このセクションでは、ストレージのさまざまな暗号化レイヤについて説明します。Google Distributed Cloud(GDC)エアギャップ アプライアンス Netapp ONTAP Select(OTS)バックエンド ストレージは、1 つ以上の暗号化メカニズムを使用して、保存中および転送中のお客様のすべてのコンテンツを暗号化します。お客様による操作は必要ありません。以降のセクションでは、GDC エアギャップ アプライアンスのストレージ レイヤで保存時と転送中の顧客データを暗号化するメカニズムについて説明します。
保存時の暗号化
GDC エアギャップ アプライアンスが提供するデータ保存時の暗号化には、さまざまなレイヤがあります。 OTS は、クラスタがデータの保存に使用するバックエンド システムです。OTS は、データストア、データ レプリケーション、リバランスを提供します。
クライアントが独自の HSM デバイスをベアメタル クラスタに接続できるように、外部 HSM のサポートを提供します。クライアントが HSM を提供する場合、OTS の組み込み暗号化メカニズムである Netapp Volume Encryption(https://www.netapp.com/media/19767-ds-3899-1117.pdf)を使用して、保存データを暗号化します。鍵は、Key Management Interoperability Protocol(KMIP)を介して OTS と HSM デバイス間で内部的に管理されます。
クライアントが鍵管理用の外部デバイスを提供しない場合、クラスタはベアメタル レイヤに LUKS 暗号化を適用し、ディスク上のすべてのデータを暗号化します。注: 2 つの暗号化方式は、重複した暗号化を避けるために排他的に適用されます。
転送データの暗号化
転送中のデータは、次の 2 種類の OTS トラフィックで IPsec を使用して暗号化されます。
- ベアメタル ホストと OTS ストレージ仮想マシン(SVM)間の外部トラフィック。
- OTS ワーカーノード間の内部トラフィック。
両方のトラフィックの IPsec は、サードパーティ ライブラリ strongSwan(https://strongswan.org/)によって実装されます。OTS 内部トラフィックは OpenVSwitch vxlan トンネルで構築され、strongSwan を使用してレイヤ下のデータフローを暗号化します。