セキュリティ キーを作成するときは、どのような点に注意する必要がありますか?

セキュリティ キーは、ストレージ アレイ内のコントローラとセキュリティ有効ドライブによって共有されます。セキュリティ有効ドライブがストレージ アレイから削除されると、セキュリティ キーによってデータが不正アクセスから保護されます。

セキュリティ キーは次のいずれかの方法で作成および管理できます。

内部キー管理

コントローラの永続的メモリ上のアクセスできない場所に内部キーが保持され、「非表示」になります。内部セキュリティ キーを作成する前に、以下を実行する必要があります。

  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

識別子とパス フレーズを定義して、内部セキュリティ キーを作成します。識別子は、セキュリティ キーに関連付けられる文字列で、コントローラとキーに関連付けられたすべてのドライブに格納されます。パス フレーズは、バックアップ用にセキュリティ キーを暗号化するために使用されます。作成したセキュリティ キーは、コントローラ上のアクセスできない場所に格納されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

外部キー管理

外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。外部セキュリティ キーを作成する前に、以下を実行する必要があります。
  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。
  3. 署名済みのクライアント証明書ファイルを取得します。クライアント証明書は、キー管理サーバが KMIP 要求を信頼できるよう、ストレージアレイのコントローラを検証します。
    1. まず、クライアント証明書署名要求( CSR )を生成してダウンロードします。[設定] > [証明書] > [キー管理] > [CSR の生成]に移動します。
    2. 次に、キー管理サーバで信頼されている CA から署名済みのクライアント証明書を要求します。(ダウンロードした CSR ファイルを使用して、キー管理サーバからクライアント証明書を作成およびダウンロードすることもできます)。
    3. クライアント証明書ファイル System Managerを作成したら、 System Manager にアクセスしているホストにそのファイルをコピーします。
  4. キー管理サーバから証明書ファイル System Managerを取得し、 System Manager にアクセスしているホストにそのファイルをコピーします。キー管理サーバ証明書は、ストレージ アレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスで、証明書ファイルもロードします。外部キーの作成が完了すると、入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。