Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilitar la administración de claves integrada para NVE en ONTAP 9.6 y versiones posteriores

Colaboradores netapp-barbe netapp-aoife netapp-aaron-holt netapp-aherbin netapp-ahibbard netapp-thomi netapp-bhouser netapp-dbagwell
PDF

Puede usar el administrador de claves incorporado para proteger las claves que el clúster utiliza para acceder a los datos cifrados. Debe habilitar el administrador de claves incorporado en cada clúster que tenga acceso a un volumen cifrado o a un disco de autocifrado.

Acerca de esta tarea

Debe ejecutar security key-manager onboard sync el comando cada vez que añade un nodo al clúster.

Si tiene una configuración MetroCluster, debe ejecutar security key-manager onboard enable el comando en el clúster local primero y luego ejecutar security key-manager onboard sync el comando en el clúster remoto, usando la misma clave de acceso en cada uno. Al ejecutar security key-manager onboard enable el comando desde el clúster local y sincronizarse en el clúster remoto, no es necesario que enable vuelva a ejecutar el comando desde el clúster remoto.

Obtenga más información sobre security key-manager onboard enable y security key-manager onboard sync en el"Referencia de comandos del ONTAP" .

De forma predeterminada, no es necesario introducir la clave de acceso del administrador de claves cuando se reinicia un nodo. Puede usar cc-mode-enabled=yes la opción para solicitar que los usuarios introduzcan la frase de acceso después de reiniciar.

Para NVE, si establece cc-mode-enabled=yes, los volúmenes que cree con los volume create volume move start comandos y se cifran automáticamente. Para volume create, no es necesario especificar -encrypt true. Para volume move start, no es necesario especificar -encrypt-destination true.

Al configurar el cifrado de datos en reposo de ONTAP , para cumplir con los requisitos de Soluciones comerciales para clasificados (CSfC), debe usar NSE con NVE y asegurarse de que el Administrador de claves integrado esté habilitado en el modo de Criterios comunes. Ver"Breve descripción de la solución CSfC" .

Nota

Cuando Onboard Key Manager está activado en el modo Common Criteria (cc-mode-enabled=yes), el comportamiento del sistema se cambia de las siguientes formas:

  • El sistema supervisa los intentos fallidos consecutivos de acceso al clúster cuando funciona en modo de criterios comunes.

    Si no logra ingresar la frase de contraseña del clúster 5 veces, espere 24 horas o reinicie el nodo para restablecer el límite.

  • Las actualizaciones de imágenes del sistema utilizan el certificado de firma de código RSA-3072 de NetApp junto con los resúmenes firmados con código SHA-384 para comprobar la integridad de la imagen en lugar del certificado de firma de código RSA-2048 de NetApp habitual y los resúmenes firmados con código SHA-256.

    El comando de actualización verifica que el contenido de la imagen no haya sido alterado o dañado comprobando varias firmas digitales. El sistema procede al siguiente paso en el proceso de actualización de la imagen si la validación tiene éxito; de lo contrario, falla la actualización de la imagen. Obtenga más información sobre cluster image en el"Referencia de comandos del ONTAP" .
Nota El administrador de claves integrado almacena claves en la memoria volátil. El contenido de la memoria volátil se borra cuando se reinicia o se detiene el sistema. El sistema borra la memoria volátil en 30 segundos cuando se detiene.
Antes de empezar

  • Para realizar esta tarea, debe ser un administrador de clústeres.

  • Debe configurar el entorno de MetroCluster antes de configurar el gestor de claves incorporado.

Pasos

  1. Inicie la configuración del gestor de claves:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Nota

    Establezca esta opción cc-mode-enabled=yes para que los usuarios introduzcan la frase de contraseña del gestor de claves después de reiniciar. Para NVE, si establece cc-mode-enabled=yes, los volúmenes que cree con los volume create volume move start comandos y se cifran automáticamente. - cc-mode-enabled`La opción no es compatible con las configuraciones de MetroCluster. El `security key-manager onboard enable comando reemplaza security key-manager setup el comando.

  2. Introduzca una frase de contraseña entre 32 y 256 caracteres, o para “cc-mode”, una frase de contraseña entre 64 y 256 caracteres.

    Nota

    Si la frase de paso "'cc-mode'" especificada es menor de 64 caracteres, hay un retraso de cinco segundos antes de que la operación de configuración del gestor de claves vuelva a mostrar la indicación de contraseña.

  3. En la solicitud de confirmación de contraseña, vuelva a introducir la frase de contraseña.

  4. Compruebe que se han creado las claves de autenticación:

    security key-manager key query -key-type NSE-AK

    Nota

    El security key-manager key query comando reemplaza security key-manager query key el comando.

    Obtenga más información sobre security key-manager key query en el "Referencia de comandos del ONTAP".

  5. Opcionalmente, puede convertir volúmenes de texto simple en volúmenes cifrados.

    volume encryption conversion start

    El gestor de claves incorporado debe estar completamente configurado antes de convertir los volúmenes. En un entorno MetroCluster, el gestor de claves incorporado debe configurarse en ambos sitios.

Después de terminar

Copie la clave de acceso en una ubicación segura fuera del sistema de almacenamiento para usarla en el futuro.

Después de configurar la contraseña del Onboard Key Manager, realice manualmente una copia de seguridad de la información en una ubicación segura fuera del sistema de almacenamiento. Ver"Realice un backup manual de la información de gestión de claves incorporada" .

Información relacionada