Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activer la gestion des clés externes pour NVE dans ONTAP 9.6 et versions ultérieures

Contributeurs netapp-aoife netapp-barbe netapp-aaron-holt netapp-ahibbard netapp-bhouser netapp-folivia netapp-thomi netapp-aherbin
PDF

Utilisez les serveurs KMIP pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. À partir d' ONTAP 9.6, vous avez la possibilité de configurer un gestionnaire de clés externe distinct pour sécuriser les clés qu'un SVM de données utilise pour accéder aux données chiffrées.

À partir de ONTAP 9.11.1, vous pouvez ajouter jusqu'à 3 serveurs de clés secondaires par serveur de clés principal pour créer un serveur de clés en cluster. Pour plus d'informations, voir Configurez les serveurs de clés externes en cluster.

Description de la tâche

Vous pouvez connecter jusqu'à quatre serveurs KMIP à un cluster ou à un SVM. Utilisez au moins deux serveurs pour la redondance et la reprise après sinistre.

Le périmètre de la gestion externe des clés détermine si les serveurs de gestion des clés sécurisent tous les SVM dans le cluster ou bien uniquement les SVM sélectionnés :

  • Vous pouvez utiliser une cluster scope pour configurer la gestion des clés externe pour tous les SVM du cluster. L'administrateur du cluster a accès à chaque clé stockée sur les serveurs.

  • Depuis ONTAP 9.6, vous pouvez utiliser une SVM scope pour configurer la gestion externe des clés pour une SVM de données dans le cluster. C'est le mieux adapté aux environnements mutualisés dans lesquels chaque locataire utilise un autre SVM (ou ensemble de SVM) pour transmettre les données. Seul l'administrateur du SVM pour un locataire donné peut accéder aux clés pour ce locataire.

  • Pour les environnements mutualisés, installez une licence pour MT_EK_MGMT à l'aide de la commande suivante :

    system license add -license-code <MT_EK_MGMT license code>

    Pour en savoir plus, system license add consultez le "Référence de commande ONTAP".

Vous pouvez utiliser les deux étendues du même cluster. Si les serveurs de gestion des clés ont été configurés pour un SVM, ONTAP utilise uniquement ces serveurs pour sécuriser les clés. Sinon, ONTAP sécurise les clés avec les serveurs de gestion des clés configurés pour le cluster.

Vous pouvez configurer la gestion intégrée des clés au niveau du cluster et la gestion externe des clés au niveau de SVM. Vous pouvez utiliser le security key-manager key migrate Commande pour migrer les clés de la gestion intégrée des clés au périmètre du cluster vers des gestionnaires de clés externes au périmètre des SVM

Pour en savoir plus, security key-manager key migrate consultez le "Référence de commande ONTAP".

Avant de commencer

  • Les certificats client SSL KMIP et serveur doivent avoir été installés.

  • Pour effectuer cette tâche, vous devez être un administrateur de cluster ou de SVM.

  • Dans un environnement MetroCluster :

    • MetroCluster doit être entièrement configuré avant d'activer la gestion des clés externes.

    • Vous devez installer le même certificat SSL KMIP sur les deux clusters.

    • Un gestionnaire de clés externe doit être configuré sur les deux clusters.

Étapes

  1. Configurer la connectivité du gestionnaire de clés pour le cluster :

    security key-manager external enable -vserver admin_SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Remarque Le security key-manager external enable commande remplace le security key-manager setup commande. Si vous exécutez la commande à l’invite de connexion du cluster, admin_SVM par défaut, il s'agit du SVM d'administration du cluster actuel. Vous pouvez exécuter le security key-manager external modify commande pour modifier la configuration de la gestion des clés externes.

    La commande suivante active la gestion externe des clés pour cluster1 avec trois serveurs de clés externes. Le premier serveur de clés est spécifié à l'aide de son nom d'hôte et de son port, le second est spécifié à l'aide d'une adresse IP et du port par défaut, et le troisième est spécifié à l'aide d'une adresse et d'un port IPv6 :

    clusterl::> security key-manager external enable -vserver cluster1 -key-servers ks1.local:15696,10.0.0.10,[fd20:8b1e:b255:814e:32bd:f35c:832c:5a09]:1234 -client-cert AdminVserverClientCert -server-ca-certs AdminVserverServerCaCert

  2. Configurer un SVM gestionnaire de clés :

    security key-manager external enable -vserver SVM -key-servers host_name|IP_address:port,…​ -client-cert client_certificate -server-ca-cert server_CA_certificates

    Remarque

    • Si vous exécutez la commande à l’invite de connexion SVM, SVM par défaut, le SVM actuel. Vous pouvez exécuter le security key-manager external modify commande pour modifier la configuration de la gestion des clés externes.

    • Dans un environnement MetroCluster, si vous configurez une gestion externe des clés pour une SVM de données, vous n'avez pas besoin de répéter le security key-manager external enable commande sur le cluster partenaire.

    La commande suivante active la gestion externe des clés pour svm1 avec un serveur à une seule clé qui écoute le port par défaut 5696 :

    svm1l::> security key-manager external enable -vserver svm1 -key-servers keyserver.svm1.com -client-cert SVM1ClientCert -server-ca-certs SVM1ServerCaCert

  3. Répétez la dernière étape pour tout SVM supplémentaire.

    Remarque

    Vous pouvez également utiliser security key-manager external add-servers la commande pour configurer des SVM supplémentaires. security key-manager external add-servers`La commande remplace `security key-manager add la commande. Pour en savoir plus, security key-manager external add-servers consultez le "Référence de commande ONTAP".

  4. Vérifiez que tous les serveurs KMIP configurés sont connectés :

    security key-manager external show-status -node node_name

    Remarque 
    `security key-manager external show-status`La commande remplace `security key-manager show -status` la commande. Pour en savoir plus, `security key-manager external show-status` consultez le link:https://docs.netapp.com/us-en/ontap-cli/security-key-manager-external-show-status.html["Référence de commande ONTAP"^].
    		 
    cluster1::> security key-manager external show-status

Node  Vserver  Key Server                                     Status
----  -------  ---------------------------------------        -------------
node1
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available
node2
      svm1
               keyserver.svm1.com:5696                        available
      cluster1
               10.0.0.10:5696                                 available
               fd20:8b1e:b255:814e:32bd:f35c:832c:5a09:1234   available
               ks1.local:15696                                available

8 entries were displayed.

  5. Vous pouvez également convertir des volumes en texte brut en volumes chiffrés.

    volume encryption conversion start

    Un gestionnaire de clés externe doit être entièrement configuré avant de convertir les volumes.

Informations associées