¿Qué debo saber antes de crear una clave de seguridad?

Las controladoras y unidades con seguridad habilitada comparten una clave de seguridad dentro de una cabina de almacenamiento. Si se quita una unidad con seguridad habilitada de la cabina de almacenamiento, la clave de seguridad protege los datos contra el acceso no autorizado.

Es posible crear y gestionar claves de seguridad con uno de los siguientes métodos:

Gestión de claves internas

Las claves internas se mantienen y se "ocultan" en una ubicación no accesible de la memoria persistente de la controladora. Antes de crear una clave de seguridad interna, debe hacer lo siguiente:

  1. Instale unidades compatibles con la función de seguridad en la cabina de almacenamiento. Estas unidades pueden ser de cifrado de disco completo (FDE) o de estándar de procesamiento de información federal (FIPS).
  2. Asegúrese de que la función Drive Security esté habilitada. Si fuera necesario, comuníquese con el proveedor de almacenamiento para pedir indicaciones sobre cómo habilitar la función Drive Security.

Luego, podrá crear una clave de seguridad interna, lo que implica definir un identificador y una frase de contraseña. El identificador es una frase que está asociada con la clave de seguridad, y se almacena en la controladora y en todas las unidades asociadas con la clave. La frase de contraseña se utiliza para cifrar la clave de seguridad con fines de backup. Una vez que haya terminado, la clave de seguridad se almacena en una ubicación no accesible de la controladora. Es posible crear grupos de volúmenes o pools con la función de seguridad habilitada, o bien habilitar la seguridad en grupos de volúmenes o pools existentes.

Gestión de claves externas

Las claves externas se mantienen en un servidor de gestión de claves individual mediante un protocolo de interoperabilidad de gestión de claves (KMIP). Antes de crear una clave de seguridad externa, debe hacer lo siguiente:
  1. Instale unidades compatibles con la función de seguridad en la cabina de almacenamiento. Estas unidades pueden ser de cifrado de disco completo (FDE) o de estándar de procesamiento de información federal (FIPS).
  2. Asegúrese de que la función Drive Security esté habilitada. Si fuera necesario, comuníquese con el proveedor de almacenamiento para pedir indicaciones sobre cómo habilitar la función Drive Security.
  3. Obtenga un archivo de certificado de cliente firmado. Un certificado de cliente valida las controladoras de la cabina de almacenamiento para que el servidor de gestión de claves pueda confiar en sus solicitudes KMIP.
    1. En primer lugar, complete y descargue una solicitud de firma de certificado (CSR) de cliente. Vaya a Configuración > Certificados > Gestión de claves > Completar CSR.
    2. A continuación, se solicita un certificado de cliente firmado de una entidad emisora de certificados de confianza por parte del servidor de gestión de claves. (También puede crear y descargar un certificado de cliente desde el servidor de gestión de claves mediante el archivo CSR descargado.)
    3. Una vez que tenga un archivo de certificado de cliente, copie dicho archivo en el host donde vaya a acceder System Manager.
  4. Recupere un archivo de certificado del servidor de administración de claves y, a continuación, copie ese archivo en el host donde está accediendo System Manager. Un certificado de servidor de gestión de claves valida el servidor de gestión de claves para que la cabina de almacenamiento pueda confiar en su dirección IP. Puede utilizar un certificado raíz, intermedio o de servidor para el servidor de gestión de claves.

Luego, podrá crear una clave externa, lo que implica definir la dirección IP del servidor de gestión de claves y el número de puerto para las comunicaciones KMIP. Durante este proceso, también debe cargar los archivos de certificado. Una vez que haya terminado, el sistema se conecta al servidor de gestión de claves con las credenciales que introdujo. Es posible crear grupos de volúmenes o pools con la función de seguridad habilitada, o bien habilitar la seguridad en grupos de volúmenes o pools existentes.