Data Encryption from Nutanix bible(英語版)
ずいぶん空いてしまいましたが(githubへ乗り換えるか検討中)
メモ代わりの更新
Nutanix bible の 日本語版は だいぶ更新が滞ってしまっているので、
英語版から更新できるところを抜粋していきたいと思います。
まず、以下の項目から
--------------------------------------
Data Encryption
Nutanix provides data-at-rest encryption leveraging FIPS-140-2 Level-2 validated self-encrypting drives (SED) and an exernal key management server (KMS). Communication with the KMS leverages standard protocols including KMIP and TCG. Example KMS servers include Vormetric, SafeNet, etc.
------------------------------------
日本語訳してみます。
------------------------------------
Data 暗号化
Nutanix では、自己暗号化ドライブ(SED) と 外部の キー管理サーバ(KMS) が
認証された FIPS-140-2 Level-2(FIPS = 連邦情報処理規格) を活用した
data-at-rest (保存データ) の暗号化を提供しています。
KMSとの通信では、KMIP や TCG を含む標準プロトコルを活用します。
KMSサーバの例には、Vormetric や SafeNet などが含まれます。
SEDの暗号化は、ストレージデバイスを セキュア または 非セキュア状態に
することができる「データバンド」で分割することによって機能します。
Nutanixの場合、ブートパーティションと Nutanix Home パーティションは
簡易に暗号化されています。
すべてのデータデバイスとバンドは レベル2 標準に対する big keys で、
しっかりと暗号化されています。
クラスタが起動した際に、KMS サーバへ ドライブのロックを解除するために、キーを取得するよう 要求します。
セキュリティを確保するために、キーはクラスタ上にキャッシュされません。
コールドブートや IPMIリセットの場合、ノードは、ドライブをロック解除するために
KMSサーバへコールバックする必要があります。
CVM をソフトリブートしても、これは 強制的に起こりえません。
---------------------------------------------