Integriertes Verschlüsselungsmanagement in ONTAP 9.6 und höher (NVE)
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Mit dem integrierten Key Manager werden die Schlüssel gesichert, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Sie müssen den Onboard Key Manager für jedes Cluster aktivieren, das auf ein verschlüsseltes Volume oder eine selbstverschlüsselnde Festplatte zugreift.
Sie müssen den ausführen security key-manager onboard sync
Befehl jedes Mal, wenn Sie dem Cluster einen Node hinzufügen.
Wenn Sie über eine MetroCluster-Konfiguration verfügen, müssen Sie den ausführen security key-manager onboard enable
Führen Sie zunächst den Befehl auf dem lokalen Cluster aus, und führen Sie dann den aus security key-manager onboard sync
Auf dem Remote-Cluster unter Verwendung derselben Passphrase auf beiden. Wenn Sie den ausführen security key-manager onboard enable
Vom lokalen Cluster aus und dann auf dem Remote-Cluster synchronisieren, müssen Sie den nicht ausführen enable
Führen Sie einen neuen Befehl aus dem Remote-Cluster aus.
Standardmäßig müssen Sie beim Neustart eines Node nicht die Passphrase für das Schlüsselmanagement eingeben. Sie können das verwenden cc-mode-enabled=yes
Option zum Eingeben, dass Benutzer nach einem Neustart die Passphrase eingeben.
Wenn Sie die Einstellung für NVE verwenden cc-mode-enabled=yes
, Volumen, die Sie mit erstellen volume create
Und volume move start
Befehle werden automatisch verschlüsselt. Für volume create
, Sie müssen nicht angeben -encrypt true
. Für volume move start
, Sie müssen nicht angeben -encrypt-destination true
.
Bei der Konfiguration der Verschlüsselung von ONTAP-Daten im Ruhezustand müssen Sie NSE mit NVE gewährleisten, dass der integrierte Schlüsselmanager im Common Criteria-Modus aktiviert ist, um die Anforderungen für kommerzielle Lösungen für die Klassifizierung (CSfC) zu erfüllen. Siehe "CSfC Lösungsüberblick" Weitere Informationen zu CSfC.
Wenn der Onboard Key Manager im Common Criteria-Modus aktiviert ist (`cc-mode-enabled=yes`Das Systemverhalten wird folgendermaßen geändert:
|
Der Onboard Key Manager speichert Schlüssel im volatilen Speicher. Der Inhalt von flüchtigem Speicher wird gelöscht, wenn das System neu gestartet oder angehalten wird. Unter normalen Betriebsbedingungen wird der Inhalt von flüchtigem Speicher innerhalb von 30 s gelöscht, wenn ein System angehalten wird. |
-
Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.
-
Sie müssen die MetroCluster-Umgebung konfigurieren, bevor Sie den Onboard Key Manager konfigurieren.
-
Starten Sie die Konfiguration des Schlüsselmanagers:
security key-manager onboard enable -cc-mode-enabled yes|no
Einstellen
cc-mode-enabled=yes
Um zu verlangen, dass Benutzer nach einem Neustart die Kennverwaltung-Passphrase eingeben. Wenn Sie die Einstellung für NVE verwendencc-mode-enabled=yes
, Volumen, die Sie mit erstellenvolume create
Undvolume move start
Befehle werden automatisch verschlüsselt. Der- cc-mode-enabled
Die Option wird in MetroCluster-Konfigurationen nicht unterstützt. Dersecurity key-manager onboard enable
Mit dem Befehl wird der ersetztsecurity key-manager setup
Befehl.Das folgende Beispiel startet den Befehl zum Einrichten des Schlüsselmanagers in cluster1, ohne dass nach jedem Neustart die Passphrase eingegeben werden muss:
cluster1::> security key-manager onboard enable Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
Geben Sie an der Eingabeaufforderung für die Passphrase eine Passphrase zwischen 32 und 256 Zeichen oder für „
cc-Mode
“ eine Passphrase zwischen 64 und 256 Zeichen ein.Wenn die angegebene „
cc-Mode
“-Passphrase weniger als 64 Zeichen beträgt, liegt eine Verzögerung von fünf Sekunden vor, bevor die Eingabeaufforderung für das Setup des Schlüsselmanagers die Passphrase erneut anzeigt. -
Geben Sie die Passphrase erneut an der Eingabeaufforderung zur Bestätigung der Passphrase ein.
-
Vergewissern Sie sich, dass die Authentifizierungsschlüssel erstellt wurden:
security key-manager key query -key-type NSE-AK
Der
security key-manager key query
Mit dem Befehl wird der ersetztsecurity key-manager query key
Befehl. Eine vollständige Befehlssyntax finden Sie in der man-Page.Im folgenden Beispiel wird überprüft, ob Authentifizierungsschlüssel für erstellt wurden
cluster1
:cluster1::> security key-manager key query -key-type NSE-AK Node: node1 Vserver: cluster1 Key Manager: onboard Key Manager Type: OKM Key Manager Policy: - Key Tag Key Type Encryption Restored ------------------------------------ -------- ------------ -------- node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000 node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000 2 entries were displayed.
-
Konvertieren Sie optional Klartextvolumes in verschlüsselte Volumes.
volume encryption conversion start
Der Onboard Key Manager muss vor der Konvertierung der Volumes vollständig konfiguriert sein. In einer MetroCluster-Umgebung muss der Onboard Key Manager auf beiden Standorten konfiguriert sein.
Kopieren Sie die Passphrase zur späteren Verwendung an einen sicheren Ort außerhalb des Storage-Systems.
Wenn Sie die Onboard Key Manager-Passphrase konfigurieren, sollten Sie die Informationen auch manuell an einem sicheren Ort außerhalb des Speichersystems sichern, um sie bei einem Notfall zu verwenden. Siehe "Manuelles Backup der integrierten Informationen für das Verschlüsselungsmanagement".