Encrypting data in transit - ONTAP に関する FSx

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Encrypting data in transit

このトピックでは、 for ファイルFSxONTAPシステムと接続されたクライアントの間で転送されるファイルデータの暗号化に使用できるさまざまなオプションについて説明します。また、ワークフローに最適な暗号化方法を選択するためのガイダンスも提供します。

AWS グローバルネットワーク AWS リージョン を経由するすべてのデータは、 AWS 安全な施設を離れる前に、物理レイヤーで自動的に暗号化されます。アベイラビリティーゾーン間のトラフィックは、すべて暗号化されます。追加的な暗号化レイヤーでは、このセクションに記載されているもの以外にも、保護が提供されています。 AWS が 、アベイラビリティーゾーン AWS リージョン、インスタンスをまたいで流れるデータを保護する方法の詳細については、Linux インスタンス用 Amazon Elastic Compute Cloud ユーザーガイドの「転送中の暗号化」を参照してください。

Amazon FSx for NetApp ONTAP では、ONTAPファイルシステムと接続されたクライアントFSxの間で転送中のデータを暗号化するための以下の方法をサポートしています。

  • サポートされているすべてのプロトコルと、サポートされている Amazon EC2 Linux および Windows インスタンスタイプで実行されているクライアントに対する Nitro ベースの自動暗号化。

  • NFS および SMBプロトコルを介した Kerberos ベースの暗号化。

  • IPsec、i NFS、SCSIおよび SMBプロトコルでの ベースの暗号化

転送中のデータを暗号化するためにサポートされているすべての方法では、エンタープライズ強度暗号化を提供する業界標準の AES-256 暗号化アルゴリズムが使用されます。

転送中のデータを暗号化する方法を選ぶ

このセクションでは、サポートされている転送時の暗号化方法のどれがワークフローに最適であるかを判断する際に役立つ情報を紹介します。この後のセクションで、サポートされているオプションについて詳しく説明する際に、このセクションを再度参照します。

FSx ONTAP ファイルシステムと接続されたクライアントの間で転送中のデータを暗号化する方法を選択するときは、いくつかの要素を考慮する必要があります。以下のような要素です。

  • AWS リージョン FSx for ONTAP ファイルシステムが実行されている 。

  • クライアントが実行中のインスタンスタイプ。

  • ファイルシステムにアクセスしているクライアントの場所。

  • ネットワークパフォーマンスの要件。

  • 暗号化しようとしているデータプロトコル。

  • Microsoft Active Directory を使用している場合。

AWS リージョン

ファイルシステムが実行中の によって、Amazon Nitro ベースの暗号化を使用できるかどうかが決まり AWS リージョン ます。Nitro ベースの暗号化は、次の  AWS リージョン で利用できます。

  • 米国東部 (バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (オレゴン)

  • 欧州 (アイルランド)

さらに、Nitro ベースの暗号化は、アジアパシフィック (シドニー) の第 2 世代ファイルシステムで使用できます AWS リージョン。

クライアントのインスタンスタイプ

ファイルシステムにアクセスするクライアントがサポートされている Amazon EC2 Mac、Linux、または Windows インスタンスタイプのいずれかで実行されており、ワークフローが Nitro ベースの暗号化 を使用するための他のすべての要件を満たしている場合、Amazon Nitro ベースの暗号化を使用できます。Kerberos またはIPsec暗号化を使用するためのクライアントインスタンスタイプ要件はありません。

クライアントロケーション

ファイルシステムの場所に対してデータにアクセスしているクライアントの場所は、使用できる転送中の暗号化の方法に影響します。クライアントとファイルシステムが同じ にある場合は、サポートされている暗号化方法を使用できますVPC。VPCsトラフィックがトランジットゲートウェイなどの仮想ネットワークデバイスまたはサービスを通過しない限り、クライアントとファイルシステムがピアリングされた にある場合も同様です。クライアントが同じ またはピアリングされた にない場合、またはトラフィックが仮想ネットワークデバイスまたはサービスを通過する場合VPC、Nitro ベースの暗号化は使用できないオプションです。

ネットワークパフォーマンス

Amazon Nitro ベースの暗号化を使用しても、ネットワークのパフォーマンスには影響しません。これは、サポートされている Amazon EC2インスタンスが基盤となる Nitro System ハードウェアのオフロード機能を使用して、インスタンス間の転送中のトラフィックを自動的に暗号化するためです。

Kerberos またはIPsec暗号化を使用すると、ネットワークのパフォーマンスに影響します。これは、これらの暗号化の方法がともにソフトウェアベースであり、クライアントとサーバーが転送中のトラフィックを暗号化および復号化するためにはコンピューティングリソースを使う必要があるためです。

データプロトコル

Amazon Nitro ベースの暗号化とIPsec暗号化は、、NFS、SMBi のすべてのサポートされているプロトコルで使用できますSCSI。Kerberos 暗号化は、 NFSおよび SMBプロトコル (Active Directory を使用) で使用できます。

アクティブディレクトリ

Microsoft Active Directory を使用している場合は、 NFSおよび SMBプロトコルで Kerberos 暗号化を使用できます。

次の図は、どの転送中の暗号化方法を使用すればよいかを判断するのに役立ちます。

5 つの判断ポイントに基づいて、どの転送時の暗号化方法を使用すればよいかを示すフローチャート。

IPsec 暗号化は、以下の条件がすべてワークフローに適用される場合に利用できる唯一のオプションです。

  • NFS、、SMBまたは iSCSI プロトコルを使用しています。

  • ワークフローは Amazon Nitro ベースの暗号化の使用をサポートしていない。

  • Microsoft アクティブディレクトリドメインを使用していない。

AWS Nitro System による転送中のデータの暗号化

Nitro ベースの暗号化では、ファイルシステムにアクセスするクライアントがサポートされている Amazon EC2 Linux または Windows インスタンスタイプで実行されている場合、転送中のデータは自動的に暗号化されます。

Amazon Nitro ベースの暗号化を使用しても、ネットワークのパフォーマンスには影響しません。これは、サポートされている Amazon EC2インスタンスが基盤となる Nitro System ハードウェアのオフロード機能を使用して、インスタンス間の転送中のトラフィックを自動的に暗号化するためです。

Nitro ベースの暗号化は、サポートされているクライアントインスタンスタイプが同じ と にある AWS リージョン か、ファイルシステムの とVPCVPCピアリング接続されている にある場合、自動的に有効になりますVPC。さらに、クライアントがピアリングされた にある場合VPC、Nitro ベースの暗号化を自動的に有効にするために、データは仮想ネットワークデバイスまたはサービス (トランジットゲートウェイなど) を経由できません。Nitro ベースの暗号化の詳細については、Linux または Windows インスタンスタイプ用 Amazon EC2 ユーザーガイドの「転送中の暗号化」セクションを参照してください。

Nitro ベースの転送時の暗号化は、2022 年 11 月 28 日以降に作成されたファイルシステムで次の で使用できます AWS リージョン。

  • 米国東部 (バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (オレゴン)

  • 欧州 (アイルランド)

さらに、Nitro ベースの暗号化は、アジアパシフィック (シドニー) の第 2 世代ファイルシステムで使用できます AWS リージョン。

が利用可能な の詳細については、FSxONTAP AWS リージョン 「Amazon for PricingFSx NetApp ONTAP」を参照してください。

ONTAP ファイルシステムの のパフォーマンス仕様の詳細については、FSx「」を参照してくださいスループットキャパシティがパフォーマンスに与える影響

Kerberos ベースの暗号化を使用した転送中のデータの暗号化

Microsoft Active Directory を使用している場合は、 NFSおよび SMBプロトコルで Kerberos ベースの暗号化を使用して、SVMsMicrosoft Active Directory に参加している の子ボリュームの転送中のデータを暗号化できます。

Kerberos NFSを使用して 経由で転送中のデータを暗号化する

Kerberos を使用した転送中のデータの暗号化は、 NFSv3および NFSv4プロトコルでサポートされています。NFS プロトコルに Kerberos を使用して転送中の暗号化を有効にするには、 NetApp ONTAPドキュメントセンターの「 で Kerberos を使用して強力なセキュリティを確保するNFS」を参照してください。

Kerberos SMBを使用して 経由で転送中のデータを暗号化する

SMB プロトコル経由で転送中のデータの暗号化は、SMBプロトコル 3.0 以降をサポートするコンピューティングインスタンスにマッピングされたファイル共有でサポートされます。これには、Microsoft Windows Server 2012 以降および Microsoft Windows 8 以降のすべてのMicrosoft Windowsバージョンが含まれます。有効にすると、 は、アプリケーションを変更することなくファイルシステムにアクセスするときに、暗号化を使用して転送中のデータFSxONTAPを自動的にSMB暗号化します。

FSx for は、クライアントセッションリクエストによって決定される 128 ビットおよび 256 ビットの暗号化ONTAPSMBをサポートします。さまざまな暗号化レベルの詳細については、 NetApp ONTAPドキュメントセンターの「 で管理」のSMB「サーバー最小認証セキュリティレベルを設定する」セクションを参照してください。 SMB CLI

注記

暗号化アルゴリズムはクライアントによって決まります。NTLM と Kerberos 認証はどちらも 128 ビット暗号化と 256 ビット暗号化の両方で機能します。FSx for ONTAP SMB Server はすべての標準 Windows クライアントリクエストを受け入れ、きめ細かなコントロールは Microsoft グループポリシーまたはレジストリ設定によって処理されます。

を使用してONTAPCLI、 ONTAPSVMsボリュームと ボリュームFSxの転送時の暗号化設定を管理します。にアクセスするにはCLI、NetApp ONTAPSVM「」で説明されているように、転送中の暗号化設定を行う で SSHセッションを確立しますCLI SVMs ONTAP の管理

SVM または ボリュームでSMB暗号化を有効にする方法については、「」を参照してください転送中のデータのSMB暗号化を有効にする

暗号化による転送中のデータのIPsec暗号化

FSx の は、転送モードでIPsecプロトコルを使用して、転送中にデータを継続的に保護および暗号化することONTAPをサポートします。IPsec は、クライアントと の間で転送中のデータの end-to-end 暗号化を提供し、サポートされているすべての IP トラフィックのONTAPファイルシステム FSx - NFS、i SCSI、および SMBプロトコルに対して暗号化します。IPsec 暗号化では、 がIPsec有効な でONTAPSVM設定された FSx と、データにアクセスする接続されたIPsecクライアントで実行されている クライアントの間にIPsecトンネルを確立します。

Nitro ベースの暗号化 をサポートしていないクライアントからデータにアクセスする場合NFSSMB、およびクライアントと SVMsが Kerberos ベースの暗号化に必要な Active Directory に参加していない場合は、 IPsecを使用して 、、iSCSI プロトコル経由で転送中のデータを暗号化することをお勧めします。 AWS Nitro System による転送中のデータの暗号化IPsec i クライアントが Nitro ベースの暗号化をサポートしていない場合、iSCSI SCSIトラフィックの転送中のデータを暗号化するために使用できる唯一のオプションは 暗号化です。

IPsec 認証には、事前共有キー (PSKs) または証明書を使用できます。を使用している場合PSK、使用するIPsecクライアントは で Internet Key Exchange バージョン 2 (IKEv2) をサポートしている必要がありますPSK。FSx ONTAP と クライアントの両方でIPsec暗号化を設定するための大まかな手順は次のとおりです。

  1. ファイルシステムで を有効にして設定IPsecします。

  2. クライアントIPsecに をインストールして設定する

  3. 複数のクライアントアクセスIPsec用に を設定する

IPsec を使用して を設定する方法の詳細についてはPSK、 NetApp ONTAPドキュメントセンターの「Configure IP security (IPsec) over wire encryption」を参照してください。

証明書IPsecを使用して を設定する方法の詳細については、「」を参照してください証明書認証IPsecを使用した の設定