Ermöglichen Sie integriertes Verschlüsselungsmanagement in ONTAP 9.5 und früher
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Mit dem Onboard Key Manager können Clusterknoten auf einem FIPS-Laufwerk oder SED authentifiziert werden. Der integrierte Onboard Key Manager ist ein Tool, das Authentifizierungsschlüssel für Nodes aus demselben Storage-System wie Ihre Daten bereitstellt. Der Onboard Key Manager ist nach FIPS-140-2 Level 1 zertifiziert.
Mit dem integrierten Key Manager werden die Schlüssel gesichert, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Sie müssen Onboard Key Manager für jedes Cluster aktivieren, das auf ein verschlüsseltes Volume oder eine selbstverschlüsselnde Festplatte zugreift.
Sie müssen den ausführen security key-manager setup
Befehl jedes Mal, wenn Sie dem Cluster einen Node hinzufügen.
Wenn Sie über eine MetroCluster-Konfiguration verfügen, überprüfen Sie diese Richtlinien:
-
In ONTAP 9.5 müssen Sie ausführen
security key-manager setup
Auf dem lokalen Cluster undsecurity key-manager setup -sync-metrocluster-config yes
Verwenden Sie im Remote-Cluster jeweils dieselbe Passphrase. -
Vor ONTAP 9.5 müssen Sie ausführen
security key-manager setup
Warten Sie auf dem lokalen Cluster etwa 20 Sekunden, und führen Sie dann den Betrieb aussecurity key-manager setup
Verwenden Sie im Remote-Cluster jeweils dieselbe Passphrase.
Standardmäßig müssen Sie beim Neustart eines Node nicht die Passphrase für das Schlüsselmanagement eingeben. Ab ONTAP 9.4 können Sie den verwenden -enable-cc-mode yes
Option zum Eingeben, dass Benutzer nach einem Neustart die Passphrase eingeben.
Wenn Sie die Einstellung für NVE verwenden -enable-cc-mode yes
, Volumen, die Sie mit erstellen volume create
Und volume move start
Befehle werden automatisch verschlüsselt. Für volume create
, Sie müssen nicht angeben -encrypt true
. Für volume move start
, Sie müssen nicht angeben -encrypt-destination true
.
Nach einem fehlgeschlagenen Passphrase-Versuch müssen Sie den Node erneut neu booten. |
-
Wenn Sie NSE mit einem externen KMIP-Server (Key Management) verwenden, müssen Sie die externe Schlüsselmanager-Datenbank gelöscht haben.
-
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Sie müssen die MetroCluster Umgebung konfigurieren, bevor der Onboard Key Manager konfiguriert wird.
-
Starten Sie die Konfiguration des Schlüsselmanagers:
security key-manager setup -enable-cc-mode yes|no
Ab ONTAP 9.4 können Sie den verwenden -enable-cc-mode yes
Option zum Eingeben, dass Benutzer nach einem Neustart die Kennwortphrase für das Schlüsselmanagement eingeben. Wenn Sie die Einstellung für NVE verwenden-enable-cc-mode yes
, Volumen, die Sie mit erstellenvolume create
Undvolume move start
Befehle werden automatisch verschlüsselt.Das folgende Beispiel beginnt mit dem Einrichten des Schlüsselmanagers auf Clustered 1, ohne dass die Passphrase nach jedem Neustart eingegeben werden muss:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
Eingabe
yes
An der Eingabeaufforderung zur Konfiguration des Onboard-Verschlüsselungsmanagement. -
Geben Sie an der Eingabeaufforderung für die Passphrase eine Passphrase zwischen 32 und 256 Zeichen oder für „
cc-Mode
“ eine Passphrase zwischen 64 und 256 Zeichen ein.Wenn die angegebene „ cc-Mode
“-Passphrase weniger als 64 Zeichen beträgt, liegt eine Verzögerung von fünf Sekunden vor, bevor die Eingabeaufforderung für das Setup des Schlüsselmanagers die Passphrase erneut anzeigt. -
Geben Sie die Passphrase erneut an der Eingabeaufforderung zur Bestätigung der Passphrase ein.
-
Vergewissern Sie sich, dass die Schlüssel für alle Nodes konfiguriert sind:
security key-manager key show
Die vollständige Befehlssyntax finden Sie in der man-Page.
cluster1::> security key-manager key show Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
Alle Informationen zum Verschlüsselungsmanagement werden automatisch in der replizierten Datenbank (RDB) für den Cluster gesichert.
Wenn Sie die Onboard Key Manager-Passphrase konfigurieren, sollten Sie die Informationen auch manuell an einem sicheren Ort außerhalb des Speichersystems sichern, um sie bei einem Notfall zu verwenden. Siehe "Manuelles Backup der integrierten Informationen für das Verschlüsselungsmanagement".