Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Intégrez la gestion des clés dans ONTAP 9.6 et versions ultérieures (NVE)

Contributeurs
PDF

Vous pouvez utiliser le gestionnaire de clés intégré pour sécuriser les clés que le cluster utilise pour accéder aux données chiffrées. Vous devez activer le gestionnaire de clés intégré sur chaque cluster qui accède à un volume chiffré ou à un disque à chiffrement automatique.

Description de la tâche

Vous devez exécuter le security key-manager onboard sync commande à chaque ajout d'un nœud au cluster.

Si vous avez une configuration MetroCluster, vous devez exécuter security key-manager onboard enable d'abord sur le cluster local, puis exécutez le security key-manager onboard sync sur le cluster distant, en utilisant la même phrase de passe sur chacun d'entre eux. Lorsque vous exécutez le security key-manager onboard enable à partir du cluster local, puis effectuez une synchronisation sur le cluster distant. vous n'avez pas besoin d'exécuter le enable commandez à nouveau à partir du cluster distant.

Par défaut, vous n'êtes pas tenu de saisir la phrase de passe du gestionnaire de clés lors du redémarrage d'un nœud. Vous pouvez utiliser le cc-mode-enabled=yes option pour exiger que les utilisateurs saisissent la phrase de passe après un redémarrage.

Pour NVE, si vous définissez cc-mode-enabled=yes, volumes que vous créez avec volume create et volume move start les commandes sont automatiquement chiffrées. Pour volume create, vous n'avez pas besoin de spécifier -encrypt true. Pour volume move start, vous n'avez pas besoin de spécifier -encrypt-destination true.

Lors de la configuration du chiffrement des données ONTAP au repos, pour répondre aux exigences relatives aux solutions commerciales pour les données classées (CSfC), vous devez utiliser NSE avec NVE et vous assurer que le gestionnaire de clés intégré est activé en mode critères communs. Reportez-vous à la "Description de la solution CSFC" Pour en savoir plus sur CSfC.

Remarque

Lorsque le gestionnaire de clés intégré est activé en mode critères communs (cc-mode-enabled=yes), le comportement du système est modifié de l'une des manières suivantes :

  • Le système surveille les tentatives consécutives de mot de passe de cluster ayant échoué lorsqu'il fonctionne en mode critères communs.

    Si vous ne saisissez pas la phrase secrète appropriée au démarrage, les volumes chiffrés ne sont pas montés. Pour corriger cette situation, vous devez redémarrer le nœud et saisir la phrase secrète correcte du cluster. Une fois démarré, le système peut saisir jusqu'à 5 tentatives consécutives de saisie de la phrase secrète du cluster dans une période de 24 heures pour toute commande nécessitant une phrase secrète comme paramètre. Si la limite est atteinte (par exemple, vous n'avez pas saisi correctement la phrase de passe du cluster 5 fois de suite) alors vous devez attendre l'expiration du délai de 24 heures ou redémarrer le nœud pour réinitialiser la limite.

  • Les mises à jour d'images système utilisent le certificat de signature de code NetApp RSA-3072 avec des digests signés SHA-384 pour vérifier l'intégrité de l'image au lieu du certificat de signature de code RSA-2048 NetApp habituel et des digests signés par code SHA-256.

    La commande de mise à niveau vérifie que le contenu de l'image n'a pas été modifié ou corrompu en vérifiant diverses signatures numériques. Le processus de mise à jour de l'image passe à l'étape suivante si la validation réussit ; sinon, la mise à jour de l'image échoue. Voir la cluster image pour plus d'informations sur les mises à jour système.
Remarque Le gestionnaire de clés intégré stocke les clés dans la mémoire volatile. Le contenu de la mémoire volatile est effacé lors du redémarrage ou de l'arrêt du système. Dans des conditions de fonctionnement normales, le contenu de la mémoire volatile est effacé dans les 30 secondes lorsqu'un système est arrêté.
Avant de commencer

  • Vous devez être un administrateur de cluster pour effectuer cette tâche.

  • Vous devez configurer l'environnement MetroCluster avant de configurer le gestionnaire de clés intégré.

Étapes

  1. Lancez la configuration du gestionnaire de clés :

    security key-manager onboard enable -cc-mode-enabled yes|no

    Remarque

    Réglez cc-mode-enabled=yes pour demander aux utilisateurs de saisir la phrase de passe du gestionnaire de clés après un redémarrage. Pour NVE, si vous définissez cc-mode-enabled=yes, volumes que vous créez avec volume create et volume move start les commandes sont automatiquement chiffrées. Le - cc-mode-enabled Cette option n'est pas prise en charge dans les configurations MetroCluster. Le security key-manager onboard enable la commande remplace le security key-manager setup commande.

    L'exemple suivant démarre la commande Key Manager setup sur cluster1 sans exiger la saisie de la phrase de passe après chaque redémarrage :

    cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. À l'invite de phrase de passe, entrez une phrase de passe comprise entre 32 et 256 caractères, ou une phrase de passe entre 64 et 256 caractères pour « mode CC ».

    Remarque

    Si la phrase de passe « CC-mode » spécifiée est inférieure à 64 caractères, il y a un délai de cinq secondes avant que l'opération de configuration du gestionnaire de clés n'affiche à nouveau l'invite de phrase de passe.

  3. À l'invite de confirmation de la phrase de passe, saisissez à nouveau la phrase de passe.

  4. Vérifiez que les clés d'authentification ont été créées :

    security key-manager key query -key-type NSE-AK

    Remarque

    Le security key-manager key query la commande remplace le security key-manager query key commande. Pour connaître la syntaxe complète de la commande, reportez-vous à la page man.

    L'exemple suivant vérifie que les clés d'authentification ont été créées pour cluster1:

    cluster1::> security key-manager key query -key-type NSE-AK
               Node: node1
            Vserver: cluster1
        Key Manager: onboard
   Key Manager Type: OKM
 Key Manager Policy: -

 Key Tag                               Key Type Encryption   Restored

------------------------------------  -------- ------------ --------

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000

2 entries were displayed.

  5. Vous pouvez également convertir des volumes en texte brut en volumes chiffrés.

    volume encryption conversion start

    Le gestionnaire de clés intégré doit être entièrement configuré avant de convertir les volumes. Dans un environnement MetroCluster, le gestionnaire de clés intégré doit être configuré sur les deux sites.

Une fois que vous avez terminé

Copiez la phrase secrète dans un emplacement sécurisé à l'extérieur du système de stockage pour une utilisation ultérieure.

Chaque fois que vous configurez la phrase secrète Onboard Key Manager, vous devez également sauvegarder les informations manuellement dans un emplacement sécurisé en dehors du système de stockage afin de les utiliser en cas d'incident. Voir "Sauvegardez manuellement les informations intégrées de gestion des clés".