StorageGRID unterstützt KMIP Version 1.4.

"Key Management Interoperability Protocol-Spezifikation Version 1.4"

Die Netzwerk-Firewall-Einstellungen müssen jedem Appliance-Knoten die Kommunikation über den für die KMIP-Kommunikation (Key Management Interoperability Protocol) verwendeten Port ermöglichen. Der Standard-KMIP-Port ist 5696.

Sie müssen sicherstellen, dass jeder Appliance-Knoten, der Knotenverschlüsselung verwendet, Netzwerkzugriff auf den KMS oder KMS-Cluster hat, den Sie für die Site konfiguriert haben.

Die Kommunikation zwischen den Appliance-Knoten und dem konfigurierten KMS erfolgt über sichere TLS-Verbindungen. StorageGRID kann entweder das TLS 1.2- oder das TLS 1.3-Protokoll unterstützen, wenn es KMIP-Verbindungen zu einem KMS oder KMS-Cluster herstellt, je nachdem, was das KMS unterstützt und welche"TLS- und SSH-Richtlinie" Sie verwenden.

StorageGRID handelt beim Herstellen der Verbindung das Protokoll und die Verschlüsselung (TLS 1.2) oder die Verschlüsselungssuite (TLS 1.3) mit dem KMS aus. Um zu sehen, welche Protokollversionen und Chiffren/Chiffrensammlungen verfügbar sind, lesen Sie die tlsOutbound Abschnitt der aktiven TLS- und SSH-Richtlinie des Grids (KONFIGURATION > Sicherheit Sicherheitseinstellungen).

Sie können einen Schlüsselverwaltungsserver (KMS) verwenden, um Verschlüsselungsschlüssel für jedes StorageGRID Gerät in Ihrem Grid zu verwalten, bei dem die Einstellung Knotenverschlüsselung aktiviert ist. Diese Einstellung kann nur während der Hardwarekonfigurationsphase der Geräteinstallation mit dem StorageGRID Appliance Installer aktiviert werden.

Sie können das konfigurierte KMS für StorageGRID -Geräte und Geräteknoten verwenden.

Sie können den konfigurierten KMS nicht für softwarebasierte (nicht-Appliance-)Knoten verwenden, einschließlich der folgenden:

Auf diesen anderen Plattformen bereitgestellte Knoten können die Verschlüsselung außerhalb von StorageGRID auf Datenspeicher- oder Festplattenebene verwenden.

Bei einer Neuinstallation sollten Sie normalerweise einen oder mehrere Schlüsselverwaltungsserver im Grid Manager einrichten, bevor Sie Mandanten erstellen. Diese Reihenfolge stellt sicher, dass die Knoten geschützt sind, bevor Objektdaten auf ihnen gespeichert werden.

Sie können die Schlüsselverwaltungsserver im Grid Manager vor oder nach der Installation der Appliance-Knoten konfigurieren.

Sie können einen oder mehrere externe Schlüsselverwaltungsserver konfigurieren, um den Appliance-Knoten in Ihrem StorageGRID System Verschlüsselungsschlüssel bereitzustellen. Jeder KMS stellt den StorageGRID Appliance-Knoten an einem einzelnen Standort oder einer Gruppe von Standorten einen einzelnen Verschlüsselungsschlüssel bereit.

StorageGRID unterstützt die Verwendung von KMS-Clustern. Jeder KMS-Cluster enthält mehrere replizierte Schlüsselverwaltungsserver, die Konfigurationseinstellungen und Verschlüsselungsschlüssel gemeinsam nutzen. Die Verwendung von KMS-Clustern für die Schlüsselverwaltung wird empfohlen, da dadurch die Failover-Funktionen einer Hochverfügbarkeitskonfiguration verbessert werden.

Nehmen wir beispielsweise an, Ihr StorageGRID -System verfügt über drei Rechenzentrumsstandorte. Sie können einen KMS-Cluster so konfigurieren, dass er allen Appliance-Knoten im Rechenzentrum 1 einen Schlüssel bereitstellt, und einen zweiten KMS-Cluster, der allen Appliance-Knoten an allen anderen Standorten einen Schlüssel bereitstellt. Wenn Sie den zweiten KMS-Cluster hinzufügen, können Sie ein Standard-KMS für Data Center 2 und Data Center 3 konfigurieren.

Beachten Sie, dass Sie keinen KMS für Nicht-Appliance-Knoten oder für Appliance-Knoten verwenden können, bei denen die Einstellung Knotenverschlüsselung während der Installation nicht aktiviert wurde.

Als bewährte Sicherheitsmaßnahme sollten Sie regelmäßig"Rotieren Sie den Verschlüsselungsschlüssel" wird von jedem konfigurierten KMS verwendet.

Wenn die neue Schlüsselversion verfügbar ist:

Wenn Sie ein verschlüsseltes Gerät in einem anderen StorageGRID -System installieren müssen, müssen Sie zuerst den Grid-Knoten außer Betrieb nehmen, um Objektdaten auf einen anderen Knoten zu verschieben. Anschließend können Sie den StorageGRID Appliance Installer verwenden, um "Löschen Sie die KMS-Konfiguration" . Durch das Löschen der KMS-Konfiguration wird die Einstellung Knotenverschlüsselung deaktiviert und die Verknüpfung zwischen dem Appliance-Knoten und der KMS-Konfiguration für die StorageGRID -Site entfernt.