セキュリティ キー管理の仕組み

ドライブ セキュリティ機能を実装する場合、セキュリティ有効ドライブ(FIPSまたはFDE)には、データ アクセスのためにセキュリティ キーが必要です。セキュリティ キーは、ストレージ アレイ内のこれらのタイプのドライブおよびコントローラで共有される文字列です。

ドライブの電源をオフにしてオンにするたびに、コントローラによってセキュリティ キーが適用されるまでセキュリティ有効ドライブはセキュリティ ロック状態となります。セキュリティ有効ドライブをストレージ アレイから取り外すと、ドライブのデータはロックされます。そのドライブを別のストレージ アレイに取り付けた場合、データに再びアクセスするにはセキュリティ キーが必要になります。データのロックを解除するには、元のセキュリティ キーを適用する必要があります。

セキュリティ キーは次のいずれかの方法で作成および管理できます。

内部キー管理

コントローラの永続的メモリ上のアクセスできない場所に内部キーが保持され、「非表示」になります。内部キー管理を実装するには、次の手順を実行します。
  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。
  3. 識別子とパス フレーズを定義して、内部セキュリティ キーを作成します。識別子は、セキュリティ キーに関連付けられる文字列で、コントローラとキーに関連付けられたすべてのドライブに格納されます。パス フレーズは、バックアップ用にセキュリティ キーを暗号化するために使用されます。内部キーを作成するには、[設定] > [システム] > [セキュリティ キー管理] > [内部キーの作成]に移動します。

セキュリティキーは、コントローラ上のアクセスできない非表示の場所に格納されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

外部キー管理

外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。外部キー管理を実装するには、次の手順を実行します。
  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。
  3. 署名済みのクライアント証明書ファイルを取得します。クライアント証明書は、キー管理サーバが KMIP 要求を信頼できるよう、ストレージアレイのコントローラを検証します。
    1. まず、クライアント証明書署名要求( CSR )を生成してダウンロードします。[設定] > [証明書] > [キー管理] > [CSR の生成]に移動します。
    2. 次に、キー管理サーバで信頼されている CA から署名済みのクライアント証明書を要求します。( CSR ファイルを使用してキー管理サーバからクライアント証明書を作成およびダウンロードすることもできます)。
    3. クライアント証明書ファイル System Managerを作成したら、 System Manager にアクセスしているホストにそのファイルをコピーします。
  4. キー管理サーバから証明書ファイル System Managerを取得し、 System Manager にアクセスしているホストにそのファイルをコピーします。キー管理サーバ証明書は、ストレージ アレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。
  5. キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスで、証明書ファイルもロードします。外部キーを作成するには、[設定] > [システム] > [セキュリティ キー管理] > [外部キーの作成]に移動します。

入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。