Data-at-rest暗号化の概要

HPE 3PAR Data-at-rest暗号化ソフトウェアは、自己暗号化物理ドライブ（SED）と連携して、特定のモデルのHPE 3PARストレージシステムにデータ暗号化機能を提供します。

これらの機能は特定のバージョンのHPEストレージOSとともにインストールされますが、ストレージシステム全体を保護するにはHPE 3PAR Data-at-rest暗号化のライセンスが必要です。HPE 3PARストレージのプラットフォームのサポートについては、HPE SSMC管理者ガイドを参照してください。

個々のSED物理ドライブ上のデータはドライブのメディアで自動的に暗号化され、ライセンスは必要ありません。ただし、HPE 3PAR Data-at-rest暗号化のライセンスを使用してストレージシステムの暗号化を有効にすると、SED物理ドライブがストレージシステムに論理的にバインドされます。また、すべての物理ドライブで同じ暗号キーが使用されます。

ローカル暗号化キーマネージャーはHPEストレージOSに含まれています。暗号化認証キーはストレージシステムに保持されます。ただし、Hewlett Packard Enterpriseでは、HPE SSMCのバックアップファイルのエクスポートアクションも使用して認証キーのバックアップファイルを作成することを強くお勧めします。また、ストレージシステムの外部にバックアップファイルを保存することもお勧めします。

外部キーマネージャーもサポートされています。HPE SSMCには、外部暗号化キー管理サーバーへの接続を確立するアクションが含まれています。詳しくは、EKMサーバーの設定およびチェックを参照してください。

詳しくは、格納されているデータの暗号化を参照してください。

ストレージシステムには、暗号化がサポートされている物理ドライブのみを使用してデータを投入する必要があります。暗号化された物理ドライブと暗号化されていない物理ドライブをストレージシステムに混在させることはできません。

FIPS 140-2準拠

連邦情報処理標準（FIPS）140-2では、暗号モジュールに対する4つのセキュリティレベルを定義します。SED物理ドライブがあるHPE 3PARストレージシステムは、HPE 3PAR Data-at-rest Encryptionソフトウェアがライセンスされ、有効になっている場合、FIPS 140-2標準のレベル2に準拠しています。