nutanix メモブログ

Nutanix についてメモしていくブログです。

Data Encryption from Nutanix bible(英語版)

ずいぶん空いてしまいましたが(githubへ乗り換えるか検討中)

メモ代わりの更新

 

Nutanix bible の 日本語版は だいぶ更新が滞ってしまっているので、

英語版から更新できるところを抜粋していきたいと思います。

 

まず、以下の項目から

--------------------------------------

Data Encryption

Nutanix provides data-at-rest encryption leveraging FIPS-140-2 Level-2 validated self-encrypting drives (SED) and an exernal key management server (KMS). Communication with the KMS leverages standard protocols including KMIP and TCG. Example KMS servers include Vormetric, SafeNet, etc.

------------------------------------

 

日本語訳してみます。

 

------------------------------------

Data 暗号化

Nutanix では、自己暗号化ドライブ(SED) と 外部の キー管理サーバ(KMS) が

認証された  FIPS-140-2 Level-2(FIPS = 連邦情報処理規格) を活用した

data-at-rest (保存データ) の暗号化を提供しています。

 

KMSとの通信では、KMIP や TCG を含む標準プロトコルを活用します。

KMSサーバの例には、Vormetric や SafeNet などが含まれます。

 

Data Encryption - Overview

 

 

SEDの暗号化は、ストレージデバイスを セキュア または 非セキュア状態に

することができる「データバンド」で分割することによって機能します。

 

Nutanixの場合、ブートパーティションと Nutanix Home パーティション

簡易に暗号化されています。

 

すべてのデータデバイスとバンドは レベル2 標準に対する  big keys で、

しっかりと暗号化されています。

 

クラスタが起動した際に、KMS サーバへ  ドライブのロックを解除するために、キーを取得するよう  要求します。

セキュリティを確保するために、キーはクラスタ上にキャッシュされません。

コールドブートや IPMIリセットの場合、ノードは、ドライブをロック解除するために

KMSサーバへコールバックする必要があります。

 

CVM をソフトリブートしても、これは 強制的に起こりえません。

 

---------------------------------------------