5.3. データ暗号化オプション

暗号化により、データをエンコードおよび難読化し、データが盗まれる場合に理解できないようにすることができます。Red Hat OpenShift Container Storage 4.6 は、ストレージクラスター内のすべてのディスクの保存データの暗号化 (at-rest encryption) のサポートを提供します。つまり、データはディスクに書き込まれる際に暗号化され、ディスクから読み取られる際に復号化されます。

OpenShift Container Storage 4.6 は、キーサイズが 512 ビットおよび aes-xts-plain64 暗号を使用して、Linux Unified Key System (LUKS) バージョン 2 ベースの暗号化を使用します。各デバイスには、Kubernetes シークレットとして保管される異なる暗号化キーが含まれます。

クラスターのデプロイメント時に、クラスター全体の暗号化を有効または無効にできます。これはデフォルトでは無効にされます。暗号化されたデータを使用すると、パフォーマンスに極めて小規模なペナルティーしか発生しません。

データの暗号化は、OpenShift Container Storage 4.6 を使用してデプロイされる新規クラスターでのみサポートされます。これは、バージョン 4.6 にアップグレードされた既存のクラスターではサポートされません。