NetApp FAS存储系统的加密Encrytpion解决方案介绍

写在前面

写这个文章的目的是最近在研究NVME磁盘，发现DELL Powerstore使用的NVMe SSD 盘都是加密的，而Netapp存储使用的NVMe磁盘有加密的，也有非加密的，而且加密有分为不同的形式，如FIPS和SED。基本概念有些混乱，这个文章就是梳理NetApp的整体加密解决方案的，有基于硬件的，就是前面提到的基于磁盘的FIPs和SED，还有基于软件级别的。

我的知识图谱中，在我们伟大的祖国是不容许使用国外非公开密钥的FIPS或者SED磁盘的。但为什么PowerStore所有的磁盘都是NVMe encryption的，这个还没有搞明白。

废话不说了，来了解NetApp FAS存储系统的加密解决方案吧。如果您觉得有价值，欢迎添加关注，转发和添加vx: StorageExpert。

NetApp 的加密解决方案，包括

• NetApp Storage Encryption (NSE)
• NVMe Self-Encrypting Drives (NVMe SED)
• NetApp Volume Encryption (NVE)
• NetApp Aggregate Encryption (NAE)。

以下是对这些技术的简明概述，帮助你理解它们的用途、特点和适用场景。

另外，NetApp的Ontap 操作系统其实也是有两个版本的，一个是DARE，一个是No-DARE版本。DARE就是加密的版本是支持下面谈到的这些特性的，no-DARE的版本当然就不能支持下面的这些加密特性。中国基本上使用的都是no-DARE版本。

1. NetApp Storage Encryption (NSE)

是什么？

• NSE 是一种基于硬件的全盘加密解决方案，使用符合 FIPS 140-2 级别 2 标准的自加密硬盘 (SEDs)。
• 它通过 AES 256 位加密保护静态数据，加密操作由硬盘内部完成，包括加密密钥的生成。
• 系统需要使用认证密钥（Authentication Key）与硬盘进行认证，防止未经授权的访问。

特点

• 硬件加密：加密过程完全在硬盘内部完成，性能开销低。
• FIPS 140-2 级别 2 认证：适合需要高合规性（如政府或金融行业）的场景。
• 密钥管理：支持板载密钥管理（OKM）或外部密钥管理（通过 KMIP 协议）。
• 适用场景：需要物理介质加密，且有篡改证据（如 FIPS 认证）要求的场景。
• 支持的架构：NetApp AFF A 系列、FAS9000 系列、FAS2600 系列等。

局限性

• 所有驱动器（包括高可用性配对）必须是 NSE SEDs，不能混用非 NSE 驱动器。

例子 如果你需要确保硬盘在退货或回收时数据无法被访问，并且需要满足严格的合规性要求（如 FIPS 140-2），NSE 是一个好选择。这种磁盘中国是不容许使用的。所以，国内很少见到FIPS的磁盘，一些外企从国外带过来的存储有这种FIPS硬盘。

2. NVMe Self-Encrypting Drives (NVMe SED)

是什么？

• NVMe SED 是另一种基于硬件的全盘加密解决方案，使用 NVMe 自加密驱动器，但没有 FIPS 140-2 认证。
• 同样使用 AES 256 位加密，加密操作由驱动器内部完成，认证机制与 NSE 类似。

特点

• 硬件加密：与 NSE 类似，加密在驱动器内部完成，效率高。
• 无 FIPS 认证：适合对合规性要求较低的场景。
• 密钥管理：支持板载（OKM）或外部（KMIP）密钥管理。
• 灵活性：可以混用 NVMe SSD 和 NVMe SED，但不能与 NSE 驱动器混用。
• 适用场景：需要物理介质加密，但无需 FIPS 认证的场景。

例子 如果你的企业需要保护硬盘数据，但合规性要求不高（如不需要 FIPS 认证），NVMe SED 是一个更经济的选择。

NVMe的SSD是有两种的，基于SED加密的，也有非SED加密的。

3. NetApp Volume Encryption (NVE)

是什么？

• NVE 是一种软件-based的静态数据加密解决方案，从 ONTAP 9.1 开始支持，自 ONTAP 9.2 起符合 FIPS 140-2 级别 1。
• 它在卷（Volume）级别进行加密，每个卷使用唯一的 XTS-AES 256 位加密密钥。

特点

• 软件加密：加密过程由 ONTAP 的加密模块（CryptoMod）完成，与物理驱动器类型无关（支持 SSD、HDD 或非 SED 驱动器）。
• 灵活性：可以选择性地加密特定卷，适合需要细粒度控制的场景。
• 存储效率：支持 NetApp 的去重和压缩功能，不会因加密而损失效率。
• 密钥管理：支持板载（OKM）或外部（KMIP）密钥管理。
• 适用场景：需要软件加密、物理介质容量超出 NSE/NVMe SED 限制，或希望灵活选择加密数据的场景。

例子 如果你的存储系统使用非 SED 驱动器，或者你只想加密某些特定卷的数据（如敏感客户数据），NVE 是一个理想选择。

4. NetApp Aggregate Encryption (NAE)

是什么？

• NAE 是 NVE 的扩展，从 ONTAP 9.6 开始支持，在聚合（Aggregate）级别进行加密。
• 聚合中的所有卷共享相同的加密密钥，但仍支持卷级别的细粒度管理。

特点

• 软件加密：与 NVE 类似，加密由 CryptoMod 完成，FIPS 140-2 级别 1 认证。
• 聚合级去重：NAE 支持聚合级别的去重功能，进一步提升存储效率。
• 兼容性：NVE 和 NAE 卷可以在同一 NAE 聚合上共存，但 NAE 聚合不支持未加密的卷。
• 密钥管理：支持板载（OKM）或外部（KMIP）密钥管理。
• 适用场景：需要软件加密、希望在聚合级别进行去重，或需要统一加密整个聚合的场景。

例子 如果你的存储系统需要对整个聚合进行加密，并且希望通过聚合级去重节省空间，NAE 是最佳选择。

双重加密（Double Encryption）

是什么？

• NetApp 提供业界首创的双重加密解决方案，结合硬件加密（NSE 或 NVMe SED）和软件加密（NVE 或 NAE）。
• 例如，数据可以先通过 NVE/NAE 在卷或聚合级别加密，再通过 NSE/NVMe SED 在驱动器级别加密，提供两层保护。

优势

• 更强安全性：即使管理员忘记配置或误配上层加密，硬件加密仍能作为最后一道防线。
• 灵活性：适合需要极高安全性的场景（如敏感数据存储）。
• 合规性：结合 NSE 的 FIPS 140-2 认证和 NVE/NAE 的灵活性，满足多种合规要求。

例子 如果你的企业处理高度敏感的数据（如医疗或金融数据），并且需要确保即使硬盘被物理移除，数据仍然无法访问，双重加密是一个强大的解决方案。

密钥管理

所有解决方案（NSE、NVMe SED、NVE、NAE）都支持以下两种密钥管理方式：

1. 外部密钥管理：
   • 使用 OASIS KMIP 协议将密钥备份到外部密钥管理器。
   • 只有存储系统、驱动器和密钥管理器能访问密钥。
   • 如果驱动器或控制器移出安全域（如丢失密钥管理器访问权限），数据将无法解密。
2. 板载密钥管理（OKM）：
   • ONTAP 内部管理所有加密密钥，存储在板载密钥管理器中。
   • 每个 NVE 卷或 NAE 聚合使用唯一的 XTS-AES 256 位密钥，密钥在创建时生成，不会被重用或以明文显示。

如何选择适合的加密方案？

以下是文档中提供的一些决策问题，帮助你选择合适的解决方案：

1. 需要 NSE 吗？
   • 你的物理介质必须加密吗？
   • 你有篡改证据要求（如 FIPS 140-2）吗？
   • 如果都回答“是”，选择 NSE。
2. 需要 NVMe SED 吗？
   • 你的物理介质必须加密吗？
   • 你可以接受无 FIPS 140-2 认证的加密吗？
   • 如果都回答“是”，选择 NVMe SED。
3. 需要 NVE 或 NAE 吗？
   • 你的物理介质容量超出 NSE/NVMe SED 的限制吗？
   • 你想要软件加密方式吗？
   • 你需要细粒度控制加密数据吗？
   • 如果任一回答“是”，选择 NVE 或 NAE。
4. 需要双重加密吗？
   • 如果你需要最高级别的安全性和分层防御，结合 NSE/NVMe SED 和 NVE/NAE。

比较

总结，写在最后

• NSE：硬件加密，FIPS 140-2 级别 2，适合需要高合规性和物理介质加密的场景。这个基本上中国不能用。
• NVMe SED：硬件加密，无 FIPS 认证，适合对合规性要求较低的场景。这个国内有使用的。EMC 的Powerstore都是这个加密。
• NVE：软件加密，卷级别，灵活且支持存储效率，适合细粒度控制。
• NAE：软件加密，聚合级别，支持去重，适合需要统一加密的场景。
• 双重加密：结合硬件和软件加密，提供最高安全性，适合敏感数据场景。