Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Integriertes Verschlüsselungsmanagement in ONTAP 9.6 und höher (NVE)

Beitragende
PDFs

Mit dem integrierten Key Manager werden die Schlüssel gesichert, die das Cluster für den Zugriff auf verschlüsselte Daten verwendet. Sie müssen den Onboard Key Manager für jedes Cluster aktivieren, das auf ein verschlüsseltes Volume oder eine selbstverschlüsselnde Festplatte zugreift.

Über diese Aufgabe

Sie müssen den ausführen security key-manager onboard sync Befehl jedes Mal, wenn Sie dem Cluster einen Node hinzufügen.

Wenn Sie über eine MetroCluster-Konfiguration verfügen, müssen Sie den ausführen security key-manager onboard enable Führen Sie zunächst den Befehl auf dem lokalen Cluster aus, und führen Sie dann den aus security key-manager onboard sync Auf dem Remote-Cluster unter Verwendung derselben Passphrase auf beiden. Wenn Sie den ausführen security key-manager onboard enable Vom lokalen Cluster aus und dann auf dem Remote-Cluster synchronisieren, müssen Sie den nicht ausführen enable Führen Sie einen neuen Befehl aus dem Remote-Cluster aus.

Standardmäßig müssen Sie beim Neustart eines Node nicht die Passphrase für das Schlüsselmanagement eingeben. Sie können das verwenden cc-mode-enabled=yes Option zum Eingeben, dass Benutzer nach einem Neustart die Passphrase eingeben.

Wenn Sie die Einstellung für NVE verwenden cc-mode-enabled=yes, Volumen, die Sie mit erstellen volume create Und volume move start Befehle werden automatisch verschlüsselt. Für volume create, Sie müssen nicht angeben -encrypt true. Für volume move start, Sie müssen nicht angeben -encrypt-destination true.

Bei der Konfiguration der Verschlüsselung von ONTAP-Daten im Ruhezustand müssen Sie NSE mit NVE gewährleisten, dass der integrierte Schlüsselmanager im Common Criteria-Modus aktiviert ist, um die Anforderungen für kommerzielle Lösungen für die Klassifizierung (CSfC) zu erfüllen. Siehe "CSfC Lösungsüberblick" Weitere Informationen zu CSfC.

Hinweis

Wenn der Onboard Key Manager im Common Criteria-Modus aktiviert ist (`cc-mode-enabled=yes`Das Systemverhalten wird folgendermaßen geändert:

  • Das System überwacht bei der Verwendung im Common Criteria-Modus auf aufeinanderfolgende fehlgeschlagene Cluster-Passphrase.

    Wenn Sie beim Booten nicht die richtige Cluster-Passphrase eingeben, werden verschlüsselte Volumes nicht angehängt. Um dies zu korrigieren, müssen Sie den Node neu booten und die richtige Cluster-Passphrase eingeben. Sobald das System gebootet wurde, können bis zu 5 aufeinanderfolgende Versuche unternommen werden, um für jeden Befehl, für den die Cluster-Passphrase als Parameter erforderlich ist, in einem Zeitraum von 24 Stunden korrekt einzugeben. Wenn das Limit erreicht wird (beispielsweise konnten Sie den Cluster-Passphrase 5 Mal hintereinander nicht korrekt eingeben), müssen Sie entweder warten, bis der 24-Stunden-Timeout abgelaufen ist, oder Sie müssen den Node neu booten, um das Limit zurückzusetzen.

  • Updates für das System-Image nutzen das Code-Signing-Zertifikat von NetApp RSA-3072 zusammen mit dem von SHA-384 signierten Code, um die Image-Integrität anstelle des üblichen NetApp RSA-2048-Code-Signaturzertifikats und den von SHA-256 signierten Digests zu überprüfen.

    Der Upgrade-Befehl überprüft, ob der Bildinhalt durch Überprüfen verschiedener digitaler Signaturen nicht verändert oder beschädigt wurde. Der Image-Aktualisierungsprozess wird mit dem nächsten Schritt fortgesetzt, wenn die Validierung erfolgreich ist. Andernfalls schlägt die Image-Aktualisierung fehl. Siehe cluster image Man-Page für Informationen zu Systemaktualisierungen.
Hinweis Der Onboard Key Manager speichert Schlüssel im volatilen Speicher. Der Inhalt von flüchtigem Speicher wird gelöscht, wenn das System neu gestartet oder angehalten wird. Unter normalen Betriebsbedingungen wird der Inhalt von flüchtigem Speicher innerhalb von 30 s gelöscht, wenn ein System angehalten wird.
Bevor Sie beginnen

  • Sie müssen ein Cluster-Administrator sein, um diese Aufgabe auszuführen.

  • Sie müssen die MetroCluster-Umgebung konfigurieren, bevor Sie den Onboard Key Manager konfigurieren.

Schritte

  1. Starten Sie die Konfiguration des Schlüsselmanagers:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Hinweis

    Einstellen cc-mode-enabled=yes Um zu verlangen, dass Benutzer nach einem Neustart die Kennverwaltung-Passphrase eingeben. Wenn Sie die Einstellung für NVE verwenden cc-mode-enabled=yes, Volumen, die Sie mit erstellen volume create Und volume move start Befehle werden automatisch verschlüsselt. Der - cc-mode-enabled Die Option wird in MetroCluster-Konfigurationen nicht unterstützt. Der security key-manager onboard enable Mit dem Befehl wird der ersetzt security key-manager setup Befehl.

    Das folgende Beispiel startet den Befehl zum Einrichten des Schlüsselmanagers in cluster1, ohne dass nach jedem Neustart die Passphrase eingegeben werden muss:

    cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. Geben Sie an der Eingabeaufforderung für die Passphrase eine Passphrase zwischen 32 und 256 Zeichen oder für „cc-Mode“ eine Passphrase zwischen 64 und 256 Zeichen ein.

    Hinweis

    Wenn die angegebene „cc-Mode“-Passphrase weniger als 64 Zeichen beträgt, liegt eine Verzögerung von fünf Sekunden vor, bevor die Eingabeaufforderung für das Setup des Schlüsselmanagers die Passphrase erneut anzeigt.

  3. Geben Sie die Passphrase erneut an der Eingabeaufforderung zur Bestätigung der Passphrase ein.

  4. Vergewissern Sie sich, dass die Authentifizierungsschlüssel erstellt wurden:

    security key-manager key query -key-type NSE-AK

    Hinweis

    Der security key-manager key query Mit dem Befehl wird der ersetzt security key-manager query key Befehl. Eine vollständige Befehlssyntax finden Sie in der man-Page.

    Im folgenden Beispiel wird überprüft, ob Authentifizierungsschlüssel für erstellt wurden cluster1:

    cluster1::> security key-manager key query -key-type NSE-AK
               Node: node1
            Vserver: cluster1
        Key Manager: onboard
   Key Manager Type: OKM
 Key Manager Policy: -

 Key Tag                               Key Type Encryption   Restored

------------------------------------  -------- ------------ --------

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000

2 entries were displayed.

  5. Konvertieren Sie optional Klartextvolumes in verschlüsselte Volumes.

    volume encryption conversion start

    Der Onboard Key Manager muss vor der Konvertierung der Volumes vollständig konfiguriert sein. In einer MetroCluster-Umgebung muss der Onboard Key Manager auf beiden Standorten konfiguriert sein.

Nachdem Sie fertig sind

Kopieren Sie die Passphrase zur späteren Verwendung an einen sicheren Ort außerhalb des Storage-Systems.

Wenn Sie die Onboard Key Manager-Passphrase konfigurieren, sollten Sie die Informationen auch manuell an einem sicheren Ort außerhalb des Speichersystems sichern, um sie bei einem Notfall zu verwenden. Siehe "Manuelles Backup der integrierten Informationen für das Verschlüsselungsmanagement".