMod 会为自加密驱动器生成身份验证密钥

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.
Scan to view the article on your device