VSM 6.1 以降では、ディスクシェルフのディスクドライブ上の保存データを暗号化する機能がサポートされています。Solaris 11.1 ZFS は、この機能が有効になっているときに実際の暗号化を実行します。Solaris ZFS は FIPS 140-2 で認証されています。
サービス担当者は、VSM 6 システムのノード 1 のコマンドシェルからユーティリティーを実行して、暗号化機能を有効にします。この機能ユーティリティーは VSM 6 アプリケーションが停止しているときにのみ実行できます。
顧客データのない新規インストールの場合、わずか数分で暗号化を有効または無効にできます。
すでに顧客データが存在している既存の VSM 6 の場合、暗号化機能はディスクシェルフアレイの現在の使用率が合計物理容量の 45% 未満の場合にのみ有効にできます。
既存データの変換 (暗号化解除状態から暗号化状態または暗号化状態から暗号化解除状態) は、物理データの T バイトあたり約 105 分かかります。
保存データの VTV データ暗号化が有効になると、データがディスクに書き込まれる前に暗号化され、読み取られるときに復号化されるということはシステムのほかの部分に対してほぼ透過的です。スループットパフォーマンスの低下は 5% 未満です。
暗号化機能が有効になっている場合、暗号化承認鍵はミラー化されたサーバーの rpool ディスクドライブの固定された場所に格納され、USB ストレージデバイス上にバックアップコピーが作成されます。この機能が有効なときは、USB ストレージデバイスが使用可能である必要があります。
暗号化承認鍵が作成されるとき、VSM 6 ノード 1 の USB ポートには、1 つの USB ストレージデバイスのみが接続されていなければなりません。複数の USB ストレージデバイスが検出された場合、鍵の作成は失敗します。
ミラー化されたサーバーの rpool ディスクから暗号化承認鍵が失われた場合は、鍵が作成または変更されたときに鍵をバックアップするために使用される USB ストレージデバイスから鍵を復元するためのスクリプトが提供されています。
暗号化承認鍵が存在しないために顧客データファイルシステムをマウントできない場合、VSM6 アプリケーションは起動に失敗します。
使用される ZFS サポート対象の暗号化アルゴリズムは AES-256-CCM です。承認鍵は、暗号化機能ユーティリティーによって呼び出される pktool(1) ユーティリティープログラムによって生成される 256 ビットファイルです。
暗号化が有効になっている VSM 6 の容量をアップグレードすると、ディスクシェルフアレイストレージのサイズが単に増加するだけで、アップグレード時に存在する暗号化設定は維持されます。
VSM 6 のソフトウェアをアップグレードする場合、ミラー化されたサーバーの rpool ディスクドライブに格納されている暗号化承認鍵は保持されます。
VSM 6 CLI およびサービス GUI は、暗号化機能が有効になっているかどうかを示します。
サービス GUI により、サービス担当者は暗号化承認鍵を変更できます。鍵を変更しても、変更前に格納されている VTV データへのアクセスは無効になりません。鍵を変更すると、以前の暗号化承認鍵が廃止されるだけで、暗号化された VTV ファイルシステムへのアクセスを有効にするために必要な新しい鍵が生成されます。鍵を変更する際は、作成時と同じように、ミラー化されたサーバーの rpool ディスクドライブに格納される鍵のバックアップの場所として、1 つの USB ストレージデバイスが検出される必要があります。
暗号化承認鍵は両方のサーバー上のミラー化された rpool ディスクドライブに格納されます。鍵は /lib/svc/method/application/vsm/.vsm_keystore ディレクトリに置かれます。鍵のファイル名の形式は _yyymmddhhmmssnnn.key です。以前の世代の鍵は同じディレクトリ内に保持されます。鍵が作成されたり変更されたりするたびに、このディレクトリ内のすべての世代の鍵が USB ストレージデバイスにバックアップされます。