跳到主要内容

配置 Lenovo 卷加密

Lenovo 卷加密(LVE)是一种基于软件的技术,一次可对一个卷中的静态数据进行加密。加密密钥只能由存储系统进行访问,这可以确保在底层设备被改造、回收以及遗失或失窃的情况下正常读取其中的卷数据。

了解 LVE

数据(包括快照副本)和元数据均会加密。仅可通过唯一的 XTS-AES-256 密钥(每个卷一个)来访问数据。密钥由外部密钥管理软件或 Onboard Key Manager 向节点提供:

  • 外部密钥管理软件是您的存储环境中的第三方系统,使用密钥管理互操作性协议 (KMIP) 向节点提供密钥。外部密钥管理软件最好不要在存放数据的存储系统上进行配置。

  • Onboard Key Manager 是一款内置工具,从您的数据所在的存储系统向节点提供密钥。

从 ONTAP 9.7 开始,如果您具有卷加密(VE)许可证并使用板载或外部密钥管理器,则默认会启用聚合和卷加密。只要配置了外部或板载密钥管理器,为全新的聚合和全新的卷配置静态数据加密的方式就会发生变化。默认情况下,全新的聚合将启用 Lenovo 聚合加密(LAE)。默认情况下,不属于 LAE 聚合的全新卷将启用 Lenovo 卷加密(LVE)。如果使用 LAE 聚合中的多租户密钥管理为某个数据存储虚拟机(SVM)配置了密钥管理器,则会自动为针对该 SVM 创建的卷配置 LVE。

您可在新卷或现有卷上启用加密。LVE 支持各种高效存储功能,包括重复数据删除和压缩。
如果使用的是 SnapLock,则只能在新的空 SnapLock 卷上启用加密。无法在现有 SnapLock 卷上启用加密。

LVE 可在任何类型的聚合(硬盘、固态硬盘、混合)上使用,与任何类型的 RAID 配合使用,以及在所有支持的 ONTAP 实施中使用。LVE 还可以与基于硬件的加密一起使用,对自加密驱动器上的数据进行“双重加密”。

当前全闪存阵列和混合系统及其后续系统版本将核心转储存储在其引导设备上。在这些系统上启用 LVE 后,核心转储也会加密。

聚合级加密

通常会为每个加密卷分配一个唯一密钥。删除卷时,密钥也随之删除。

从 ONTAP 9.6 开始,可使用 Lenovo 聚合加密(LAE)将密钥分配给要加密的卷所属的聚合。删除加密卷时,聚合的密钥将保留。只有在删除聚合中的最后一个加密卷后,才会删除密钥。

如果计划执行内联或后台聚合级重复数据删除,则必须使用聚合级加密。否则,LVE 不支持聚合级重复数据删除。

从 ONTAP 9.7 开始,如果您具有卷加密(VE)许可证并使用板载或外部密钥管理器,则默认会启用聚合和卷加密。

LVE 和 LAE 卷可在同一聚合上共存。默认情况下,在聚合级加密下加密的卷是 LAE 卷。您可以在加密卷时覆盖该默认值。

可使用 volume move 命令将 LVE 卷转换为 LAE 卷,反之亦然。可将 LAE 卷复制到 LVE 卷。

何时使用外部密钥管理软件

尽管 Onboard Key Manager 成本较低且在通常情况下更易于使用,但在以下情况下您仍应设置 KMIP 服务器:

  • 您的加密密钥管理解决方案必须符合联邦信息处理标准 (FIPS) 140-2 或 OASIS KMIP 标准。

  • 您需要一种可集中管理加密密钥的多集群解决方案。

  • 您的业务在系统中存储认证密钥时需要更高的安全性,或需要将认证密钥与数据分开存储。

外部密钥管理的范围

外部密钥管理的范围可以确定密钥管理软件是保护集群中的所有 SVM 还是仅保护选定的 SVM:

  • 可使用集群范围 为集群中的所有 SVM 配置外部密钥管理。集群管理员可以访问存储在服务器上的每个密钥。

  • 从 ONTAP 9.6 开始,可使用 SVM 范围 为集群中的指定 SVM 配置外部密钥管理。这对于多租户环境来说是最好的,在此类环境中,每个租户使用不同的 SVM(或一组 SVM)来提供数据。只有特定租户的 SVM 管理员才能访问该租户的密钥。

可以在同一集群中使用这两种范围。如果已为 SVM 配置了密钥管理软件,则 ONTAP 仅使用这些管理软件来保护密钥。否则,ONTAP 将使用为集群配置的密钥管理软件来保护密钥。

支持详细信息

下表显示了 LVE 支持详细信息:

资源或功能支持详细信息
平台需要 AES-NI 卸载功能。请参阅 Lenovo Press 以验证您的平台是否支持 LVE 和 LAE。
加密从 ONTAP 9.7 开始,当添加卷加密(VE)并配置板载或外部密钥管理器时,默认会加密新创建的聚合和卷。

如需创建未加密的聚合,请使用以下命令:storage aggregate create -encrypt-with-aggr-key false

如需创建纯文本卷,请使用以下命令:volume create -encrypt false

在以下情况下,默认不启用加密:
  • 未配置卷加密(VE)
  • 未配置密钥管理器
  • 平台或软件不支持加密
  • 已启用硬件加密
ONTAP所有 ONTAP 实施。
设备硬盘、固态硬盘、混合
RAIDRAID4、RAID-DP、RAID-TEC。
数据卷、现有根卷和 MetroCluster 元数据卷。无法加密 SVM 根卷上的数据。
聚合级加密从 ONTAP 9.6 开始,LVE 支持聚合级加密(LAE):

  • 如果计划执行内联或后台聚合级重复数据删除,则必须使用聚合级加密。

  • 无法对聚合级加密卷重新加密。

  • 聚合级加密卷不支持 secure-purge。

  • 除了数据卷,LAE 还支持 SVM 根卷和 MetroCluster 元数据卷的加密。LAE 不支持根卷的加密。

SVM 范围从 ONTAP 9.6 开始,LVE 仅支持外部密钥管理的 SVM 范围,而不支持 Onboard Key Manager 的 SVM 范围。不支持 MetroCluster。
存储效率重复数据删除、压缩、精简、FlexClone。从父卷中拆分克隆后,克隆仍与父卷使用同一密钥。您会收到警告,提醒需要对拆分克隆进行重新加密。
复制

  • 在进行卷复制时,目标卷必须已启用加密。可为源配置加密并为目标取消配置加密,反之亦然。

  • 在进行 SVM 复制时,将自动加密目标卷,除非目标不包含支持卷加密的节点,在这种情况下复制可以成功,但目标卷未加密。

  • 对于 MetroCluster 配置,每个集群从其配置的密钥服务器中提取外部密钥管理密钥。配置复制服务可将 OKM 密钥复制到伙伴站点。

合规只有新卷才在 Compliance 和 Enterprise 模式下均支持 SnapLock。无法在现有 SnapLock 卷上启用加密。
FlexGroup支持 FlexGroup。目标聚合必须与源聚合的类型相同(无论是卷级还是聚合级)。从 ONTAP 9.5 开始,支持对 FlexGroup 卷进行就地重新加密。
  • Lenovo 卷加密工作流程
    在启用卷加密之前,您必须配置密钥管理服务。可在新卷或现有卷上启用加密。
  • 配置 LVE
    您必须先安装 Lenovo 卷加密(LVE)许可证并配置密钥管理服务,然后才能使用 LVE 加密数据。在安装许可证之前,应确定您的 ONTAP 版本是否支持 LVE。
  • 利用 LVE 加密卷数据
    从 ONTAP 9.7 开始,如果具有 LVE 许可证和板载或外部密钥管理,则默认会启用聚合和卷加密。对于 ONTAP 9.6 及更低版本,可在新卷或现有卷上启用加密。必须已安装 LVE 许可证并启用密钥管理,然后才能启用卷加密。LVE 符合 FIPS-140-2 级别 1 标准。