Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Devolver una unidad FIPS o SED al modo desprotegido en ONTAP

Colaboradores netapp-ahibbard netapp-bhouser netapp-aaron-holt netapp-aherbin
PDF

Una unidad FIPS o SED está protegida del acceso no autorizado solo si el ID de clave de autenticación del nodo está establecido en un valor distinto del predeterminado. Puede devolver una unidad FIPS o SED al modo no protegido mediante el storage encryption disk modify comando para establecer el identificador de clave en el valor predeterminado. Una unidad FIPS o SED en modo no protegido utiliza las claves de cifrado predeterminadas, mientras que una unidad FIPS o SED en modo protegido utiliza claves de cifrado secretas suministradas. Si hay datos cifrados en la unidad y esta se restablece al modo no protegido, los datos siguen cifrados y no se exponen.

Nota Siga este procedimiento para asegurarse de que no se pueda acceder a los datos cifrados después de que la unidad FIPS o SED vuelvan al modo no protegido. Una vez que se restablecen los ID de claves de datos y FIPS, no se podrán descifrar los datos existentes ni se podrá acceder a ellos.

Si una pareja de alta disponibilidad utiliza unidades SAS o NVMe cifradas (SED, NSE, FIPS), debe seguir este proceso para todas las unidades de la pareja de alta disponibilidad antes de inicializar el sistema (opciones de arranque 4 o 9). Si las unidades se reasignan, es posible que no se produzcan pérdidas de datos futuras.

Antes de empezar

Para realizar esta tarea, debe ser un administrador de clústeres.

Pasos

  1. Configure el nivel de privilegio en Advanced:

    set -privilege advanced

  2. Si una unidad FIPS se ejecuta en el modo de cumplimiento de normativas FIPS, establezca el ID de clave de autenticación FIPS del nodo nuevamente en el ID de MSID 0x0 predeterminado:

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    Puede usar el security key-manager query comando para ver ID de claves.

    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    Confirme que la operación se ha realizado correctamente con el comando:

    storage encryption disk show-status

    Repita el comando show-status hasta que los números en “Disks comenzada” y “Disks Done” sean los mismos.

    cluster1:: storage encryption disk show-status

            FIPS    Latest   Start               Execution   Disks   Disks Disks
Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
-------     ------- -------- ------------------  ---------- ------ ------  ----------
cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
1 entry was displayed.

  3. Vuelva a establecer el ID de clave de autenticación de datos del nodo en el MSID 0x0 predeterminado:

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    El valor de -data-key-id debe establecerse en 0x0, tanto si va a devolver una unidad SAS o NVMe al modo no protegido.

    Puede usar el security key-manager query comando para ver ID de claves.

    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    Confirme que la operación se ha realizado correctamente con el comando:

    storage encryption disk show-status

    Repita el comando show-status hasta que los números sean iguales. La operación se completa cuando los números en “discos iniciados” y “discos hechos” son los mismos.

Modo de mantenimiento

A partir de ONTAP 9.7, es posible volver a introducir una unidad FIPS en modo de mantenimiento. Solo debe utilizar el modo de mantenimiento si no puede utilizar las instrucciones de la CLI de ONTAP de la sección anterior.

Pasos

  1. Establezca el ID de clave de autenticación FIPS del nodo de nuevo en el MSID 0x0 predeterminado:

    disk encrypt rekey_fips 0x0 disklist

  2. Vuelva a establecer el ID de clave de autenticación de datos del nodo en el MSID 0x0 predeterminado:

    disk encrypt rekey 0x0 disklist

  3. Confirme que la clave de autenticación FIPS se ha recodificado correctamente:

    disk encrypt show_fips

  4. Confirmar que la clave de autenticación de datos se ha recodificado correctamente con:

    disk encrypt show

    Es probable que la salida muestre el ID de clave predeterminado de MSID 0x0 o el valor de 64 caracteres que contiene el servidor de claves. El Locked? campo hace referencia al bloqueo de datos.

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes
Información relacionada