Facultatif : activez le chiffrement de nœud
Si vous activez le chiffrement des nœuds, les disques de votre appliance peuvent être protégés par le chiffrement sécurisé des serveurs de gestion des clés (KMS) contre les pertes physiques ou la suppression du site. Vous devez sélectionner et activer le chiffrement des nœuds lors de l'installation de l'appliance. Vous ne pouvez pas désactiver le chiffrement de nœud après le démarrage du processus de chiffrement KMS.
Si vous utilisez ConfigBuilder pour générer un fichier JSON, vous pouvez activer le chiffrement de nœud automatiquement. Voir "Automatisez l'installation et la configuration de l'appliance".
Passez en revue les informations sur "Configuration de KMS".
Une appliance pour laquelle le chiffrement des nœuds est activé se connecte au serveur de gestion externe des clés (KMS) configuré pour le site StorageGRID. Chaque cluster KMS (ou KMS) gère les clés de chiffrement pour tous les nœuds d'appliance du site. Ces clés cryptent et décrypter les données sur chaque disque d'une appliance sur laquelle le cryptage des nœuds est activé.
Un KMS peut être configuré dans Grid Manager avant ou après l'installation de l'appliance dans StorageGRID. Pour plus d'informations, consultez les informations sur la configuration du KMS et de l'appliance dans les instructions d'administration de StorageGRID.
-
Si un KMS est configuré avant l'installation de l'appliance, le chiffrement contrôlé par KMS commence lorsque vous activez le chiffrement des nœuds sur l'appliance et l'ajoutez à un site StorageGRID où le KMS est configuré.
-
Si un KMS n'est pas configuré avant l'installation de l'appliance, le chiffrement contrôlé par KMS est appliqué sur chaque appliance pour que le chiffrement des nœuds soit activé dès qu'un KMS est configuré et disponible pour le site qui contient le nœud d'appliance.
Lorsqu'un dispositif est installé et que le chiffrement de nœud est activé, une clé temporaire est attribuée. Les données de l'appliance ne sont pas protégées tant que l'appliance n'est pas connectée au système de gestion des clés (KMS) et qu'une clé de sécurité KMS n'est pas installée. Voir la "Présentation de la configuration de l'appliance KM" pour plus d'informations. |
Sans la clé KMS requise pour décrypter le disque, les données de l'appliance ne peuvent pas être récupérées et sont perdues. C'est le cas lorsque la clé de déchiffrement ne peut pas être récupérée à partir du KMS. La clé devient inaccessible si un client efface la configuration KMS, une clé KMS expire, la connexion au KMS est perdue ou l'appliance est supprimée du système StorageGRID dans lequel ses clés KMS sont installées.
-
Ouvrez un navigateur et entrez l'une des adresses IP du contrôleur de calcul de l'appliance.
https://Controller_IP:8443
Controller_IP
Est l'adresse IP du contrôleur de calcul (pas le contrôleur de stockage) sur l'un des trois réseaux StorageGRID.La page d'accueil du programme d'installation de l'appliance StorageGRID s'affiche.
Une fois l'appliance chiffrée à l'aide d'une clé KMS, les disques de l'appliance ne peuvent pas être déchiffrés sans utiliser la même clé KMS. -
Sélectionnez configurer le matériel > cryptage de nœud.
-
Sélectionnez Activer le cryptage de noeud.
Avant l'installation de l'appliance, vous pouvez effacer Activer le chiffrement de nœud sans risque de perte de données. Lorsque l'installation commence, le nœud de l'appliance accède aux clés de chiffrement KMS dans votre système StorageGRID et commence le chiffrement des disques. Une fois l'appliance installée, vous ne pouvez pas désactiver le chiffrement des nœuds.
Après avoir ajouté une appliance sur laquelle le chiffrement des nœuds est activé sur un site StorageGRID doté d'un KMS, vous ne pouvez pas arrêter d'utiliser le chiffrement KMS pour le nœud. -
Sélectionnez Enregistrer.
-
Déployez l'appliance en tant que nœud dans votre système StorageGRID.
Le chiffrement CONTRÔLÉ PAR UNE DISTANCE DE 1 KM commence lorsque l'appliance accède aux clés KMS configurées pour votre site StorageGRID. Le programme d'installation affiche des messages de progression pendant le processus de chiffrement KMS, ce qui peut prendre quelques minutes selon le nombre de volumes de disque dans l'appliance.
L'appliance est au départ configurée avec une clé de chiffrement aléatoire non KMS attribuée à chaque volume de disque. Les disques sont chiffrés à l'aide de cette clé de chiffrement temporaire, qui n'est pas sécurisée, tant que l'appliance sur laquelle le chiffrement de nœud est activé n'a pas accès aux clés KMS configurées pour votre site StorageGRID.
Vous pouvez afficher l'état du chiffrement de nœud, les détails KMS et les certificats utilisés lorsque le nœud d'appliance est en mode de maintenance. Voir "Surveillez le chiffrement des nœuds en mode de maintenance" pour plus d'informations.