ボリュームのデータ整合性とデータ セキュリティ

データ保証​

データ保証 (DA) には T10 保護情報 (PI) 標準が実装されています。これにより、データが I/O パス上で転送される場合に発生する可能性のあるエラーがチェックされて修正されるため、データ整合性が高まります。データ保証機能の一般的な使用方法では、コントローラーとドライブ間の I/O パスの一部がチェックされます。DA 機能は、プールおよびボリューム・グループ・レベルで提示されます。

この機能が有効な場合、ストレージ・アレイは、ボリュームの各データ・ブロックにエラー・チェック・コード (巡回冗長検査、つまり CRC とも呼ばれます) を追加します。データ・ブロックが移動すると、ストレージ・アレイはこれらの CRC コードを使用して転送中にエラーが発生したかどうかを判断します。破損している可能性があるデータは、ディスクに書き込まれることもホストに返されることもありません。DA 機能を使用する場合、新しいボリュームを作成するときに DA 有効なプールまたはボリューム・グループを選択します (プールおよびボリューム・グループ候補テーブル内の「DA」の横で「はい」を探します)。

ドライブ セキュリティ​

ドライブ・セキュリティーは、ドライブがストレージ・アレイから取り外されるときに、セキュア対応ドライブのデータへの許可されていないアクセスを防止する機能です。これらのドライブは、Full Disk Encryption (FDE) ドライブ、または連邦情報処理標準 140-2 レベル 2 (FIPS ドライブ) を満たしていると認定されたドライブのいずれかです。

ドライブ・レベルでのドライブ・セキュリティーの動作

セキュア対応ドライブ (FDE または FIPS) では、書き込み時にデータが暗号化され、読み取り時に復号化されます。この暗号化と復号化は、パフォーマンスやユーザーのワークフローには影響しません。この暗号化と復号化は、パフォーマンスやユーザのワークフローには影響しません。

ボリューム・レベルでのドライブ・セキュリティーの動作

セキュア対応のドライブからプールまたはボリューム・グループを作成する場合、それらのプールまたはボリューム・グループに対してドライブ・セキュリティーを有効にすることもできます。ドライブ・セキュリティーを有効にした場合は、ドライブとそれに関連付けられているボリューム・グループおよびプールがセキュア対応になります。プールやボリューム グループにはセキュリティ対応とセキュリティ対応でないドライブの両方を含めることができますが、暗号化機能を使用するためにはすべてのドライブがセキュリティ対応である必要があります。

ドライブ・セキュリティーの実装方法

ドライブ・セキュリティーを実装するには、次の手順を実行します。

1. ストレージ・アレイにセキュア対応ドライブ (FDE ドライブまたは FIPS ドライブ) を装備します。(FIPS のサポートが必要なボリュームの場合、FIPS ドライブのみを使用します。ボリューム グループまたはプールにFIPSドライブとFDEドライブが混在している場合、すべてのドライブがFDEドライブとして扱われます。また、FIPS ドライブのみを含むボリューム・グループまたはプールで、FDE ドライブをスペアとして追加したり使用したりすることはできません。)
2. セキュリティー・キー (読み取り/書き込みアクセス用にコントローラーとドライブで共有される文字列) を作成します。セキュリティ キーは、読み取り / 書き込みアクセス用にコントローラとドライブで共有される文字列です。外部キー管理の場合は、鍵管理サーバーとの間で認証を確立する必要があります。
3. プールおよびボリューム・グループのドライブ・セキュリティーを有効にします。
   • プールおよびボリューム・グループを作成します (候補の表でセキュア対応の列がはいになっていることを確認します)。
   • 新しいボリュームを作成する際にプールまたはボリューム・グループを選択します (プールおよびボリューム・グループの候補の表でセキュア対応の隣がはいになっていることを確認します)。

ドライブ・セキュリティー機能では、ストレージ・アレイのセキュア対応ドライブとコントローラーの間で共有されるセキュリティー・キーを作成します。ドライブの電源をオフにしてオンにするたびに、コントローラによってセキュリティ キーが適用されるまでセキュリティ有効ドライブはセキュリティ ロック状態となります。