暗号化された物理ボリューム

オンライン編集

物理ボリューム (PV) 暗号化は、物理ボリュームに書き込まれるデータを暗号化することによって、ユーザー・データを保護します。 基本オペレーティング・システムは、入出力操作中に物理ボリューム・データの暗号化と暗号化解除を実行します。 データは、SAN 上のデータを保護するために、外部ストレージ・エリア・ネットワーク (SAN) デバイスに送信される前に暗号化されます。 物理ボリュームの暗号化は、ハード・ディスクの紛失や盗難、またはコンピューターやストレージ・デバイスの不適切な使用によるデータ・エクスポージャーも保護します。 入出力操作を実行するアプリケーションは、変更せずに保護データを使用できます。 暗号化された物理ボリュームは、暗号化されていない物理ボリュームと同じ方法で使用できます。 ただし、rootvg ボリューム・グループには、暗号化された物理ボリュームを含めることはできません。

物理ボリューム・データを暗号化するには、以下のファイルセットをインストールする必要があります。 これらのファイルセットは、基本オペレーティング・システムに含まれています。

  • bos.hdcrypt
  • bos.kmip_client
  • security.acf
  • openssl.base

PV 暗号化の構成

IBM® AIX® 7.3 (テクノロジー・レベル 1) 以降では、 hdcryptmgr コマンドを使用して物理ボリュームの暗号化操作を管理できます。

暗号化された物理ボリュームのサイズは、暗号化前の物理ボリュームのサイズより小さくなります。これは、暗号化機能により、暗号化プロセスのために物理ボリューム上に一部のスペースが予約されるためです。 物理ボリュームに対して暗号化が有効になっている場合、その物理ボリュームに保管されているすべてのデータが削除され、その物理ボリュームに書き込まれる新規データが暗号化されます。 読み取り操作の場合、暗号化された物理ボリュームからのデータが最初に暗号化解除されます。 既存のデータを暗号化するには、新しい物理ボリュームを割り振り、新しい物理ボリュームで暗号化を有効にしてから、既存のデータを新しい物理ボリュームにコピーします。

暗号化された物理ボリュームは、暗号化された論理ボリューム (LV) と同じ鍵の保管および取得方式をサポートします。 鍵は、タイプ付きパスフレーズにすることも、プラットフォーム鍵ストア (PKS) から取得することも、ネットワーク鍵マネージャーから取得することもできます。 鍵が PKS またはネットワーク鍵マネージャーに保管されている場合、物理ボリュームはブート・プロセス中に自動的にアンロックされます。 hdcryptmgr コマンドの authunlock アクション・パラメーターを使用して、暗号化された物理ボリュームを手動でアンロックすることができます。 ロックされた暗号化物理ボリュームに対して入出力操作を実行しようとすると、その物理ボリュームがアンロックされるまで permission denied エラーで失敗します。

暗号化 PV の制限

暗号化された物理ボリュームには、以下の制約事項があります。
  • rootvg ボリューム・グループには、暗号化された物理ボリュームが含まれていてはなりません。 rootvg に 1 つ以上の暗号化された物理ボリュームが含まれている場合、 AIX ブート・プロセスは失敗します。 mkvg および extendvg コマンドは、rootvg での暗号化された物理ボリュームの使用を防止します。
  • 既存の物理ボリュームを暗号化されていない物理ボリュームから暗号化された物理ボリュームに、またはその逆に変換することはできません。 物理ボリュームで暗号化を有効にすると、そのディスク上のすべての既存データが削除されます。
  • 物理ボリュームの暗号化には、 AIX オペレーティング・システムによって提供される追加のディスク属性が必要です。 ディスクが別のストレージ・ベンダーのオブジェクト・データ・マネージャー (ODM) 定義を使用して定義されている場合、物理ボリューム暗号化をサポートするために、そのベンダーの新しい ODM 定義を取得する必要があります。
  • 暗号化された物理ボリュームは、 AIX 7.3 テクノロジー・レベル 1 以降を実行している他の AIX 論理区画と共有できます。 古いレベルの AIX と暗号化された物理ボリュームを共有すると、古いレベルの AIX は物理ボリュームが暗号化されていることを認識しないため、データが破損します。
  • PKS 認証を使用して暗号化された物理ボリュームは、rootvg ボリューム・グループに属していない場合は、従来のダンプ・デバイスとして使用できます。
  • rootvg ボリューム・グループは暗号化された物理ボリュームをサポートしないため、 alt_disk_copy および alt_disk_mksysb コマンドを使用する場合、暗号化された物理ボリュームを宛先ディスクとして使用することはできません。
  • 暗号化できるのは SCSI 物理ボリュームのみです。 NVMe または vPMEM ディスクを暗号化することはできません。
  • 暗号化された物理ボリュームを使用している場合、同じ AIX オペレーティング・システム・イメージで、他の SCSI ディスクとともに地理的論理ボリューム・マネージャー (GLVM) または AIX ストレージ・データ・キャッシング (cache_mgt コマンド) を使用することはできません。 GLVM またはストレージ・データ・キャッシングは、NVMe ディスクまたは vPMEM ディスクで使用できます。

暗号化 PV のディスク・バックアップに関する考慮事項

暗号化された物理ボリュームを使用する場合、物理ディスク上のデータをバックアップするさまざまな方法には異なる特性があります。

データ・バックアップ操作がオペレーティング・システム・インスタンスで実行されている場合、オペレーティング・システムはデータを読み取り、そのデータを暗号化解除してからバックアップ・ソフトウェアに送信します。 バックアップ・メディアには、暗号化解除されたユーザー・データが含まれています。 暗号化に関連するメタデータは、バックアップ・メディアに保管されません。 このバックアップ・データが別の物理ボリュームにリストアされる場合、その物理ボリュームで暗号化が有効になっている場合にのみデータが暗号化されます。 宛先物理ボリュームに対して暗号化が有効になっていない場合、リストアされたデータは暗号化されず、古いレベルの AIXでも直接使用できます。

スナップショットや FlashCopy®などのストレージ・デバイスを使用してデータをバックアップする場合、バックアップされるデータは暗号化されます。 ストレージ・デバイスのバックアップ・データには、暗号化メタデータと暗号化されたユーザー・データの両方が含まれます。 ストレージ・ベースのバックアップは暗号化されたデータのブロック・コピーであり、ストレージはデータがオペレーティング・システムによって暗号化されていることを判別できません。