Ermöglichen Sie integriertes Verschlüsselungsmanagement in ONTAP 9.5 und früher
Änderungen vorschlagen
PDFs
Mit dem Onboard Key Manager können Clusterknoten auf einem FIPS-Laufwerk oder SED authentifiziert werden. Der integrierte Onboard Key Manager ist ein Tool, das Authentifizierungsschlüssel für Nodes aus demselben Storage-System wie Ihre Daten bereitstellt. Der Onboard Key Manager ist nach FIPS-140-2 Level 1 zertifiziert.
Mit dem Onboard Key Manager können Sie die Schlüssel sichern, die der Cluster für den Zugriff auf verschlüsselte Daten verwendet. Aktivieren Sie den Onboard Key Manager auf jedem Cluster, der auf verschlüsselte Volumes oder selbstverschlüsselnde Datenträger zugreift.
Sie müssen den security key-manager setup Befehl jedes Mal ausführen, wenn Sie dem Cluster einen Node hinzufügen.
Wenn Sie über eine MetroCluster-Konfiguration verfügen, überprüfen Sie diese Richtlinien:
-
In ONTAP 9.5 müssen Sie
security key-manager setupauf dem lokalen Cluster undsecurity key-manager setup -sync-metrocluster-config yesauf dem Remote-Cluster unter Verwendung derselben Passphrase ausgeführt werden. -
Vor ONTAP 9.5 müssen Sie
security key-manager setupauf dem lokalen Cluster ausführen, etwa 20 Sekunden warten und dannsecurity key-manager setupauf dem Remote-Cluster unter Verwendung derselben Passphrase auf jedem Cluster ausführen.
Standardmäßig müssen Sie beim Neustart eines Node nicht die Passphrase für das Schlüsselmanagement eingeben. Ab ONTAP 9.4 können Sie mit der -enable-cc-mode yes Option festlegen, dass Benutzer die Passphrase nach einem Neustart eingeben müssen.
Wenn Sie für NVE festlegen, -enable-cc-mode yes volume create volume move start werden Volumes, die Sie mit den Befehlen und erstellen, automatisch verschlüsselt. Für volume create müssen Sie nicht angeben -encrypt true. Für volume move start müssen Sie nicht angeben -encrypt-destination true.
|
Nach einem fehlgeschlagenen Passphrase-Versuch müssen Sie den Node erneut neu booten. |
-
Wenn Sie NSE mit einem externen Schlüsselverwaltungsserver (KMIP) verwenden, löschen Sie die externe Schlüsselverwaltungsdatenbank.
-
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Konfigurieren Sie die MetroCluster -Umgebung, bevor Sie den Onboard Key Manager konfigurieren.
-
Starten Sie die Konfiguration des Schlüsselmanagers:
security key-manager setup -enable-cc-mode yes|no
Ab ONTAP 9.4 können Sie mit der -enable-cc-mode yesOption festlegen, dass Benutzer nach einem Neustart die Passphrase für den Schlüsselmanager eingeben müssen. Wenn Sie für NVE festlegen,-enable-cc-mode yesvolume createvolume move startwerden Volumes, die Sie mit den Befehlen und erstellen, automatisch verschlüsselt.Das folgende Beispiel beginnt mit dem Einrichten des Schlüsselmanagers auf Clustered 1, ohne dass die Passphrase nach jedem Neustart eingegeben werden muss:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text> -
Geben Sie
yesan der Eingabeaufforderung ein, um die integrierte Schlüsselverwaltung zu konfigurieren. -
Geben Sie an der Eingabeaufforderung für die Passphrase eine Passphrase zwischen 32 und 256 Zeichen oder für „
cc-Mode“ eine Passphrase zwischen 64 und 256 Zeichen ein.
Wenn die angegebene „ cc-Mode“-Passphrase weniger als 64 Zeichen beträgt, liegt eine Verzögerung von fünf Sekunden vor, bevor die Eingabeaufforderung für das Setup des Schlüsselmanagers die Passphrase erneut anzeigt. -
Geben Sie die Passphrase erneut an der Eingabeaufforderung zur Bestätigung der Passphrase ein.
-
Vergewissern Sie sich, dass die Schlüssel für alle Nodes konfiguriert sind:
security key-manager show-key-storeErfahren Sie mehr über
security key-manager show-key-storeim"ONTAP-Befehlsreferenz" .cluster1::> security key-manager show-key-store Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK
ONTAP sichert wichtige Verwaltungsinformationen automatisch in der replizierten Datenbank (RDB) für den Cluster.
Nachdem Sie die Passphrase für den Onboard Key Manager konfiguriert haben, sichern Sie die Informationen manuell an einem sicheren Ort außerhalb des Speichersystems. Sehen"Manuelles Backup der integrierten Informationen für das Verschlüsselungsmanagement" .