FlashSystem/SVC/Storage Virtualizeには暗号化の機能がありますが、データの暗号化をどこでするかは以下の3つの方法が考えられます。
- ハードウェア暗号化:
- FlashCore Module を含む FlashSystem 基本筐体へ搭載される NVMe 接続フラッシュ・ドライブは全て自己暗号化ドライブ Self Encryption Drive (SED)
- NVMe 接続ではなく SAS 接続の FlahSystem 外部筐体へ搭載されるフラッシュ・ドライブは、基本筐体に搭載される SAS コントローラー・チップに依り暗号化
- ソフトウェア暗号化:暗号化非対応外部ディスク
- 暗号化対応外部ディスクの機能による暗号化
1.2.については暗号化の前提条件としてライセンスの有効化及びシステム暗号化鍵の管理の仕組み(USBもしくはIBM Security Guardium Key Lifecycle Manager:GKLM)が必要となります。
条件を満たした上で、暗号化を実装するには以下のように設定方法が異なります。
1.ハードウェア暗号化
mkmdiskgrp及びmkarray、mkdistributedarrayに-encprypt yesオプションを付与(暗号化ライセンスが有効化されている場合はデフォルトのオプションなので指定は不要)
2.ソフトウェア暗号化
mkmdiskgrpに-encrypt yesオプションを付与、検出されたmdiskはencrypt noと表示される。(lsmdiskでencrypt noとなっていない場合はchmdiskで-encrypt noにする)
3.外部ディスク暗号化
mkmdiskgrpには-encrypt yesオプションを付与、検出されたmdiskはencrypt yesと表示される。(lsmdiskでencrypt yesとなっていない場合はchmdiskで-encrypt yesにする)
通常は暗号化対応外部ディスク装置の場合、それらが暗号化が有効であればmdiskとして認識された段階でencrypt yesとして認識されるはずですが、念の為、lsmdiskでご確認ください。
2及び3のmdiskのencryptパラメータ、オプションは「このmdiskは、暗号化機能を備えている(yes)、備えていない(no)」ということを設定するものです。
つまり、外部ディスクが暗号化機能を持っている(yes)のであれば、FlashSystem/Storage Virtualizeのレイヤーでは暗号化をかけない、暗号化機能を持っていない(no)であれば、FlashSystem/Storage Virtualizeのレイヤーで暗号化をかける、というものです。この外部ディスクを暗号化する、暗号化しない、という設定ではないということに留意ください。
2の暗号化は、ソフトウェアの機能で暗号化するためパフォーマンスのペナルティが10~20%あると言われていますので、パフォーマンスが求められる環境では推奨されません。
3の暗号化の場合には誤って2の暗号化を実装しないようにしてください。特に最新のFlashSystemのようなディスク装置で圧縮が効くようなモデルの場合、暗号化されたデータがディスク装置に送られてくるため、圧縮の効果が全くなくなります。
なお、いずれもプールが暗号化されていない場合は、途中で変更できないため暗号化されたプールを作成して、そちらにマイグレーションする必要があります。暗号化されていない空のプールに暗号化可能なmdiskのみを追加した場合は、プールは暗号化される状態に変わります。
また、1つのプールに1、2、3の暗号化の形態は共存できますが、それぞれ暗号化の形態が異なるので推奨されません。
それぞれ異なるプールを作るべきでしょう。
詳細は以下のRedbookをご覧ください。
Implementation Guide for IBM Spectrum Virtualize Version 8.5
https://www.redbooks.ibm.com/abstracts/sg248520.html
Performance and Best Practices Guide for IBM Spectrum Virtualize 8.5
https://www.redbooks.ibm.com/redbooks.nsf/RedpieceAbstracts/sg248521.html?Open
#flashsystem
#encryption