Amazon FSx for NetApp ONTAPでSMBの暗号化設定をやってみた
簡単に暗号化できるよ
FSx for Windows File ServerではSMBの暗号化設定できるけど、FSx for ONTAPはできるの?
こんにちは、のんピ(@non____97)です。
皆さんはFSx for ONTAP使っていますか? 私は最近使いまくってます。
ふと、Amazon FSx for NetApp ONTAPでSMBの暗号化設定ができるか気になりました。Amazon FSx for Windows File Serverでは以下記事で紹介している通り、SMBの暗号化設定が可能です。
FSx for ONTAPのドキュメントを確認すると、どうやらFSx for ONTAPでもSMBの暗号化設定ができるようです。
ということで、FSx for ONTAPでSMBの暗号化設定をやってみたので紹介します。
いきなりまとめ
- デフォルトではSMBの暗号化はされていない
- 以下レベルでSMBの暗号化設定ができる
- SVM
- 共有
- SVMレベルで暗号化を有効にすることで、SVM配下の全ての共有についてのSMBを暗号化することができる
- 共有レベルで暗号化を有効にすることで、特定の共有にのみSMBを暗号化することができる
- パスで暗号化の継承はされない
- SMBの暗号化はパフォーマンスに影響を与える可能性がある
SMBの暗号化設定方法の確認
まず、SMBの暗号化設定方法の確認します。
ドキュメントを確認したところ、以下レベルでSMBの暗号化設定ができるようです。
- SVM
- 共有
それぞれの設定の関係性は以下のようになります。
| SVMでSMB暗号化を有効にするか | 共有フォルダでSMB暗号化を有効にするか | 挙動 |
|---|---|---|
| TRUE | FALSE | SVM内のすべての共有に対して暗号化が有効 SMBセッション全体に対して暗号化が行われる |
| TRUE | TRUE | 共有レベルの暗号化に関係なく、SVM内のすべての共有に対して暗号化が有効 SMBセッション全体に対して暗号化が行われる |
| FALSE | TRUE | 特定の共有に対して暗号化が有効 |
| FALSE | FALSE | 暗号化は行われない |
参考 : Configure required SMB encryption on SMB servers for data transfers over SMB overview
取り敢えずSMBの暗号化を行いたい場合は、SVMレベルで暗号化を有効にすればよさそうです。
ただし、SMBの暗号化はパフォーマンスに影響を与えるようです。
SMB セッションで SMB 暗号化を使用すると、 Windows クライアントとのすべての SMB 通信でパフォーマンスが低下し、クライアントとサーバ( SMB サーバを含む SVM を実行しているクラスタ上のノード)の両方に影響します。
パフォーマンスへの影響は、 CPU 使用率の増加としてクライアントとサーバの両方に表示されますが、ネットワークトラフィックの量は変わりません。
パフォーマンスへの影響の程度は、実行している ONTAP 9 のバージョンによって異なります。ONTAP 9.7 以降では、新しい暗号化のオフロードアルゴリズムによって、暗号化された SMB トラフィックのパフォーマンスが向上します。SMB 暗号化オフロードは、 SMB 暗号化が有効になっている場合にデフォルトで有効になります。
FSx for ONTAPのONTAPのバージョンは9.11.0P1でした。
::> version NetApp Release 9.11.0P1: Tue Mar 22 17:41:04 UTC 2022
そのため、暗号化がパフォーマンスに与える影響度合いは低くなっていそうですが、本番利用する場合はどの程度影響を与えるのか検証をしておきたいですね。
SVMとボリュームの確認
暗号化の設定の前に検証で使用するSVMとボリュームを確認します。
# SVM
$ aws fsx describe-storage-virtual-machines \
--storage-virtual-machine-ids "$svm_id"
{
"StorageVirtualMachines": [
{
"ActiveDirectoryConfiguration": {
"NetBiosName": "SINGLE-AZ-SVM",
"SelfManagedActiveDirectoryConfiguration": {
"DomainName": "FSX-DEV.CLASSMETHOD.JP",
"OrganizationalUnitDistinguishedName": "OU=FSxForNetAppONTAP,DC=fsx-dev,DC=classmethod,DC=jp",
"UserName": "FSxServiceAccount",
"DnsIps": [
"10.0.0.138"
]
}
},
"CreationTime": "2022-05-19T00:42:07.541000+00:00",
"Endpoints": {
"Iscsi": {
"DNSName": "iscsi.svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com",
"IpAddresses": [
"10.0.10.96",
"10.0.10.45"
]
},
"Management": {
"DNSName": "svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com",
"IpAddresses": [
"10.0.10.31"
]
},
"Nfs": {
"DNSName": "svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com",
"IpAddresses": [
"10.0.10.31"
]
},
"Smb": {
"DNSName": "SINGLE-AZ-SVM.FSX-DEV.CLASSMETHOD.JP",
"IpAddresses": [
"10.0.10.31"
]
}
},
"FileSystemId": "fs-0967312eff2f5f5e1",
"Lifecycle": "CREATED",
"Name": "",
"ResourceARN": "arn:aws:fsx:ap-northeast-1:<AWSアカウントID>:storage-virtual-machine/fs-0967312eff2f5f5e1/svm-0a3a78e7c64ff2c5d",
"StorageVirtualMachineId": "svm-0a3a78e7c64ff2c5d",
"Subtype": "DEFAULT",
"UUID": "a7e1ed55-d70c-11ec-aeb4-877d41bba405"
}
]
}
# ボリューム
$ aws fsx describe-volumes \
--volume-ids "$volume_id"
{
"Volumes": [
{
"CreationTime": "2022-05-20T05:52:30.902000+00:00",
"FileSystemId": "fs-0967312eff2f5f5e1",
"Lifecycle": "CREATED",
"Name": "classmethod_dev_fsx_netapp_ontap_single_az_volume_smb_encryption",
"OntapConfiguration": {
"FlexCacheEndpointType": "NONE",
"JunctionPath": "/smb_encryption",
"SecurityStyle": "NTFS",
"SizeInMegabytes": 1024,
"StorageEfficiencyEnabled": true,
"StorageVirtualMachineId": "svm-0a3a78e7c64ff2c5d",
"StorageVirtualMachineRoot": false,
"TieringPolicy": {
"CoolingPeriod": 31,
"Name": "AUTO"
},
"UUID": "146ecf98-d801-11ec-aeb4-877d41bba405",
"OntapVolumeType": "RW"
},
"ResourceARN": "arn:aws:fsx:ap-northeast-1:<AWSアカウントID>:volume/fs-0967312eff2f5f5e1/fsvol-04b998144d14d760a",
"VolumeId": "fsvol-04b998144d14d760a",
"VolumeType": "ONTAP"
}
]
}
SVMレベルでSMBの暗号化を有効にしてみた
まず、SVMレベルでSMBの暗号化を有効にしてみます。
作成したボリュームをZドライブに割り当てます。
> net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption のパスワードが無効です。 'SINGLE-AZ-SVM.fsx-dev.classmethod.jp' のユーザー名を入力してください: fsx-dev.classmethod.jp\FSxAdmin SINGLE-AZ-SVM.fsx-dev.classmethod.jp のパスワードを入力してください: コマンドは正常に終了しました。
Zドライブ割り当て後、暗号化されているか確認をします。
> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *
SmbInstance : Default
ContinuouslyAvailable : False
Credential : fsx-dev.classmethod.jp\FSxAdmin
Dialect : 3.1.1
Encrypted : False
NumOpens : 1
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : C$
Signed : False
UserName : FSX-DEV\ssm-user
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
EncryptedがFalseになっていることから暗号化はされていないようですね。
それでは、SVMレベルでSMBの暗号化を有効にします。
暗号化の設定はコンソールからはできません。SVMにSSHしてNetApp ONTAP CLIを使用して行います。
# SVMにSSH > ssh vsadmin@svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com The authenticity of host 'svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com (10.0.10.31)' can't be established. ECDSA key fingerprint is SHA256:EVwH0gK3r8eEdRFpa5Hy8KfB+2JLdkDiYhghFrWOC7k. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added 'svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com,10.0.10.31' (ECDSA) to the list of known hosts. Password: This is your first recorded login. ::>
SVMにSSH後、現在のSMBのセキュリティ周りの設定を確認します。
::> vserver cifs security show
Vserver: classmethod-dev-fsx-netapp-ontap-single-az-svm
Kerberos Clock Skew: 5 minutes
Kerberos Ticket Age: 10 hours
Kerberos Renewal Age: 7 days
Kerberos KDC Timeout: 3 seconds
Is Signing Required: false
Is Password Complexity Required: true
Use start_tls for AD LDAP connection: false
Is AES Encryption Enabled: false
LM Compatibility Level: lm-ntlm-ntlmv2-krb
Is SMB Encryption Required: false
Client Session Security: none
SMB1 Enabled for DC Connections: false
SMB2 Enabled for DC Connections: system-default
LDAP Referral Enabled For AD LDAP connections: false
Use LDAPS for AD LDAP connection: false
Encryption is required for DC Connections: false
AES session key enabled for NetLogon channel: false
Try Channel Binding For AD LDAP Connections: true
SMBの暗号化を示すIs SMB Encryption Requiredがfalseになっていますね。こちらをtrueに変更します。
# "Is SMB Encryption Required" を "true" に変更
::> vserver cifs security modify -is-smb-encryption-required true
# 設定確認
::> vserver cifs security show
Vserver: classmethod-dev-fsx-netapp-ontap-single-az-svm
Kerberos Clock Skew: 5 minutes
Kerberos Ticket Age: 10 hours
Kerberos Renewal Age: 7 days
Kerberos KDC Timeout: 3 seconds
Is Signing Required: false
Is Password Complexity Required: true
Use start_tls for AD LDAP connection: false
Is AES Encryption Enabled: false
LM Compatibility Level: lm-ntlm-ntlmv2-krb
Is SMB Encryption Required: true
Client Session Security: none
SMB1 Enabled for DC Connections: false
SMB2 Enabled for DC Connections: system-default
LDAP Referral Enabled For AD LDAP connections: false
Use LDAPS for AD LDAP connection: false
Encryption is required for DC Connections: false
AES session key enabled for NetLogon channel: false
Try Channel Binding For AD LDAP Connections: true
Is SMB Encryption Requiredをtrueに変更した後、再度SMBが暗号化されているかを確認します。
> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *
SmbInstance : Default
ContinuouslyAvailable : False
Credential : fsx-dev.classmethod.jp\FSxAdmin
Dialect : 3.1.1
Encrypted : False
NumOpens : 1
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : C$
Signed : False
UserName : FSX-DEV\ssm-user
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
まだEncryptedはFalseとなっています。ドキュメントを確認したところ、暗号化されるにはSMBの接続開始時に有効にしておく必要があるようです。
[-is-smb-encryption-required {true|false}] - Require SMB Encryption for Incoming CIFS Traffic
This parameter specifies whether SMB encryption is required when accessing shares in the Vserver. When enabled and depending on negotiation during session setup, it is possible that data transfers between the client and the server are made secure by encrypting the SMB traffic. If you do not specify this parameter, the default is false.
そのため、一旦Zドライブへの割り当てを解除して、再度割り当てようとしてみます。
> net use /delete Z: Z: が削除されました。 > net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption システム エラー 58 が発生しました。 指定されたサーバーは、要求された操作を実行できません。
再度割り当てようとすると、接続が拒否されました。
今回はユーザーの認証すら行われていません。
試しにドメインユーザーでRDP接続をした状態で、Zドライブに割り当ててみます。
> net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption コマンドは正常に終了しました。
今回は割り当てできました。SMBが暗号化されているか確認したところ、EncryptedがTrueとなっていました。
> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *
SmbInstance : Default
ContinuouslyAvailable : False
Credential : FSX-DEV.CLASSMETHOD.JP\FSxAdmin
Dialect : 3.1.1
Encrypted : True
NumOpens : 1
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : C$
Signed : False
UserName : FSX-DEV\FSxAdmin
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
共有レベルでSMBの暗号化を有効にした場合
次に、共有レベルでSMBの暗号化を有効にした場合を確認してみます。
まず、SVMにSSHしてIs SMB Encryption Requiredをfalseに戻しておきます。
# "Is SMB Encryption Required" を "false" に変更
::> vserver cifs security modify -is-smb-encryption-required false
# 現在の設定の確認
::> vserver cifs security show
Vserver: classmethod-dev-fsx-netapp-ontap-single-az-svm
Kerberos Clock Skew: 5 minutes
Kerberos Ticket Age: 10 hours
Kerberos Renewal Age: 7 days
Kerberos KDC Timeout: 3 seconds
Is Signing Required: false
Is Password Complexity Required: true
Use start_tls for AD LDAP connection: false
Is AES Encryption Enabled: false
LM Compatibility Level: lm-ntlm-ntlmv2-krb
Is SMB Encryption Required: false
Client Session Security: none
SMB1 Enabled for DC Connections: false
SMB2 Enabled for DC Connections: system-default
LDAP Referral Enabled For AD LDAP connections: false
Use LDAPS for AD LDAP connection: false
Encryption is required for DC Connections: false
AES session key enabled for NetLogon channel: false
Try Channel Binding For AD LDAP Connections: true
次に、共有を作成します。以前の記事ではGUIから共有を作成しましたが、vserver cifs share createコマンドを使えばCLIで共有設定ができるようなので、こちらを使用します。
share-propertiesでencrypt-dataを指定すると共有レベルで暗号化が有効になります。一緒に付与しているbrowsableはクライアントがこの共有を検索できるようにするためのオプションです。
# 共有の作成
::> vserver cifs share create -share-name smb_encryption -path /smb_encryption -share-properties browsable,encrypt-data
# 共有の一覧
::> vserver cifs share show
Vserver Share Path Properties Comment ACL
-------------- ------------- ----------------- ---------- -------- -----------
classmethod-dev-fsx-netapp-ontap-single-az-svm oplocks BUILTIN\Administrators / Full Control
c$ / browsable -
changenotify
show-previous-versions
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable
ipc$ / - -
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable Everyone / Full Control
smb_ /smb_encryption encrypt-data
encryption -
3 entries were displayed.
この状態でZドライブにsmb_encryptionを割り当てると、確かにEncryptedがTrueになりました。
> net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\smb_encryption
コマンドは正常に終了しました。
> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *
SmbInstance : Default
ContinuouslyAvailable : False
Credential : fsx-dev.classmethod.jp\FSxAdmin
Dialect : 3.1.1
Encrypted : True
NumOpens : 1
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : smb_encryption
Signed : False
UserName : FSX-DEV\ssm-user
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
次に、共有名(smb_encryption)ではなく、ルートからのパス(\\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption)を指定した場合を確認してみます。
> net use Y: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption
コマンドは正常に終了しました。
> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *
SmbInstance : Default
ContinuouslyAvailable : False
Credential : fsx-dev.classmethod.jp\FSxAdmin
Dialect : 3.1.1
Encrypted : False
NumOpens : 1
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : C$
Signed : False
UserName : FSX-DEV\ssm-user
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
SmbInstance : Default
ContinuouslyAvailable : False
Credential : fsx-dev.classmethod.jp\FSxAdmin
Dialect : 3.1.1
Encrypted : False
NumOpens : 0
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : IPC$
Signed : False
UserName : FSX-DEV\ssm-user
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
SmbInstance : Default
ContinuouslyAvailable : False
Credential : fsx-dev.classmethod.jp\FSxAdmin
Dialect : 3.1.1
Encrypted : True
NumOpens : 1
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : smb_encryption
Signed : False
UserName : FSX-DEV\ssm-user
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
ルートからのパス(\\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption)を指定した場合は共有がC$となるため、SMBは暗号化されませんでした。
最後に、パスで暗号化の設定が継承されるのかを確認するために、C$で暗号化を有効にして、smb_encryptionで暗号化を無効にした場合の挙動を確認してみます。
# "Is SMB Encryption Required" が "false" になっていることを確認
::> vserver cifs security show
Vserver: classmethod-dev-fsx-netapp-ontap-single-az-svm
Kerberos Clock Skew: 5 minutes
Kerberos Ticket Age: 10 hours
Kerberos Renewal Age: 7 days
Kerberos KDC Timeout: 3 seconds
Is Signing Required: false
Is Password Complexity Required: true
Use start_tls for AD LDAP connection: false
Is AES Encryption Enabled: false
LM Compatibility Level: lm-ntlm-ntlmv2-krb
Is SMB Encryption Required: false
Client Session Security: none
SMB1 Enabled for DC Connections: false
SMB2 Enabled for DC Connections: system-default
LDAP Referral Enabled For AD LDAP connections: false
Use LDAPS for AD LDAP connection: false
Encryption is required for DC Connections: false
AES session key enabled for NetLogon channel: false
Try Channel Binding For AD LDAP Connections: true
# 変更前の共有を確認
::> vserver cifs share show
Vserver Share Path Properties Comment ACL
-------------- ------------- ----------------- ---------- -------- -----------
classmethod-dev-fsx-netapp-ontap-single-az-svm oplocks BUILTIN\Administrators / Full Control
c$ / browsable -
changenotify
show-previous-versions
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable
ipc$ / - -
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable Everyone / Full Control
smb_ /smb_encryption encrypt-data
encryption -
3 entries were displayed.
# "smb_encryption" 暗号化を無効に変更
::> vserver cifs share properties remove -share-name smb_encryption -share-properties encrypt-data
# "c$" の暗号化を有効に変更
::> vserver cifs share properties add -share-name c$ -share-properties encrypt-data
# 設定変更後の共有を確認
::> vserver cifs share show
Vserver Share Path Properties Comment ACL
-------------- ------------- ----------------- ---------- -------- -----------
classmethod-dev-fsx-netapp-ontap-single-az-svm oplocks BUILTIN\Administrators / Full Control
c$ / browsable -
changenotify
encrypt-data
show-previous-versions
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable
ipc$ / - -
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable Everyone / Full Control
smb_ /smb_encryption -
encryption
3 entries were displayed.
この状態で、Zドライブにsmb_encryption、YドライブにC$\smb_encryptionを割り当てます。
> net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\smb_encryption
\\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\smb_encryption のパスワードが無効です。
'SINGLE-AZ-SVM.fsx-dev.classmethod.jp' のユーザー名を入力してください: fsx-dev.classmethod.jp\FSxAdmin
SINGLE-AZ-SVM.fsx-dev.classmethod.jp のパスワードを入力してください:
コマンドは正常に終了しました。
> net use Y: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption
コマンドは正常に終了しました。
> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *
SmbInstance : Default
ContinuouslyAvailable : False
Credential : fsx-dev.classmethod.jp\FSxAdmin
Dialect : 3.1.1
Encrypted : True
NumOpens : 1
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : C$
Signed : False
UserName : FSX-DEV\ssm-user
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
SmbInstance : Default
ContinuouslyAvailable : False
Credential : fsx-dev.classmethod.jp\FSxAdmin
Dialect : 3.1.1
Encrypted : False
NumOpens : 0
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : IPC$
Signed : False
UserName : FSX-DEV\ssm-user
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
SmbInstance : Default
ContinuouslyAvailable : False
Credential : fsx-dev.classmethod.jp\FSxAdmin
Dialect : 3.1.1
Encrypted : False
NumOpens : 1
Redirected : False
ServerName : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName : smb_encryption
Signed : False
UserName : FSX-DEV\ssm-user
PSComputerName :
CimClass : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties : Microsoft.Management.Infrastructure.CimSystemProperties
C$のEncryptedはTrueで、smb_encryptionはFalseになりました。どうやらパスで暗号化の継承はしないようですね。
パフォーマンスへの影響を鑑みて判断を
Amazon FSx for NetApp ONTAPでSMBの暗号化設定をやってみました
NetApp ONTAP CLIを使って簡単に暗号化できることを確認できました。
暗号化を有効にする場合は、パフォーマンスへの影響がどの程度あるかを検証した上で判断すると良いと考えます。
この記事が誰かの助けになれば幸いです。
以上、AWS事業本部 コンサルティング部の のんピ(@non____97)でした!
