加密

ONTAP 同时提供了基于软件和基于硬件的加密技术，这可以确保在存储介质被改造、回收以及遗失或失窃的情况下正常读取其中的静态数据。

注

必须拥有加密的 ONTAP build，才能利用 LAE 或 LVE，或使用 LSE/SED 驱动器的密钥管理系统。非加密 ONTAP 不支持加密功能。因此，SED 驱动器与非加密 ONTAP 一起使用时，其行为将变为非 SED 驱动器。

对于所有 SSL 连接，ONTAP 均符合美国联邦信息处理标准（FIPS）140-2。您可以使用以下加密解决方案：

硬件解决方案：
- Lenovo 存储加密（LSE）
  LSE 是一种使用自加密驱动器（SED）的硬件解决方案。
- ONTAP 为没有 FIPS 140-2 认证的 NVMe SED 提供全磁盘加密。
软件解决方案：
- Lenovo 聚合加密（LAE）
  LAE 是一种软件解决方案，当通过唯一密钥在每个聚合上启用时，它可支持对任意驱动器类型上的任意数据卷进行加密。
- Lenovo 卷加密（LVE）
  LVE 是一种软件解决方案，当通过唯一密钥在每个卷上启用时，它可支持对任意驱动器类型上的任意数据卷进行加密。

当同时使用软件（LAE 或 LVE）和硬件（LSE 或 NVMe SED）加密解决方案时，即可实现双重静态加密。存储效率不受 LAE 或 LVE 加密的影响。

注

必须拥有加密的 ONTAP build，才能利用 LAE 或 LVE 或使用 LSE/SED 驱动器的板载密钥管理功能。

Lenovo 存储加密

Lenovo 存储加密（LSE）支持在数据写入时即进行加密的 SED。如果磁盘上没有存储加密密钥，将无法读取数据。相应地，只有认证节点才能访问加密密钥。

在进行 I/O 请求时，节点会使用从外部密钥管理软件或 Onboard Key Manager 检索到的认证密钥向 SED 进行自我认证：

LSE 支持自加密硬盘和固态硬盘。您可将 Lenovo 卷加密与 LSE 配合使用，对 LSE 驱动器上的数据进行“双重加密”。

NVMe SED 没有 FIPS 140-2 认证，但是，这些磁盘使用 AES 256 位透明磁盘加密功能来保护静态数据。

数据加密操作（例如生成认证密钥）是在内部执行的。认证密钥是在存储系统第一次访问磁盘时生成的。之后，磁盘将在每次请求数据操作时都要求存储系统进行认证，从而保护静态数据。

Lenovo 聚合加密（LAE）是一种基于软件的技术，可加密聚合上的所有数据。LAE 的一个优势是卷包含在聚合级重复数据删除范围内，而 LVE 则不包括卷在内。

启用 LAE 后，可以使用聚合密钥对聚合中的卷进行加密。

从 ONTAP 9.7 开始，如果具有 LVE 许可证和板载或外部密钥管理，则默认会加密新创建的聚合和卷。

Lenovo 卷加密（LVE）是一种基于软件的技术，一次可对一个卷中的静态数据进行加密。加密密钥只能由存储系统进行访问，可确保在底层设备与系统分开时无法读取其中的卷数据。

数据（包括快照副本）和元数据均会加密。通过唯一的 XTS-AES-256 密钥（每个卷一个）获得对数据的访问权限。内置 Onboard Key Manager 将密钥和您的数据一起存储在同一个系统上进行保护。

您可在任何类型的聚合（硬盘、固态硬盘、混合、阵列 LUN）上使用 LVE，与任何类型的 RAID 配合使用，在所有支持的 ONTAP 实施中使用。您还可将 LVE 与 Lenovo 存储加密（LSE）配合使用，对 LSE 驱动器上的数据进行双重加密。

KMIP 服务器的使用场合尽管 Onboard Key Manager 较为便宜且在通常情况下更易于使用，但在以下情况下您仍应设置 KMIP 服务器：您的加密密钥管理解决方案必须符合联邦信息处理标准 (FIPS) 140-2 或 OASIS KMIP 标准。您需要多集群解决方案。KMIP 服务器可集中管理加密密钥，支持多个集群。 KMIP 服务器可集中管理加密密钥，支持多个集群。您的业务在系统中存储认证密钥时需要更高的安全性，或需要将认证密钥与数据分开存储。 KMIP 服务器会将认证密钥与您的数据分开存储。

KMIP 服务器的使用场合

尽管 Onboard Key Manager 较为便宜且在通常情况下更易于使用，但在以下情况下您仍应设置 KMIP 服务器：

提供反馈