PowerScaleのデータ暗号化について

keis3456さん

PowerScaleにてデータ暗号化を行う場合、なにか設定が必要でしょうか。
暗号化はおそらくD@RE(data encryption at rest)かと思いますが、こちらはハードに依存するものでしょうか。

→PowerScaleでの暗号化はおっしゃる通り、SED（self-encrypting-drive）を使うD@RE(data encryption at rest)、ソフトウェア機能ではSMBv3 encryption、SyncIQ暗号化があります。

D@RE(data encryption at rest)に関してはご認識の通りSED（self-encrypting-drive）をNodeに搭載する必要があります。

参考：
PowerScale OneFS 9.8.0.0 Web Administration Guide
Page 201 SMBv3 encryption 
You can configure SMBv3 encryption on a per-share, per-zone, or cluster-wide basis. 

Page 303  SyncIQ data encryption overview
You can use the integrated capabilities of SyncIQ to encrypt the data during transfer between PowerScale clusters and protect the data in flight during intercluster replications.

Page 359 Data-at-rest-encryption
You can enhance data security on a cluster that contains only self-encrypting-drive nodes, providing data-at-rest encryption (DARE) protection.
All nodes in a cluster must be of the self-encrypting drive type. Mixed nodes are not supported.

参考：Dell PowerScale OneFS: Security Considerations
Page 6

PowerScale OneFS provides DARE using SEDs, ensuring that data is encrypted during
writes and decrypted during reads.

Dell EMC PowerScale OneFS Data-at-Rest Encryption
Page5 
PowerScal implements Data-at-Rest Encryption (DARE) through the use of self-encrypting drives (SEDs)
and AES-256-bit encryption keys.

※PowerScale発注時にあらかじめD@RE用ドライブを搭載していないといけないものなのか、
→必要です。

OneFS機能によって有効・無効にできるものなのか。
→SED使用の暗号化ではSEDだけでなく暗号鍵システムの設定をOneFSで設定する必要があります。
その為有効にはOnefsが必要になると言えますが一度有効化した後暗号化を無効化することはできません。

参考：Dell EMC Knowledge Article 000067537 :  Isilon:  SED drives and nodes: Frequently Asked Questions
暗号鍵をなくした場合の対応策としてSEDでの対応が必要になるという記述があります。
the only remaining course of action is to manually revert the SED drive to the unowned state using its Physical Security ID (PSID).