Integridad y seguridad de los datos para volúmenes

Garantía de datos

La garantía de datos (DA) implementa el estándar de información de protección (PI) T10, con el cual se comprueban y corrigen los errores que se pueden producir durante la transferencia de datos a través de la ruta de I/O con el fin de aumentar la integridad de los datos. El uso típico de la función Garantía de datos es revisar la porción de la ruta de I/O entre las controladoras y las unidades. Las funcionalidades de DA se presentan en el nivel de pool y de grupo de volúmenes de System Manager.

Cuando se habilita esta función, la cabina de almacenamiento añade códigos de comprobación de errores (también conocidos como comprobaciones de redundancia cíclicas o CRC) a cada bloque de datos del volumen. Después de mover un bloque de datos, la cabina de almacenamiento utiliza estos códigos de comprobación de errores para determinar si se produjo algún error durante la transmisión. Los datos posiblemente dañados no se escriben en el disco ni se vuelven a transferir al host. Si desea usar la función DA, seleccione un pool o grupo de volúmenes compatible con DA al crear un volumen nuevo (busque la opción "Sí" junto a "DA" en la tabla de candidatos de pools y grupos de volúmenes).

Asegúrese de asignar estos volúmenes con la función DA habilitada a un host que utilice una interfaz de I/O compatible con DA. Las interfaces de I/O compatibles con DA son Fibre Channel, SAS, iSCSI over TCP/IP, NVMe/FC, NVMe/IB, NVME/RoCE e iSER over InfiniBand (extensiones iSCSI para RDMA/IB). SRP over InfiniBand no es compatible con DA.

Drive Security

Drive Security es una función que evita el acceso no autorizado a datos almacenados en unidades con la función de seguridad habilitada cuando la unidad se quita de la cabina de almacenamiento.

Cómo funciona Drive Security en el nivel de unidad

Una unidad compatible con la función de seguridad (FDE o FIPS) cifra datos durante las escrituras y los descifra durante las lecturas.

Cómo funciona Drive Security en el nivel de volumen

Al crear un pool o un grupo de volúmenes desde unidades compatibles con la función de seguridad, también es posible habilitar Drive Security para estos pools o grupos de volúmenes. La opción Drive Security permite que las unidades y los pools y los grupos de volúmenes asociados tengan la función de seguridad habilitada. Un pool o un grupo de volúmenes pueden contener tanto una unidad compatible con la función de seguridad como una que no lo sea, pero todas las unidades deben ser compatibles con la función de seguridad para usar la funcionalidad de cifrado.

Cómo implementar Drive Security

Para implementar Drive Security, siga estos pasos.

1. Equipe la cabina de almacenamiento con unidades compatibles con la función de seguridad (unidades FDE o FIPS). (Para los volúmenes que requieren compatibilidad con FIPS, debe utilizar únicamente unidades FIPS. Si se mezclan unidades FIPS y FDE en un grupo de volúmenes o un pool, todas las unidades se tratarán como unidades FDE. Además, una unidad FDE no puede añadirse a ni usarse como pieza de repuesto en un grupo de volúmenes o un pool completamente FIPS.)
2. Cree una clave de seguridad, que es una cadena de caracteres compartida por la controladora y las unidades para acceso de lectura/escritura. Es posible crear una clave interna desde la memoria persistente de la controladora o una clave externa desde un servidor de gestión de claves. Para la gestión de claves externas, debe establecerse una autenticación con el servidor de gestión de claves.
3. Habilite Drive Security para pools y grupos de volúmenes:
   • Cree un pool o un grupo de volúmenes (busque la opción Sí en la columna Compatible con la función de seguridad de la tabla Candidatos).
   • Seleccione un pool o un grupo de volúmenes cuando crea un volumen nuevo (busque la opción Sí junto a Compatible con la función de seguridad en la tabla de candidatos de pools y grupos de volúmenes).

Con la función Drive Security, se crea una clave de seguridad que se comparte entre las unidades con la función de seguridad habilitada y las controladoras en una cabina de almacenamiento.