NetApp Volume Encryption, w skrócie NVE, to programowe szyfrowanie danych spoczywających w systemie ONTAP. Najprościej mówiąc: NVE szyfruje dane na poziomie pojedynczego wolumenu, tak aby zapisane na dyskach informacje nie mogły zostać odczytane po wyjęciu nośników, zwrocie sprzętu, jego utracie albo nieautoryzowanym dostępie do samych dysków.
To ważna cecha architektury NetApp, bo szyfrowanie nie wymaga specjalnych dysków samoszyfrujących. NVE działa programowo w ONTAP i może być używany także na istniejącej infrastrukturze, jeśli środowisko jest odpowiednio przygotowane pod kątem zarządzania kluczami.
Co to jest NetApp Volume Encryption?
NetApp Volume Encryption to mechanizm szyfrowania data at rest, czyli danych zapisanych na dyskach. Każdy zaszyfrowany wolumen ma własny klucz szyfrujący, a dostęp do tego klucza jest kontrolowany przez system ONTAP i skonfigurowany mechanizm zarządzania kluczami.
W praktyce oznacza to, że nawet jeśli ktoś uzyska fizyczny dostęp do nośników, same dane pozostają nieczytelne bez właściwych kluczy.
Po co stosuje się NVE?
NVE ma sens wszędzie tam, gdzie ważna jest ochrona danych zapisanych na macierzy. Dotyczy to szczególnie środowisk, w których liczy się bezpieczeństwo, zgodność regulacyjna, wymagania audytowe albo po prostu ograniczenie ryzyka w razie utraty nośnika lub zwrotu sprzętu po zakończeniu eksploatacji.
Najczęstsze powody wdrożenia NVE to:
- ochrona danych zapisanych na dyskach,
- spełnienie wymagań bezpieczeństwa i compliance,
- zabezpieczenie danych przy wycofaniu lub serwisie sprzętu,
- podniesienie poziomu ochrony bez zmiany sposobu pracy aplikacji.
Jak działa NetApp Volume Encryption?
NVE działa na poziomie wolumenu. Każdy wolumen może zostać zaszyfrowany własnym kluczem. ONTAP korzysta przy tym z mechanizmu zarządzania kluczami, który może być lokalny albo zewnętrzny, zależnie od architektury środowiska.
Dla administratora ważne jest to, że szyfrowanie jest zintegrowane z ONTAP. Nie trzeba przebudowywać aplikacji ani zmieniać sposobu udostępniania danych przez SMB / CIFS, NFS, iSCSI czy Fibre Channel. Z punktu widzenia użytkownika lub serwera dane działają normalnie, ale na nośniku są zapisane w formie zaszyfrowanej.
NVE a NAE – czym to się różni?
To jedno z najważniejszych rozróżnień. NVE szyfruje dane na poziomie pojedynczego wolumenu. NAE, czyli NetApp Aggregate Encryption, działa na poziomie agregatu i jest rozwinięciem podejścia NVE.
Najprościej można to zapamiętać tak:
- NVE = osobny klucz dla konkretnego wolumenu,
- NAE = szyfrowanie na poziomie agregatu, z korzyściami dla części mechanizmów efficiency.
Jeżeli artykuł dotyczy konkretnie NetApp Volume Encryption, to mówimy o modelu per-volume. W praktyce jednak przy projektowaniu nowego środowiska warto zawsze rozumieć różnicę między NVE i NAE.
NVE a NetApp Storage Encryption
NVE nie jest tym samym co szyfrowanie realizowane przez dyski samoszyfrujące. NetApp Volume Encryption jest rozwiązaniem programowym działającym w ONTAP. Oznacza to, że nie wymaga specjalnych self-encrypting drives, aby zapewnić szyfrowanie danych w spoczynku.
To duża zaleta, bo pozwala wdrożyć szyfrowanie także na istniejących dyskach i w środowiskach, gdzie nie wybrano wcześniej sprzętowego modelu szyfrowania. W niektórych architekturach można też łączyć warstwę programową i sprzętową dla dodatkowej ochrony.
Czy NVE szyfruje transmisję danych?
Nie. NVE odpowiada za szyfrowanie danych na dysku, a nie za szyfrowanie transmisji pomiędzy systemami. To ważne, bo czasem te dwa tematy są mylone.
Jeżeli dane są replikowane przez SnapMirror, samo NVE nie oznacza jeszcze szyfrowania ruchu sieciowego. NVE chroni dane zapisane na nośnikach. Szyfrowanie transmisji to osobny temat i osobny mechanizm.
NVE a SnapMirror
NVE współpracuje z SnapMirror, ale warto rozumieć, jak to działa. Wolumen źródłowy i docelowy nie współdzielą tego samego klucza szyfrującego. Docelowy wolumen ma własny klucz, właściwy dla danego klastra i danego zasobu.
To ważne w praktyce, bo pokazuje, że szyfrowanie jest związane z konkretnym wolumenem i konkretnym środowiskiem, a nie z jednym globalnym kluczem kopiowanym między klastrami.
NVE a snapshoty, klony i odzyskiwanie danych
NVE nie wyłącza najważniejszych funkcji ONTAP. Zaszyfrowane wolumeny nadal mogą korzystać z mechanizmów takich jak Snapshoty, SnapRestore czy FlexClone.
To bardzo ważna zaleta. Szyfrowanie nie oznacza rezygnacji z wygody administracyjnej i z funkcji ochrony danych, z których słynie ONTAP. W praktyce można więc łączyć bezpieczeństwo danych w spoczynku z szybkim odtwarzaniem i kopiowaniem środowisk.
Czy można zaszyfrować istniejący wolumen?
Tak. NVE można włączyć nie tylko dla nowych wolumenów, ale także dla istniejących. W zależności od scenariusza ONTAP pozwala na szyfrowanie istniejącego wolumenu w miejscu albo przez operację przeniesienia wolumenu.
Dzięki temu wdrożenie szyfrowania nie musi oznaczać budowy wszystkiego od nowa. To istotne szczególnie w środowiskach, które już działają produkcyjnie i mają zostać doszyfrowane etapami.
Zarządzanie kluczami w NVE
NVE wymaga poprawnie skonfigurowanego zarządzania kluczami. To właśnie klucze decydują o tym, czy zaszyfrowane dane mogą zostać odczytane przez system. Bez dobrze zaprojektowanego key management szyfrowanie nie ma praktycznej wartości operacyjnej.
W zależności od środowiska można używać:
- Onboard Key Manager,
- zewnętrznego key managera, zgodnego z architekturą ONTAP.
W środowiskach chmurowych temat zarządzania kluczami jest jeszcze ważniejszy, bo często integruje się go z usługami KMS dostawcy chmury.
NVE w Cloud Volumes ONTAP
Cloud Volumes ONTAP również wspiera NetApp Volume Encryption. W takim środowisku NVE działa jako programowe szyfrowanie danych w wolumenach, a ochrona kluczy opiera się na zewnętrznym mechanizmie key management.
To ważne, bo pokazuje, że model NVE nie jest ograniczony tylko do klasycznych macierzy on-premise. Może być częścią szerszej architektury hybrydowej i chmurowej.
Na jakich systemach działa NVE?
NetApp Volume Encryption jest funkcją systemu ONTAP, więc należy je kojarzyć z platformami NetApp działającymi na ONTAP, takimi jak:
- FAS,
- AFF A-Series,
- AFF C-Series,
- ASA,
- Cloud Volumes ONTAP.
Nie jest to funkcja systemu SANtricity OS i macierzy E-Series, ponieważ ten artykuł dotyczy świata ONTAP.
NVE a ONTAP One
W nowoczesnym pozycjonowaniu NetApp warto łączyć NVE także z ONTAP One. Szyfrowanie danych w spoczynku nie jest już dodatkiem „dla wybranych”, ale ważnym elementem kompletnej platformy usług danych i bezpieczeństwa.
Z punktu widzenia klienta oznacza to, że wybór ONTAP to nie tylko wydajność i funkcje storage, ale też możliwość wdrożenia dojrzałych mechanizmów ochrony danych bez przebudowy całej architektury.
Kiedy warto wybrać NVE?
NetApp Volume Encryption ma sens szczególnie wtedy, gdy:
- firma chce zabezpieczyć dane zapisane na nośnikach,
- wymagane jest szyfrowanie data at rest,
- środowisko ma spełniać wymagania compliance lub audytu,
- nie ma potrzeby opierania się wyłącznie na dyskach samoszyfrujących,
- potrzebne jest szyfrowanie bez utraty typowych funkcji ONTAP.
Podsumowanie
NetApp Volume Encryption to programowe szyfrowanie danych w spoczynku na poziomie pojedynczego wolumenu w systemie ONTAP. Pozwala chronić dane zapisane na dyskach bez konieczności stosowania wyłącznie specjalnych nośników samoszyfrujących i bez rezygnacji z najważniejszych funkcji platformy.
Najprościej można to zapamiętać tak: NVE szyfruje konkretny wolumen, NAE działa na poziomie agregatu, a oba rozwiązania są częścią szerszego podejścia NetApp do bezpieczeństwa danych w środowiskach ONTAP.
Marcin Oleś 