Habilite la gestión de claves incorporada en ONTAP 9.5 y versiones anteriores
Sugerir cambios
PDF
Puede usar el gestor de claves incorporado para autenticar nodos de clúster en una unidad FIPS o SED. El gestor de claves incorporado es una herramienta integrada que proporciona claves de autenticación a nodos del mismo sistema de almacenamiento que los datos. El gestor de claves incorporado es conforme a la normativa FIPS-140-2 de nivel 1.
Puede utilizar el Administrador de claves integrado para proteger las claves que utiliza el clúster para acceder a datos cifrados. Habilite el Administrador de claves integrado en cada clúster que acceda a volúmenes cifrados o discos con cifrado automático.
Debe ejecutar security key-manager setup el comando cada vez que añade un nodo al clúster.
Si tiene una configuración de MetroCluster, revise las siguientes directrices:
-
En ONTAP 9.5, debe ejecutarse
security key-manager setupen el clúster local ysecurity key-manager setup -sync-metrocluster-config yesen el clúster remoto, con la misma clave de acceso en cada uno. -
Antes de usar ONTAP 9.5, debe ejecutarse
security key-manager setupen el clúster local, esperar aproximadamente 20 segundos y, luego, ejecutarsesecurity key-manager setupen el clúster remoto, usando la misma clave de acceso en cada uno.
De forma predeterminada, no es necesario introducir la clave de acceso del administrador de claves cuando se reinicia un nodo. A partir de ONTAP 9.4, puede usar la -enable-cc-mode yes opción para solicitar que los usuarios introduzcan la frase de acceso después de reiniciar.
Para NVE, si establece -enable-cc-mode yes, los volúmenes que cree con los volume create volume move start comandos y se cifran automáticamente. Para volume create, no es necesario especificar -encrypt true. Para volume move start, no es necesario especificar -encrypt-destination true.
|
Después de un intento de clave de acceso con errores, debe reiniciar el nodo de nuevo. |
-
Si está utilizando NSE con un servidor de administración de claves externo (KMIP), elimine la base de datos del administrador de claves externo.
-
Para realizar esta tarea, debe ser un administrador de clústeres.
-
Configure el entorno MetroCluster antes de configurar el Administrador de claves integrado.
-
Inicie la configuración del gestor de claves:
security key-manager setup -enable-cc-mode yes|no
A partir de ONTAP 9.4, puede usar la -enable-cc-mode yesopción para solicitar que los usuarios introduzcan la frase de contraseña del administrador de claves después de un reinicio. Para NVE, si establece-enable-cc-mode yes, los volúmenes que cree con losvolume createvolume move startcomandos y se cifran automáticamente.En el siguiente ejemplo, se inicia la configuración del gestor de claves en cluster1 sin necesidad de introducir la clave de acceso después de cada reinicio:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text> -
Introduzca
yesen el aviso para configurar la gestión de claves incorporada. -
En el indicador de frase de contraseña, introduzca una frase de paso entre 32 y 256 caracteres, o bien, para "'cc-mode'", una frase de paso entre 64 y 256 caracteres.
Si la frase de paso "'cc-mode'" especificada es menor de 64 caracteres, hay un retraso de cinco segundos antes de que la operación de configuración del gestor de claves vuelva a mostrar la indicación de contraseña. -
En la solicitud de confirmación de contraseña, vuelva a introducir la frase de contraseña.
-
Compruebe que las claves estén configuradas para todos los nodos:
security key-manager show-key-storeObtenga más información sobre
security key-manager show-key-storeen el"Referencia de comandos del ONTAP" .cluster1::> security key-manager show-key-store Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK
ONTAP realiza automáticamente una copia de seguridad de la información de administración de claves en la base de datos replicada (RDB) del clúster.
Después de configurar la contraseña del Onboard Key Manager, realice manualmente una copia de seguridad de la información en una ubicación segura fuera del sistema de almacenamiento. Ver"Realice un backup manual de la información de gestión de claves incorporada" .