Ermöglichen Sie integriertes Verschlüsselungsmanagement in ONTAP 9.6 und höher
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Mit dem Onboard Key Manager können Clusterknoten auf einem FIPS-Laufwerk oder SED authentifiziert werden. Der integrierte Onboard Key Manager ist ein Tool, das Authentifizierungsschlüssel für Nodes aus demselben Storage-System wie Ihre Daten bereitstellt. Der Onboard Key Manager ist nach FIPS-140-2 Level 1 zertifiziert.
Mit dem integrierten Key Manager werden die Schlüssel gesichert, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Sie müssen Onboard Key Manager für jedes Cluster aktivieren, das auf ein verschlüsseltes Volume oder eine selbstverschlüsselnde Festplatte zugreift.
Sie müssen den ausführen security key-manager onboard enable
Befehl jedes Mal, wenn Sie dem Cluster einen Node hinzufügen. In MetroCluster Konfigurationen müssen Sie ausführen security key-manager onboard enable
Führen Sie zuerst auf dem lokalen Cluster aus security key-manager onboard sync
Verwenden Sie im Remote-Cluster jeweils dieselbe Passphrase.
Standardmäßig müssen Sie beim Neustart eines Node nicht die Passphrase für das Schlüsselmanagement eingeben. Außer in MetroCluster können Sie den verwenden cc-mode-enabled=yes
Option zum Eingeben, dass Benutzer nach einem Neustart die Passphrase eingeben.
Wenn der Onboard Key Manager im Common Criteria-Modus aktiviert ist (`cc-mode-enabled=yes`Das Systemverhalten wird folgendermaßen geändert:
|
Der Onboard Key Manager speichert Schlüssel im volatilen Speicher. Der Inhalt von flüchtigem Speicher wird gelöscht, wenn das System neu gestartet oder angehalten wird. Unter normalen Betriebsbedingungen wird der Inhalt von flüchtigem Speicher innerhalb von 30 s gelöscht, wenn ein System angehalten wird. |
-
Wenn Sie NSE mit einem externen KMIP-Server (Key Management) verwenden, müssen Sie die externe Schlüsselmanager-Datenbank gelöscht haben.
-
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Sie müssen die MetroCluster Umgebung konfigurieren, bevor der Onboard Key Manager konfiguriert wird.
-
Starten Sie den Key Manager Setup-Befehl:
security key-manager onboard enable -cc-mode-enabled yes|no
Einstellen cc-mode-enabled=yes
Um zu verlangen, dass Benutzer nach einem Neustart die Kennverwaltung-Passphrase eingeben. Der- cc-mode-enabled
Die Option wird in MetroCluster-Konfigurationen nicht unterstützt. Dersecurity key-manager onboard enable
Mit dem Befehl wird der ersetztsecurity key-manager setup
Befehl.Das folgende Beispiel startet den Befehl zum Einrichten des Schlüsselmanagers in cluster1, ohne dass nach jedem Neustart die Passphrase eingegeben werden muss:
cluster1::> security key-manager onboard enable Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
Geben Sie an der Eingabeaufforderung für die Passphrase eine Passphrase zwischen 32 und 256 Zeichen oder für „
cc-Mode
“ eine Passphrase zwischen 64 und 256 Zeichen ein.Wenn die angegebene „ cc-Mode
“-Passphrase weniger als 64 Zeichen beträgt, liegt eine Verzögerung von fünf Sekunden vor, bevor die Eingabeaufforderung für das Setup des Schlüsselmanagers die Passphrase erneut anzeigt. -
Geben Sie die Passphrase erneut an der Eingabeaufforderung zur Bestätigung der Passphrase ein.
-
Vergewissern Sie sich, dass die Authentifizierungsschlüssel erstellt wurden:
security key-manager key query -node node
Der security key-manager key query
Mit dem Befehl wird der ersetztsecurity key-manager query key
Befehl. Eine vollständige Befehlssyntax finden Sie in der man-Page.Im folgenden Beispiel wird überprüft, ob Authentifizierungsschlüssel für erstellt wurden
cluster1
:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: onboard Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node1 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000 Vserver: cluster1 Key Manager: onboard Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node2 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
Kopieren Sie die Passphrase zur späteren Verwendung an einen sicheren Ort außerhalb des Storage-Systems.
Alle Informationen zum Verschlüsselungsmanagement werden automatisch in der replizierten Datenbank (RDB) für den Cluster gesichert. Sie sollten die Informationen auch manuell für den Notfall sichern.