Amazon FSx for NetApp ONTAPでSMBの暗号化設定をやってみた

簡単に暗号化できるよ
2022.05.23

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

FSx for Windows File ServerではSMBの暗号化設定できるけど、FSx for ONTAPはできるの?

こんにちは、のんピ(@non____97)です。

皆さんはFSx for ONTAP使っていますか? 私は最近使いまくってます。

ふと、Amazon FSx for NetApp ONTAPでSMBの暗号化設定ができるか気になりました。Amazon FSx for Windows File Serverでは以下記事で紹介している通り、SMBの暗号化設定が可能です。

FSx for ONTAPのドキュメントを確認すると、どうやらFSx for ONTAPでもSMBの暗号化設定ができるようです。

ということで、FSx for ONTAPでSMBの暗号化設定をやってみたので紹介します。

いきなりまとめ

  • デフォルトではSMBの暗号化はされていない
  • 以下レベルでSMBの暗号化設定ができる
    • SVM
    • 共有
  • SVMレベルで暗号化を有効にすることで、SVM配下の全ての共有についてのSMBを暗号化することができる
  • 共有レベルで暗号化を有効にすることで、特定の共有にのみSMBを暗号化することができる
    • パスで暗号化の継承はされない
  • SMBの暗号化はパフォーマンスに影響を与える可能性がある

SMBの暗号化設定方法の確認

まず、SMBの暗号化設定方法の確認します。

ドキュメントを確認したところ、以下レベルでSMBの暗号化設定ができるようです。

  • SVM
  • 共有

それぞれの設定の関係性は以下のようになります。

SVMでSMB暗号化を有効にするか 共有フォルダでSMB暗号化を有効にするか 挙動
TRUE FALSE SVM内のすべての共有に対して暗号化が有効
SMBセッション全体に対して暗号化が行われる
TRUE TRUE 共有レベルの暗号化に関係なく、SVM内のすべての共有に対して暗号化が有効
SMBセッション全体に対して暗号化が行われる
FALSE TRUE 特定の共有に対して暗号化が有効
FALSE FALSE 暗号化は行われない

参考 : Configure required SMB encryption on SMB servers for data transfers over SMB overview

取り敢えずSMBの暗号化を行いたい場合は、SVMレベルで暗号化を有効にすればよさそうです。

ただし、SMBの暗号化はパフォーマンスに影響を与えるようです。

SMB セッションで SMB 暗号化を使用すると、 Windows クライアントとのすべての SMB 通信でパフォーマンスが低下し、クライアントとサーバ( SMB サーバを含む SVM を実行しているクラスタ上のノード)の両方に影響します。

パフォーマンスへの影響は、 CPU 使用率の増加としてクライアントとサーバの両方に表示されますが、ネットワークトラフィックの量は変わりません。

パフォーマンスへの影響の程度は、実行している ONTAP 9 のバージョンによって異なります。ONTAP 9.7 以降では、新しい暗号化のオフロードアルゴリズムによって、暗号化された SMB トラフィックのパフォーマンスが向上します。SMB 暗号化オフロードは、 SMB 暗号化が有効になっている場合にデフォルトで有効になります。

SMB 暗号化のパフォーマンスへの影響

FSx for ONTAPのONTAPのバージョンは9.11.0P1でした。

::> version
NetApp Release 9.11.0P1: Tue Mar 22 17:41:04 UTC 2022

そのため、暗号化がパフォーマンスに与える影響度合いは低くなっていそうですが、本番利用する場合はどの程度影響を与えるのか検証をしておきたいですね。

SVMとボリュームの確認

暗号化の設定の前に検証で使用するSVMとボリュームを確認します。

# SVM
$ aws fsx describe-storage-virtual-machines \
    --storage-virtual-machine-ids "$svm_id"
{
    "StorageVirtualMachines": [
        {
            "ActiveDirectoryConfiguration": {
                "NetBiosName": "SINGLE-AZ-SVM",
                "SelfManagedActiveDirectoryConfiguration": {
                    "DomainName": "FSX-DEV.CLASSMETHOD.JP",
                    "OrganizationalUnitDistinguishedName": "OU=FSxForNetAppONTAP,DC=fsx-dev,DC=classmethod,DC=jp",
                    "UserName": "FSxServiceAccount",
                    "DnsIps": [
                        "10.0.0.138"
                    ]
                }
            },
            "CreationTime": "2022-05-19T00:42:07.541000+00:00",
            "Endpoints": {
                "Iscsi": {
                    "DNSName": "iscsi.svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com",
                    "IpAddresses": [
                        "10.0.10.96",
                        "10.0.10.45"
                    ]
                },
                "Management": {
                    "DNSName": "svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com",
                    "IpAddresses": [
                        "10.0.10.31"
                    ]
                },
                "Nfs": {
                    "DNSName": "svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com",
                    "IpAddresses": [
                        "10.0.10.31"
                    ]
                },
                "Smb": {
                    "DNSName": "SINGLE-AZ-SVM.FSX-DEV.CLASSMETHOD.JP",
                    "IpAddresses": [
                        "10.0.10.31"
                    ]
                }
            },
            "FileSystemId": "fs-0967312eff2f5f5e1",
            "Lifecycle": "CREATED",
            "Name": "",
            "ResourceARN": "arn:aws:fsx:ap-northeast-1:<AWSアカウントID>:storage-virtual-machine/fs-0967312eff2f5f5e1/svm-0a3a78e7c64ff2c5d",
            "StorageVirtualMachineId": "svm-0a3a78e7c64ff2c5d",
            "Subtype": "DEFAULT",
            "UUID": "a7e1ed55-d70c-11ec-aeb4-877d41bba405"
        }
    ]
}

# ボリューム
$ aws fsx describe-volumes \
    --volume-ids "$volume_id"
{
    "Volumes": [
        {
            "CreationTime": "2022-05-20T05:52:30.902000+00:00",
            "FileSystemId": "fs-0967312eff2f5f5e1",
            "Lifecycle": "CREATED",
            "Name": "classmethod_dev_fsx_netapp_ontap_single_az_volume_smb_encryption",
            "OntapConfiguration": {
                "FlexCacheEndpointType": "NONE",
                "JunctionPath": "/smb_encryption",
                "SecurityStyle": "NTFS",
                "SizeInMegabytes": 1024,
                "StorageEfficiencyEnabled": true,
                "StorageVirtualMachineId": "svm-0a3a78e7c64ff2c5d",
                "StorageVirtualMachineRoot": false,
                "TieringPolicy": {
                    "CoolingPeriod": 31,
                    "Name": "AUTO"
                },
                "UUID": "146ecf98-d801-11ec-aeb4-877d41bba405",
                "OntapVolumeType": "RW"
            },
            "ResourceARN": "arn:aws:fsx:ap-northeast-1:<AWSアカウントID>:volume/fs-0967312eff2f5f5e1/fsvol-04b998144d14d760a",
            "VolumeId": "fsvol-04b998144d14d760a",
            "VolumeType": "ONTAP"
        }
    ]
}

SVMレベルでSMBの暗号化を有効にしてみた

まず、SVMレベルでSMBの暗号化を有効にしてみます。

作成したボリュームをZドライブに割り当てます。

> net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption
\\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption のパスワードが無効です。

'SINGLE-AZ-SVM.fsx-dev.classmethod.jp' のユーザー名を入力してください: fsx-dev.classmethod.jp\FSxAdmin
SINGLE-AZ-SVM.fsx-dev.classmethod.jp のパスワードを入力してください:
コマンドは正常に終了しました。

Zドライブ割り当て後、暗号化されているか確認をします。

> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *


SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : fsx-dev.classmethod.jp\FSxAdmin
Dialect               : 3.1.1
Encrypted             : False
NumOpens              : 1
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : C$
Signed                : False
UserName              : FSX-DEV\ssm-user
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

EncryptedFalseになっていることから暗号化はされていないようですね。

それでは、SVMレベルでSMBの暗号化を有効にします。

暗号化の設定はコンソールからはできません。SVMにSSHしてNetApp ONTAP CLIを使用して行います。

# SVMにSSH
> ssh vsadmin@svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com
The authenticity of host 'svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com (10.0.10.31)' can't be established.
ECDSA key fingerprint is SHA256:EVwH0gK3r8eEdRFpa5Hy8KfB+2JLdkDiYhghFrWOC7k.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'svm-0a3a78e7c64ff2c5d.fs-0967312eff2f5f5e1.fsx.ap-northeast-1.amazonaws.com,10.0.10.31' (ECDSA) to the list of known hosts.
Password:

This is your first recorded login.
::>

SVMにSSH後、現在のSMBのセキュリティ周りの設定を確認します。

::> vserver cifs security show

Vserver: classmethod-dev-fsx-netapp-ontap-single-az-svm

                            Kerberos Clock Skew:                   5 minutes
                            Kerberos Ticket Age:                  10 hours
                           Kerberos Renewal Age:                   7 days
                           Kerberos KDC Timeout:                   3 seconds
                            Is Signing Required:               false
                Is Password Complexity Required:                true
           Use start_tls for AD LDAP connection:               false
                      Is AES Encryption Enabled:               false
                         LM Compatibility Level:  lm-ntlm-ntlmv2-krb
                     Is SMB Encryption Required:               false
                        Client Session Security:                none
                SMB1 Enabled for DC Connections:               false
                SMB2 Enabled for DC Connections:      system-default
  LDAP Referral Enabled For AD LDAP connections:               false
               Use LDAPS for AD LDAP connection:               false
      Encryption is required for DC Connections:               false
   AES session key enabled for NetLogon channel:               false
    Try Channel Binding For AD LDAP Connections:                true

SMBの暗号化を示すIs SMB Encryption Requiredfalseになっていますね。こちらをtrueに変更します。

# "Is SMB Encryption Required" を "true" に変更
::> vserver cifs security modify -is-smb-encryption-required true

# 設定確認
::> vserver cifs security show

Vserver: classmethod-dev-fsx-netapp-ontap-single-az-svm

                            Kerberos Clock Skew:                   5 minutes
                            Kerberos Ticket Age:                  10 hours
                           Kerberos Renewal Age:                   7 days
                           Kerberos KDC Timeout:                   3 seconds
                            Is Signing Required:               false
                Is Password Complexity Required:                true
           Use start_tls for AD LDAP connection:               false
                      Is AES Encryption Enabled:               false
                         LM Compatibility Level:  lm-ntlm-ntlmv2-krb
                     Is SMB Encryption Required:                true
                        Client Session Security:                none
                SMB1 Enabled for DC Connections:               false
                SMB2 Enabled for DC Connections:      system-default
  LDAP Referral Enabled For AD LDAP connections:               false
               Use LDAPS for AD LDAP connection:               false
      Encryption is required for DC Connections:               false
   AES session key enabled for NetLogon channel:               false
    Try Channel Binding For AD LDAP Connections:                true

Is SMB Encryption Requiredtrueに変更した後、再度SMBが暗号化されているかを確認します。

> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *


SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : fsx-dev.classmethod.jp\FSxAdmin
Dialect               : 3.1.1
Encrypted             : False
NumOpens              : 1
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : C$
Signed                : False
UserName              : FSX-DEV\ssm-user
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

まだEncryptedFalseとなっています。ドキュメントを確認したところ、暗号化されるにはSMBの接続開始時に有効にしておく必要があるようです。

[-is-smb-encryption-required {true|false}] - Require SMB Encryption for Incoming CIFS Traffic

This parameter specifies whether SMB encryption is required when accessing shares in the Vserver. When enabled and depending on negotiation during session setup, it is possible that data transfers between the client and the server are made secure by encrypting the SMB traffic. If you do not specify this parameter, the default is false.

ONTAP 9 ドキュメント センター - vserver cifs security modify

そのため、一旦Zドライブへの割り当てを解除して、再度割り当てようとしてみます。

> net use /delete Z:
Z: が削除されました。

> net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption
システム エラー 58 が発生しました。

指定されたサーバーは、要求された操作を実行できません。

再度割り当てようとすると、接続が拒否されました。

今回はユーザーの認証すら行われていません。

試しにドメインユーザーでRDP接続をした状態で、Zドライブに割り当ててみます。

> net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption
コマンドは正常に終了しました。

今回は割り当てできました。SMBが暗号化されているか確認したところ、EncryptedTrueとなっていました。

> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *


SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : FSX-DEV.CLASSMETHOD.JP\FSxAdmin
Dialect               : 3.1.1
Encrypted             : True
NumOpens              : 1
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : C$
Signed                : False
UserName              : FSX-DEV\FSxAdmin
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

共有レベルでSMBの暗号化を有効にした場合

次に、共有レベルでSMBの暗号化を有効にした場合を確認してみます。

まず、SVMにSSHしてIs SMB Encryption Requiredfalseに戻しておきます。

# "Is SMB Encryption Required" を "false" に変更
::> vserver cifs security modify -is-smb-encryption-required false

# 現在の設定の確認
::> vserver cifs security show

Vserver: classmethod-dev-fsx-netapp-ontap-single-az-svm

                            Kerberos Clock Skew:                   5 minutes
                            Kerberos Ticket Age:                  10 hours
                           Kerberos Renewal Age:                   7 days
                           Kerberos KDC Timeout:                   3 seconds
                            Is Signing Required:               false
                Is Password Complexity Required:                true
           Use start_tls for AD LDAP connection:               false
                      Is AES Encryption Enabled:               false
                         LM Compatibility Level:  lm-ntlm-ntlmv2-krb
                     Is SMB Encryption Required:               false
                        Client Session Security:                none
                SMB1 Enabled for DC Connections:               false
                SMB2 Enabled for DC Connections:      system-default
  LDAP Referral Enabled For AD LDAP connections:               false
               Use LDAPS for AD LDAP connection:               false
      Encryption is required for DC Connections:               false
   AES session key enabled for NetLogon channel:               false
    Try Channel Binding For AD LDAP Connections:                true

次に、共有を作成します。以前の記事ではGUIから共有を作成しましたが、vserver cifs share createコマンドを使えばCLIで共有設定ができるようなので、こちらを使用します。

share-propertiesencrypt-dataを指定すると共有レベルで暗号化が有効になります。一緒に付与しているbrowsableはクライアントがこの共有を検索できるようにするためのオプションです。

# 共有の作成
::> vserver cifs share create -share-name smb_encryption -path /smb_encryption -share-properties browsable,encrypt-data

# 共有の一覧
::> vserver cifs share show
Vserver        Share         Path              Properties Comment  ACL
-------------- ------------- ----------------- ---------- -------- -----------
classmethod-dev-fsx-netapp-ontap-single-az-svm  oplocks             BUILTIN\Administrators / Full Control
               c$            /                 browsable  -
                                               changenotify
                                               show-previous-versions
classmethod-dev-fsx-netapp-ontap-single-az-svm  browsable
               ipc$          /                            -        -
classmethod-dev-fsx-netapp-ontap-single-az-svm  browsable           Everyone / Full Control
               smb_          /smb_encryption   encrypt-data
               encryption                                 -
3 entries were displayed.

この状態でZドライブにsmb_encryptionを割り当てると、確かにEncryptedTrueになりました。

> net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\smb_encryption
コマンドは正常に終了しました。

> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *


SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : fsx-dev.classmethod.jp\FSxAdmin
Dialect               : 3.1.1
Encrypted             : True
NumOpens              : 1
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : smb_encryption
Signed                : False
UserName              : FSX-DEV\ssm-user
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

次に、共有名(smb_encryption)ではなく、ルートからのパス(\\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption)を指定した場合を確認してみます。

> net use Y: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption
コマンドは正常に終了しました。

> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *


SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : fsx-dev.classmethod.jp\FSxAdmin
Dialect               : 3.1.1
Encrypted             : False
NumOpens              : 1
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : C$
Signed                : False
UserName              : FSX-DEV\ssm-user
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : fsx-dev.classmethod.jp\FSxAdmin
Dialect               : 3.1.1
Encrypted             : False
NumOpens              : 0
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : IPC$
Signed                : False
UserName              : FSX-DEV\ssm-user
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : fsx-dev.classmethod.jp\FSxAdmin
Dialect               : 3.1.1
Encrypted             : True
NumOpens              : 1
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : smb_encryption
Signed                : False
UserName              : FSX-DEV\ssm-user
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

ルートからのパス(\\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption)を指定した場合は共有がC$となるため、SMBは暗号化されませんでした。

最後に、パスで暗号化の設定が継承されるのかを確認するために、C$で暗号化を有効にして、smb_encryptionで暗号化を無効にした場合の挙動を確認してみます。

# "Is SMB Encryption Required" が "false" になっていることを確認
::> vserver cifs security show

Vserver: classmethod-dev-fsx-netapp-ontap-single-az-svm

                            Kerberos Clock Skew:                   5 minutes
                            Kerberos Ticket Age:                  10 hours
                           Kerberos Renewal Age:                   7 days
                           Kerberos KDC Timeout:                   3 seconds
                            Is Signing Required:               false
                Is Password Complexity Required:                true
           Use start_tls for AD LDAP connection:               false
                      Is AES Encryption Enabled:               false
                         LM Compatibility Level:  lm-ntlm-ntlmv2-krb
                     Is SMB Encryption Required:               false
                        Client Session Security:                none
                SMB1 Enabled for DC Connections:               false
                SMB2 Enabled for DC Connections:      system-default
  LDAP Referral Enabled For AD LDAP connections:               false
               Use LDAPS for AD LDAP connection:               false
      Encryption is required for DC Connections:               false
   AES session key enabled for NetLogon channel:               false
    Try Channel Binding For AD LDAP Connections:                true

# 変更前の共有を確認
::> vserver cifs share show
Vserver        Share         Path              Properties Comment  ACL
-------------- ------------- ----------------- ---------- -------- -----------
classmethod-dev-fsx-netapp-ontap-single-az-svm oplocks             BUILTIN\Administrators / Full Control
               c$            /                 browsable  -
                                               changenotify
                                               show-previous-versions
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable
               ipc$          /                            -        -
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable           Everyone / Full Control
               smb_          /smb_encryption   encrypt-data
               encryption                                 -
3 entries were displayed.

# "smb_encryption" 暗号化を無効に変更
::> vserver cifs share properties remove -share-name smb_encryption -share-properties encrypt-data

# "c$" の暗号化を有効に変更
::> vserver cifs share properties add -share-name c$ -share-properties encrypt-data

# 設定変更後の共有を確認
::> vserver cifs share show
Vserver        Share         Path              Properties Comment  ACL
-------------- ------------- ----------------- ---------- -------- -----------
classmethod-dev-fsx-netapp-ontap-single-az-svm oplocks             BUILTIN\Administrators / Full Control
               c$            /                 browsable  -
                                               changenotify
                                               encrypt-data
                                               show-previous-versions
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable
               ipc$          /                            -        -
classmethod-dev-fsx-netapp-ontap-single-az-svm browsable           Everyone / Full Control
               smb_          /smb_encryption              -
               encryption
3 entries were displayed.

この状態で、Zドライブにsmb_encryption、YドライブにC$\smb_encryptionを割り当てます。

> net use Z: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\smb_encryption
\\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\smb_encryption のパスワードが無効です。

'SINGLE-AZ-SVM.fsx-dev.classmethod.jp' のユーザー名を入力してください: fsx-dev.classmethod.jp\FSxAdmin
SINGLE-AZ-SVM.fsx-dev.classmethod.jp のパスワードを入力してください:
コマンドは正常に終了しました。

> net use Y: \\SINGLE-AZ-SVM.fsx-dev.classmethod.jp\C$\smb_encryption
コマンドは正常に終了しました。

> Get-SmbConnection -ServerName SINGLE-AZ-SVM.fsx-dev.classmethod.jp | Select-Object -Property *


SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : fsx-dev.classmethod.jp\FSxAdmin
Dialect               : 3.1.1
Encrypted             : True
NumOpens              : 1
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : C$
Signed                : False
UserName              : FSX-DEV\ssm-user
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : fsx-dev.classmethod.jp\FSxAdmin
Dialect               : 3.1.1
Encrypted             : False
NumOpens              : 0
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : IPC$
Signed                : False
UserName              : FSX-DEV\ssm-user
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

SmbInstance           : Default
ContinuouslyAvailable : False
Credential            : fsx-dev.classmethod.jp\FSxAdmin
Dialect               : 3.1.1
Encrypted             : False
NumOpens              : 1
Redirected            : False
ServerName            : SINGLE-AZ-SVM.fsx-dev.classmethod.jp
ShareName             : smb_encryption
Signed                : False
UserName              : FSX-DEV\ssm-user
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties

C$EncryptedTrueで、smb_encryptionFalseになりました。どうやらパスで暗号化の継承はしないようですね。

パフォーマンスへの影響を鑑みて判断を

Amazon FSx for NetApp ONTAPでSMBの暗号化設定をやってみました

NetApp ONTAP CLIを使って簡単に暗号化できることを確認できました。

暗号化を有効にする場合は、パフォーマンスへの影響がどの程度あるかを検証した上で判断すると良いと考えます。

この記事が誰かの助けになれば幸いです。

以上、AWS事業本部 コンサルティング部の のんピ(@non____97)でした!