Encrypting data in transit - FSx for ONTAP

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Encrypting data in transit

このトピックでは、FSx for ONTAP ファイルシステムと接続されたクライアントの間で転送されるファイルデータを暗号化するために使用できるさまざまなオプションについて説明します。また、ワークフローに最適な暗号化方法を選択するためのガイダンスも提供します。

AWS グローバルネットワーク AWS リージョン を経由するすべてのデータは、 AWS 安全な施設を離れる前に、物理レイヤーで自動的に暗号化されます。アベイラビリティーゾーン間のトラフィックは、すべて暗号化されます。追加的な暗号化レイヤーでは、このセクションに記載されているもの以外にも、保護が提供されています。 AWS が AWS リージョン、アベイラビリティーゾーン、インスタンスをまたいで流れるデータを保護する方法の詳細については、Linux インスタンス用 Amazon Elastic Compute Cloud ユーザーガイドの「転送中の暗号化」を参照してください。

Amazon FSx for NetApp ONTAP は、FSx for ONTAP ファイルシステムと接続されたクライアント間で転送中のデータを暗号化するために、次の方法をサポートしています。

  • サポートされているすべてのプロトコルと、サポートされている Amazon EC2 Linux および Windows インスタンスタイプで実行されているクライアントに対して、Nitro ベースの自動暗号化を行います。

  • NFS および SMB プロトコル上での Kerberos ベースの暗号化。

  • NFS、iSCSI、SMB プロトコル上での IPsec ベースの暗号化

転送中のデータを暗号化するための、サポートされている方法はすべて、エンタープライズレベルの強固な暗号化を実現する業界標準、AES-256 暗号化アルゴリズムを使用しています。

転送中のデータを暗号化する方法を選ぶ

このセクションでは、サポートされている転送時の暗号化方法のどれがワークフローに最適であるかを判断する際に役立つ情報を紹介します。この後のセクションで、サポートされているオプションについて詳しく説明する際に、このセクションを再度参照します。

FSx for ONTAP ファイルシステムと接続されたクライアントとの間で転送中のデータを暗号化する方法を選ぶ際、考慮すべき要素がいくつかあります。以下のような要素です。

  • AWS リージョン FSx for ONTAP ファイルシステムが実行されている 。

  • クライアントが実行中のインスタンスタイプ。

  • ファイルシステムにアクセスしているクライアントの場所。

  • ネットワークパフォーマンスの要件。

  • 暗号化しようとしているデータプロトコル。

  • Microsoft Active Directory を使用している場合。

AWS リージョン

ファイルシステムが実行中の によって、Amazon Nitro ベースの暗号化を使用できるかどうか AWS リージョン が決まります。Nitro ベースの暗号化は、次の  AWS リージョン で利用できます。

  • 米国東部 (バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (オレゴン)

  • 欧州 (アイルランド)

さらに、Nitro ベースの暗号化は、アジアパシフィック (シドニー) のスケールアウトファイルシステムで使用できます AWS リージョン。

クライアントのインスタンスタイプ

ファイルシステムにアクセスしているクライアントが、サポートされている Amazon EC2 Mac、LinuxWindows インスタンスタイプのいずれかで実行されており、ワークフローが Nitro ベースの暗号化を使用するためのその他すべての要件を満たしている場合、Amazon Nitro ベースの暗号化を使用できます。Kerberos または IPsec 暗号化を使用するための、クライアントインスタンスタイプの要件はありません。

クライアントロケーション

ファイルシステムの場所に対してデータにアクセスしているクライアントの場所は、使用できる転送中の暗号化の方法に影響します。クライアントとファイルシステムが同じ VPC にある場合は、サポートされている暗号化方法をどれでも使用できます。クライアントとファイルシステムが、ピア接続された VPC 内にある場合も、トラフィックが仮想ネットワークのデバイスまたはサービス (Transit Gateway など) を通過しない限り、同様です。Nitro ベースの暗号化は、クライアントが同じ VPC かピア接続された VPC にない場合、またはトラフィックが仮想ネットワークのデバイスまたはサービスを通過しない場合は、使用できません。

ネットワークパフォーマンス

Amazon Nitro ベースの暗号化を使用しても、ネットワークのパフォーマンスには影響しません。これは、サポートされている Amazon EC2 インスタンスが、基盤となる Nitro System ハードウェアのオフロード機能を使って、インスタンス間の転送中のトラフィックを自動的に暗号化するためです。

Kerberos または IPsec 暗号化を使用すると、ネットワークのパフォーマンスに影響します。これは、これらの暗号化の方法がともにソフトウェアベースであり、クライアントとサーバーが転送中のトラフィックを暗号化および復号化するためにはコンピューティングリソースを使う必要があるためです。

データプロトコル

Amazon Nitro ベースの暗号化と IPsec 暗号化は、サポートされているすべてのプロトコル (NFS、SMB、iSCSI) で使用することができます。Kerberos 暗号化は、NFS プロトコルと SMB プロトコル (Active Directory を使用) で使用できます。

アクティブディレクトリ

Microsoft Active Directory を使用している場合、NFS プロトコルと SMB プロトコルで Kerberos 暗号化を使用できます。

次の図は、どの転送中の暗号化方法を使用すればよいかを判断するのに役立ちます。

5 つの判断ポイントに基づいて、どの転送時の暗号化方法を使用すればよいかを示すフローチャート。

IPsec 暗号化は、以下のすべての条件がワークフローに当てはまる場合に使用できる、唯一の選択肢です。

  • NFS、SMB、iSCSI のいずれかのプロトコルを使用している。

  • ワークフローは Amazon Nitro ベースの暗号化の使用をサポートしていない。

  • Microsoft アクティブディレクトリドメインを使用していない。

AWS Nitro System による転送中のデータの暗号化

Nitro ベースの暗号化を使用すると、転送中のデータは、ファイルシステムにアクセスするクライアントが、サポートされている Amazon EC2 Linux か Windows インスタンスタイプで実行されているとき、自動的に暗号化されます。

Amazon Nitro ベースの暗号化を使用しても、ネットワークのパフォーマンスには影響しません。これは、サポートされている Amazon EC2 インスタンスが、基盤となる Nitro System ハードウェアのオフロード機能を使って、インスタンス間の転送中のトラフィックを自動的に暗号化するためです。

Nitro ベースの暗号化は、サポートされているクライアントインスタンスタイプが、同じ  AWS リージョン  にあるか、ファイルシステムの VPC とピア接続されている同じ VPC にあるときに、自動的に有効になります。さらに、クライアントが、ピア接続された VPC 内にある場合、Nitro ベースの暗号化を自動的に有効にするために、データは、仮想ネットワークのデバイスまたはサービス (Transit Gateway など) を通過することができません。Nitro ベースの暗号化に関する詳細は、Amazon EC2 の Linux または Windows インスタンス用ユーザーガイドの「転送中の暗号化」を参照してください。

Nitro ベースの転送時の暗号化は、2022 年 11 月 28 日以降に作成されたファイルシステムで次の で使用できます AWS リージョン。

  • 米国東部 (バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (オレゴン)

  • 欧州 (アイルランド)

さらに、Nitro ベースの暗号化は、アジアパシフィック (シドニー) のスケールアウトファイルシステムで使用できます AWS リージョン。

FSx for ONTAP が利用可能な AWS リージョン の詳細については、「Amazon FSx for NetApp ONTAP の料金」を参照してください。

FSx for ONTAP ファイルシステムのパフォーマンスの仕様の詳細については、スループット容量がパフォーマンスに与える影響 を参照してください。

Kerberos ベースの暗号化を使用した転送中のデータの暗号化

Microsoft Active Directory を使用している場合は、NFS および SMB プロトコルで Kerberos ベースの暗号化を使用して、Microsoft Active Directory に参加している SVMs の子ボリュームの転送中のデータを暗号化できます。

Kerberos を使用して NFS 経由で転送中のデータを暗号化する

Kerberos を使用した転送中のデータの暗号化は、NFSv3 プロトコルと NFSv4 プロトコルでサポートされています。NFS プロトコルに Kerberos を使用して、転送中の暗号化を有効にする方法については、NetApp ONTAP ドキュメンテーションセンターの「Using Kerberos with NFS for strong security」を参照してください。

Kerberos を使用して SMB 経由で転送中のデータを暗号化する

SMB プロトコル経由の、転送中のデータの暗号化は、SMB プロトコル 3.0 以降をサポートしているコンピューティングインスタンスにマップされた、ファイル共有でサポートされています。これには、Microsoft Windows Server 2012 以降および Microsoft Windows 8 以降のすべてのMicrosoft Windowsバージョンが含まれます。有効にすると、ユーザーがアプリケーションを変更することなく、FSx for ONTAP はファイルシステムにアクセスする際にSMB 暗号化を使用して転送中のデータを自動的に暗号化します。

FSx for ONTAP SMB は 128 ビットと 256 ビットの暗号化をサポートしています。いずれになるかは、クライアントセッションのリクエストによって決まります。さまざまな暗号化レベルの詳細については、NetApp ONTAP ドキュメントセンターの「Manage SMB with the CLI」にある「Set the SMB server minimum authentication security level」のセクションを参照してください。

注記

暗号化アルゴリズムはクライアントによって決まります。NTLM と Kerberos 認証は、どちらも 128 ビットと 256 ビットの両方の暗号化で動作します。FSx for ONTAP SMB Server は、すべてのスタンダード Windows クライアントリクエストを受け入れ、きめ細かいコントロールは Microsoft グループポリシーまたはレジストリ設定によって処理されます。

ONTAP CLI を使用して、ONTAP SVM およびボリュームの FSx の転送中の暗号化設定を管理します。NetApp ONTAP CLI にアクセスするには、CLI による SVM ONTAP の管理 の説明に従って、転送中の暗号化設定を行う SVM で SSH セッションを確立します。

SVM またはボリュームで SMB 暗号化を有効にする方法については、「」を参照してください転送中のデータの SMB 暗号化を有効にする

IPsec 暗号化を使用した転送中のデータの暗号化

FSx for ONTAP は転送モード中の IPsec プロトコルの使用をサポートしているため、転送中でもデータを継続的に保護し暗号化することができます。IPsec は、NFS、iSCSI、SMB プロトコルなど、サポートされているすべての IP トラフィックについて、クライアントと FSx for ONTAP ファイルシステム間で転送中のデータを end-to-end 暗号化します。IPsec 暗号化を使用すると、IPsec が有効に設定された FSx for ONTAP SVM と、データにアクセスする接続クライアントで実行中の IPsec クライアントとの間に、IPsec トンネルが確立されます。

Nitro ベースの暗号化をサポートしていないクライアントからデータにアクセスするときや、クライアントと SVM が Active Directory (Kerberos ベースの暗号化に必要) に接続されていない場合は、IPsec を使用して NFS、SMB、iSCSI プロトコル経由で転送中のデータを暗号化することが推奨されます。iSCSI クライアントが Nitro ベースの暗号化をサポートしていない場合、iSCSI トラフィックで転送中のデータを暗号化するには、IPsec 暗号化しか使用できません。

IPsec 認証には、事前共有キー (PSK) または証明書のいずれかを使用できます。PSK を使用している場合、使用する IPsec クライアントは PSK で Internet Key Exchange バージョン 2 (IKEv2) をサポートしている必要があります。FSx for ONTAP とクライアントの両方で IPsec 暗号化を設定する手順の概要は次のとおりです。

  1. ファイルシステムで IPsec を有効にし、設定します。

  2. クライアントに IPsec をインストールし、設定します。

  3. 複数のクライアントアクセス用に IPsec を設定します。

PSK を使用して IPsec を設定する方法の詳細については、 NetApp ONTAPドキュメントセンターの「Configure IP security (IPsec ) over wire encryption」を参照してください。

証明書を使用して IPsec を設定する方法の詳細については、「」を参照してください証明書の認証を使用した IPsec の設定