Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Integriertes Verschlüsselungsmanagement in ONTAP 9.6 und höher (NVE)

Beitragende
PDFs

Mit dem integrierten Key Manager werden die Schlüssel gesichert, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Sie müssen den Onboard Key Manager für jedes Cluster aktivieren, das auf ein verschlüsseltes Volume oder eine selbstverschlüsselnde Festplatte zugreift.

Über diese Aufgabe

Sie müssen den security key-manager onboard sync Befehl jedes Mal ausführen, wenn Sie dem Cluster einen Node hinzufügen.

Wenn Sie über eine MetroCluster-Konfiguration verfügen, müssen Sie security key-manager onboard enable zuerst den Befehl auf dem lokalen Cluster ausführen und dann den security key-manager onboard sync Befehl auf dem Remote-Cluster ausführen. Verwenden Sie dabei jeweils dieselbe Passphrase. Wenn Sie den security key-manager onboard enable Befehl vom lokalen Cluster aus ausführen und dann auf dem Remote-Cluster synchronisieren, müssen Sie den enable Befehl nicht erneut vom Remote-Cluster aus ausführen.

Standardmäßig müssen Sie beim Neustart eines Node nicht die Passphrase für das Schlüsselmanagement eingeben. Mit der cc-mode-enabled=yes Option können Sie festlegen, dass Benutzer die Passphrase nach einem Neustart eingeben müssen.

Wenn Sie für NVE festlegen, cc-mode-enabled=yes volume create volume move start werden Volumes, die Sie mit den Befehlen und erstellen, automatisch verschlüsselt. Für volume create müssen Sie nicht angeben -encrypt true. Für volume move start müssen Sie nicht angeben -encrypt-destination true.

Bei der Konfiguration der Verschlüsselung von ONTAP-Daten im Ruhezustand müssen Sie NSE mit NVE gewährleisten, dass der integrierte Schlüsselmanager im Common Criteria-Modus aktiviert ist, um die Anforderungen für kommerzielle Lösungen für die Klassifizierung (CSfC) zu erfüllen. "CSfC Lösungsüberblick"Weitere Informationen zu CSfC finden Sie im.

Hinweis

Wenn der Onboard Key Manager im Common Criteria-Modus aktiviert ist(cc-mode-enabled=yes, wird das Systemverhalten wie folgt geändert:

  • Das System überwacht bei der Verwendung im Common Criteria-Modus auf aufeinanderfolgende fehlgeschlagene Cluster-Passphrase.

    Wenn Sie beim Booten nicht die richtige Cluster-Passphrase eingeben, werden verschlüsselte Volumes nicht angehängt. Um dies zu korrigieren, müssen Sie den Node neu booten und die richtige Cluster-Passphrase eingeben. Sobald das System gebootet wurde, können bis zu 5 aufeinanderfolgende Versuche unternommen werden, um für jeden Befehl, für den die Cluster-Passphrase als Parameter erforderlich ist, in einem Zeitraum von 24 Stunden korrekt einzugeben. Wenn das Limit erreicht wird (beispielsweise konnten Sie den Cluster-Passphrase 5 Mal hintereinander nicht korrekt eingeben), müssen Sie entweder warten, bis der 24-Stunden-Timeout abgelaufen ist, oder Sie müssen den Node neu booten, um das Limit zurückzusetzen.

  • Updates für das System-Image nutzen das Code-Signing-Zertifikat von NetApp RSA-3072 zusammen mit dem von SHA-384 signierten Code, um die Image-Integrität anstelle des üblichen NetApp RSA-2048-Code-Signaturzertifikats und den von SHA-256 signierten Digests zu überprüfen.

    Der Upgrade-Befehl überprüft, ob der Bildinhalt durch Überprüfen verschiedener digitaler Signaturen nicht verändert oder beschädigt wurde. Der Image-Aktualisierungsprozess wird mit dem nächsten Schritt fortgesetzt, wenn die Validierung erfolgreich ist. Andernfalls schlägt die Image-Aktualisierung fehl. `cluster image`Informationen zu Systemaktualisierungen finden Sie auf der man-Seite.
Hinweis Der Onboard Key Manager speichert Schlüssel im volatilen Speicher. Der Inhalt von flüchtigem Speicher wird gelöscht, wenn das System neu gestartet oder angehalten wird. Unter normalen Betriebsbedingungen wird der Inhalt von flüchtigem Speicher innerhalb von 30 s gelöscht, wenn ein System angehalten wird.
Bevor Sie beginnen

  • Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.

  • Sie müssen die MetroCluster-Umgebung konfigurieren, bevor Sie den Onboard Key Manager konfigurieren.

Schritte

  1. Starten Sie die Konfiguration des Schlüsselmanagers:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Hinweis

    Legen Sie fest cc-mode-enabled=yes, dass Benutzer nach einem Neustart die Passphrase für den Schlüsselmanager eingeben müssen. Wenn Sie für NVE festlegen, cc-mode-enabled=yes volume create volume move start werden Volumes, die Sie mit den Befehlen und erstellen, automatisch verschlüsselt. Die - cc-mode-enabled Option wird in MetroCluster-Konfigurationen nicht unterstützt. Der security key-manager onboard enable Befehl ersetzt den security key-manager setup Befehl.

    Das folgende Beispiel startet den Befehl zum Einrichten des Schlüsselmanagers in cluster1, ohne dass nach jedem Neustart die Passphrase eingegeben werden muss:

    cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. Geben Sie an der Eingabeaufforderung für die Passphrase eine Passphrase zwischen 32 und 256 Zeichen oder für „cc-Mode“ eine Passphrase zwischen 64 und 256 Zeichen ein.

    Hinweis

    Wenn die angegebene „cc-Mode“-Passphrase weniger als 64 Zeichen beträgt, liegt eine Verzögerung von fünf Sekunden vor, bevor die Eingabeaufforderung für das Setup des Schlüsselmanagers die Passphrase erneut anzeigt.

  3. Geben Sie die Passphrase erneut an der Eingabeaufforderung zur Bestätigung der Passphrase ein.

  4. Vergewissern Sie sich, dass die Authentifizierungsschlüssel erstellt wurden:

    security key-manager key query -key-type NSE-AK

    Hinweis

    Der security key-manager key query Befehl ersetzt den security key-manager query key Befehl. Eine vollständige Befehlssyntax finden Sie in der man-Page.

    Im folgenden Beispiel wird überprüft, ob Authentifizierungsschlüssel für erstellt cluster1 wurden:

    cluster1::> security key-manager key query -key-type NSE-AK
               Node: node1
            Vserver: cluster1
        Key Manager: onboard
   Key Manager Type: OKM
 Key Manager Policy: -

 Key Tag                               Key Type Encryption   Restored

------------------------------------  -------- ------------ --------

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000

2 entries were displayed.

  5. Konvertieren Sie optional Klartextvolumes in verschlüsselte Volumes.

    volume encryption conversion start

    Der Onboard Key Manager muss vor der Konvertierung der Volumes vollständig konfiguriert sein. In einer MetroCluster-Umgebung muss der Onboard Key Manager auf beiden Standorten konfiguriert sein.

Nachdem Sie fertig sind

Kopieren Sie die Passphrase zur späteren Verwendung an einen sicheren Ort außerhalb des Storage-Systems.

Wenn Sie die Onboard Key Manager-Passphrase konfigurieren, sollten Sie die Informationen auch manuell an einem sicheren Ort außerhalb des Speichersystems sichern, um sie bei einem Notfall zu verwenden. Siehe "Manuelles Backup der integrierten Informationen für das Verschlüsselungsmanagement".