Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Habilitar la gestión de claves incorporada en ONTAP 9.6 y versiones posteriores (NVE)

Colaboradores
PDF

Puede usar el administrador de claves incorporado para proteger las claves que el clúster utiliza para acceder a los datos cifrados. Debe habilitar el administrador de claves incorporado en cada clúster que tenga acceso a un volumen cifrado o a un disco de autocifrado.

Acerca de esta tarea

Debe ejecutar el security key-manager onboard sync cada vez que añada un nodo al clúster.

Si tiene una configuración MetroCluster, debe ejecutar el security key-manager onboard enable primero en el clúster local y, a continuación, ejecute el security key-manager onboard sync en el clúster remoto, utilizando la misma clave de acceso en cada uno. Cuando ejecute el security key-manager onboard enable del clúster local y, a continuación, sincronice en el clúster remoto, no es necesario ejecutar el enable comando de nuevo desde el clúster remoto.

De forma predeterminada, no es necesario introducir la clave de acceso del administrador de claves cuando se reinicia un nodo. Puede utilizar el cc-mode-enabled=yes opción para solicitar que los usuarios introduzcan la frase de contraseña después de un reinicio.

Para NVE, si estableció cc-mode-enabled=yes, volúmenes creados con volume create y.. volume move start los comandos se cifran automáticamente. Para volume create, no es necesario especificar -encrypt true. Para volume move start, no es necesario especificar -encrypt-destination true.

Al configurar el cifrado de datos de ONTAP en reposo, para cumplir los requisitos de las soluciones comerciales para la clasificación (CSfC), debe usar NSE con NVE y asegurarse de que el gestor de claves incorporado esté habilitado en modo de criterios comunes. Consulte la "Breve descripción de la solución CSfC" Para obtener más información sobre CSfC.

Nota

Cuando el gestor de claves incorporado se habilita en el modo de criterios comunes (cc-mode-enabled=yes), el comportamiento del sistema se cambia de las siguientes formas:

  • El sistema supervisa los intentos fallidos consecutivos de acceso al clúster cuando funciona en modo de criterios comunes.

    Si no puede introducir la clave de acceso del clúster correcta en el arranque, los volúmenes cifrados no se montan. Para corregir esto, debe reiniciar el nodo e introducir la clave de acceso del clúster correcta. Una vez arrancado, el sistema permite 5 introducir correctamente la clave de acceso del clúster en un periodo de 24 horas para cualquier comando que requiera la clave de acceso del clúster como parámetro. Si se alcanza el límite (por ejemplo, no ha podido introducir correctamente la clave de acceso del clúster 5 veces en una fila), debe esperar al tiempo de espera de 24 horas o reiniciar el nodo para restablecer el límite.

  • Las actualizaciones de imágenes del sistema utilizan el certificado de firma de código RSA-3072 de NetApp junto con los resúmenes firmados con código SHA-384 para comprobar la integridad de la imagen en lugar del certificado de firma de código RSA-2048 de NetApp habitual y los resúmenes firmados con código SHA-256.

    El comando upgrade verifica que el contenido de la imagen no se ha alterado o dañado comprobando varias firmas digitales. El proceso de actualización de imágenes continúa con el paso siguiente si la validación se realiza correctamente; de lo contrario, la actualización de la imagen falla. Consulte cluster image página del comando man para obtener información sobre las actualizaciones del sistema.
Nota El gestor de claves incorporado almacena claves en la memoria volátil. El contenido de la memoria volátil se borra al reiniciar o detener el sistema. En condiciones normales de funcionamiento, el contenido de la memoria volátil se borrará en un plazo de 30 segundos cuando se pare un sistema.
Antes de empezar

  • Para realizar esta tarea, debe ser un administrador de clústeres.

  • Debe configurar el entorno de MetroCluster antes de configurar el gestor de claves incorporado.

Pasos

  1. Inicie la configuración del gestor de claves:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Nota

    Configurado cc-mode-enabled=yes para solicitar que los usuarios introduzcan la frase de acceso del administrador de claves después de un reinicio. Para NVE, si estableció cc-mode-enabled=yes, volúmenes creados con volume create y.. volume move start los comandos se cifran automáticamente. La - cc-mode-enabled La opción no es compatible con las configuraciones de MetroCluster. La security key-manager onboard enable el comando sustituye al security key-manager setup comando.

    En el siguiente ejemplo, se inicia el comando key Manager setup en cluster1 sin necesidad de introducir la frase de contraseña después de cada reinicio:

    cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. En el indicador de frase de contraseña, introduzca una frase de paso entre 32 y 256 caracteres, o bien, para "'cc-mode'", una frase de paso entre 64 y 256 caracteres.

    Nota

    Si la frase de paso "'cc-mode'" especificada es menor de 64 caracteres, hay un retraso de cinco segundos antes de que la operación de configuración del gestor de claves vuelva a mostrar la indicación de contraseña.

  3. En la solicitud de confirmación de contraseña, vuelva a introducir la frase de contraseña.

  4. Compruebe que se han creado las claves de autenticación:

    security key-manager key query -key-type NSE-AK

    Nota

    La security key-manager key query el comando sustituye al security key-manager query key comando. Para obtener una sintaxis de comando completa, consulte la página man.

    El ejemplo siguiente verifica para qué se han creado claves de autenticación cluster1:

    cluster1::> security key-manager key query -key-type NSE-AK
               Node: node1
            Vserver: cluster1
        Key Manager: onboard
   Key Manager Type: OKM
 Key Manager Policy: -

 Key Tag                               Key Type Encryption   Restored

------------------------------------  -------- ------------ --------

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000

2 entries were displayed.

  5. Opcionalmente, convierta volúmenes de texto sin formato en volúmenes cifrados.

    volume encryption conversion start

    El gestor de claves incorporado debe estar completamente configurado antes de convertir los volúmenes. En un entorno MetroCluster, el gestor de claves incorporado debe configurarse en ambos sitios.

Después de terminar

Copie la clave de acceso en una ubicación segura fuera del sistema de almacenamiento para usarla en el futuro.

Siempre que configure la clave de acceso de Onboard Key Manager, también debe realizar un backup manual de la información en una ubicación segura fuera del sistema de almacenamiento para usarla en caso de desastre. Consulte "Realice un backup manual de la información de gestión de claves incorporada".