NVE和NAE如何对数据进行加密?
适用场景
- ONTAP 9
- NetApp 卷加密 (NetApp Volume Encryption, NVE)
- NetApp 聚合加密( NAE )
问题解答
NVE和NAE由三个组件组成:
-
软件加密模块(CryptoMod)
- 执行数据加密操作并为卷生成加密密钥(请参见图1)。
图1) NVE和NAE加密/解密流
- 在RAID层执行数据加密、以提高存储效率。执行读取操作后、当数据离开RAID层时、数据将不加密。
-
加密密钥
- 系统会分别为NVE和NAE的每个卷或聚合生成唯一的XTS-AES-256数据加密密钥。
- 使用板载密钥管理器(OKM)时、会使用加密密钥层次结构对所有卷或聚合密钥进行加密和保护。这些加密密钥从不以未加密格式显示、显示或报告。
-
密钥管理器
- 存储ONTAP 使用的所有加密密钥
- 可以是板载密钥管理器(OKM)或使用OASIS密钥管理互操作性协议(KMIP)的外部密钥管理器。
与NetApp存储加密进行比较
- NSE要求HA对中的所有驱动器都是专用的自加密驱动器。这些驱动器通过硬件加速机制自行执行数据加密。由于硬件加速、在加密数据时、NSE系统的性能通常优于NVE系统。
- NSE驱动器已通过FIPS 140-2级别2验证、NVE和NAE使用的CryptoMod 已通过FIPS 140-2级别1验证。FIPS 140-2 1级是软件模块可以达到的最高级别。
注意: 软件 CryptoMod 会为自加密驱动器生成身份验证密钥