Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Activer la gestion des clés intégrées pour NVE dans ONTAP 9.6 et versions ultérieures

Contributeurs netapp-barbe netapp-aoife netapp-aaron-holt netapp-aherbin netapp-ahibbard netapp-thomi netapp-bhouser netapp-dbagwell
PDF

Vous pouvez utiliser le gestionnaire de clés intégré pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous devez activer le gestionnaire de clés intégré sur chaque cluster qui accède à un volume chiffré ou à un disque à chiffrement automatique.

Description de la tâche

Vous devez exécuter le security key-manager onboard sync commande à chaque ajout d'un nœud au cluster.

Si vous avez une configuration MetroCluster, vous devez exécuter security key-manager onboard enable d'abord sur le cluster local, puis exécutez le security key-manager onboard sync sur le cluster distant, en utilisant la même phrase de passe sur chacun d'entre eux. Lorsque vous exécutez le security key-manager onboard enable à partir du cluster local, puis effectuez une synchronisation sur le cluster distant. vous n'avez pas besoin d'exécuter le enable commandez à nouveau à partir du cluster distant.

En savoir plus sur security key-manager onboard enable et security key-manager onboard sync dans le"Référence de commande ONTAP" .

Par défaut, vous n'êtes pas tenu de saisir la phrase de passe du gestionnaire de clés lors du redémarrage d'un nœud. Vous pouvez utiliser le cc-mode-enabled=yes option pour exiger que les utilisateurs saisissent la phrase de passe après un redémarrage.

Pour NVE, si vous définissez cc-mode-enabled=yes, volumes que vous créez avec volume create et volume move start les commandes sont automatiquement chiffrées. Pour volume create, vous n'avez pas besoin de spécifier -encrypt true. Pour volume move start, vous n'avez pas besoin de spécifier -encrypt-destination true.

Lors de la configuration du chiffrement des données ONTAP au repos, pour répondre aux exigences des solutions commerciales classifiées (CSfC), vous devez utiliser NSE avec NVE et vous assurer que le gestionnaire de clés embarqué est activé en mode Critères communs. Voir"Description de la solution CSFC" .

Remarque

Lorsque le gestionnaire de clés intégré est activé en mode critères communs (cc-mode-enabled=yes), le comportement du système est modifié de l'une des manières suivantes :

  • Le système surveille les tentatives consécutives de mot de passe de cluster ayant échoué lorsqu'il fonctionne en mode critères communs.

    Si vous ne parvenez pas à saisir la phrase secrète du cluster 5 fois, attendez 24 heures ou redémarrez le nœud pour réinitialiser la limite.

  • Les mises à jour d'images système utilisent le certificat de signature de code NetApp RSA-3072 avec des digests signés SHA-384 pour vérifier l'intégrité de l'image au lieu du certificat de signature de code RSA-2048 NetApp habituel et des digests signés par code SHA-256.

    La commande de mise à niveau vérifie que le contenu de l'image n'a pas été modifié ou corrompu en vérifiant diverses signatures numériques. Le système passe à l'étape suivante du processus de mise à jour de l'image si la validation réussit ; sinon, la mise à jour de l'image échoue. En savoir plus sur cluster image dans le"Référence de commande ONTAP" .
Remarque Le gestionnaire de clés embarqué stocke les clés dans une mémoire volatile. Le contenu de la mémoire volatile est effacé lorsque le système est redémarré ou arrêté. Le système efface la mémoire volatile dans les 30 secondes lorsqu'il est arrêté.
Avant de commencer

  • Vous devez être un administrateur de cluster pour effectuer cette tâche.

  • Vous devez configurer l'environnement MetroCluster avant de configurer le gestionnaire de clés intégré.

Étapes

  1. Lancez la configuration du gestionnaire de clés :

    security key-manager onboard enable -cc-mode-enabled yes|no

    Remarque

    Réglez cc-mode-enabled=yes pour demander aux utilisateurs de saisir la phrase de passe du gestionnaire de clés après un redémarrage. Pour NVE, si vous définissez cc-mode-enabled=yes, volumes que vous créez avec volume create et volume move start les commandes sont automatiquement chiffrées. Le - cc-mode-enabled Cette option n'est pas prise en charge dans les configurations MetroCluster. Le security key-manager onboard enable la commande remplace le security key-manager setup commande.

  2. Saisissez une phrase secrète entre 32 et 256 caractères, ou pour « cc-mode », une phrase secrète entre 64 et 256 caractères.

    Remarque

    Si la phrase de passe « CC-mode » spécifiée est inférieure à 64 caractères, il y a un délai de cinq secondes avant que l'opération de configuration du gestionnaire de clés n'affiche à nouveau l'invite de phrase de passe.

  3. À l'invite de confirmation de la phrase de passe, saisissez à nouveau la phrase de passe.

  4. Vérifiez que les clés d'authentification ont été créées :

    security key-manager key query -key-type NSE-AK

    Remarque 
    `security key-manager key query`La commande remplace `security key-manager query key` la commande.

    Pour en savoir plus, security key-manager key query consultez le "Référence de commande ONTAP".

  5. En option, vous pouvez convertir des volumes de texte brut en volumes chiffrés.

    volume encryption conversion start

    Le gestionnaire de clés intégré doit être entièrement configuré avant de convertir les volumes. Dans un environnement MetroCluster, le gestionnaire de clés intégré doit être configuré sur les deux sites.

Une fois que vous avez terminé

Copiez la phrase secrète dans un emplacement sécurisé à l'extérieur du système de stockage pour une utilisation ultérieure.

Après avoir configuré la phrase secrète du gestionnaire de clés embarquées, sauvegardez manuellement les informations dans un emplacement sécurisé en dehors du système de stockage. Voir"Sauvegardez manuellement les informations intégrées de gestion des clés" .

Informations associées