自己暗号化ドライブの概要
自己暗号化ドライブ(SED)には、着信データの暗号化と発信データの復号化をリアルタイムで行う特殊なハードウェアが備わっています。ディスク上のデータは常に暗号化された形で保存されます。この暗号化と復号化は、メディア暗号キーによって制御されます。このキーがプロセッサやメモリに保管されることは決してありません。
メディア暗号キーの暗号化には、セキュリティ キー(キー暗号キーまたは認証パスフレーズとも呼ばれます)が使用されます。SED を有効にするには、セキュリティ キーを提供する必要があります。ディスクがロックされていない場合、データを取得するために必要なキーはありません。
Cisco HyperFlex システム では、セキュリティ キーをローカルまたはリモートで設定できます。ローカルでキーを設定する場合は、キーを覚えておく必要があります。キーを忘れてしまった場合、そのキーを再取得することはできず、ドライフの電源再投入によってデータが失われます。キー管理サーバ (KMIP サーバとも呼ばれる) を使用すると、リモートでキーを設定できます。この方法により、ローカル管理でのキーの保管と取得に伴なう問題に対処することができます。
SED の暗号化と復号化はハードウェアを介して行われます。したがって、システムの全体的なパフォーマンスには影響がありません。SED は、瞬間的な暗号化消去によってディスクの廃止コストや再配置コストを削減します。暗号化消去は、メディア暗号キーを変更することによって実行されます。ディスクのメディア暗号キーが変更されると、そのディスク上のデータは復号不能になるので、ただちにデータが使用不可になります。
SED ベースのクラスタでは、暗号化を任意に有効または無効にできます。いつでも 2 つの状態の間を自由に移動できます。詳細については、HX Hardening Guide を参照してください。