Abilitare la gestione delle chiavi integrata in ONTAP 9.5 e versioni precedenti
-
PDF del sito di questa documentazione
- Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
- Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
Gestione dello storage logico con la CLI
-
Gestione dello storage NAS
- Configurare NFS con la CLI
- Gestisci NFS con la CLI
-
Gestire SMB con la CLI
- Gestire i server SMB
- Gestire l'accesso ai file utilizzando SMB
- Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
- Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
- Protezione dei dati e disaster recovery
Raccolta di documenti PDF separati
Creating your file...
È possibile utilizzare Onboard Key Manager per autenticare i nodi del cluster su un disco FIPS o SED. Onboard Key Manager è uno strumento integrato che fornisce chiavi di autenticazione ai nodi dello stesso sistema storage dei dati. Onboard Key Manager è conforme a FIPS-140-2 livello 1.
È possibile utilizzare Onboard Key Manager per proteggere le chiavi utilizzate dal cluster per accedere ai dati crittografati. È necessario attivare Onboard Key Manager su ogni cluster che accede a un volume crittografato o a un disco con crittografia automatica.
È necessario eseguire security key-manager setup
ogni volta che si aggiunge un nodo al cluster.
Se si dispone di una configurazione MetroCluster, consultare le seguenti linee guida:
-
In ONTAP 9.5, è necessario eseguire
security key-manager setup
sul cluster locale e.security key-manager setup -sync-metrocluster-config yes
sul cluster remoto, utilizzando la stessa passphrase su ciascuno di essi. -
Prima di ONTAP 9.5, è necessario eseguire
security key-manager setup
sul cluster locale, attendere circa 20 secondi, quindi eseguiresecurity key-manager setup
sul cluster remoto, utilizzando la stessa passphrase su ciascuno di essi.
Per impostazione predefinita, non è necessario immettere la passphrase del gestore delle chiavi quando si riavvia un nodo. A partire da ONTAP 9.4, è possibile utilizzare -enable-cc-mode yes
opzione per richiedere agli utenti di inserire la passphrase dopo un riavvio.
Per NVE, se si imposta -enable-cc-mode yes
, volumi creati con volume create
e. volume move start
i comandi vengono crittografati automaticamente. Per volume create
, non è necessario specificare -encrypt true
. Per volume move start
, non è necessario specificare -encrypt-destination true
.
Dopo un tentativo di passphrase non riuscito, riavviare nuovamente il nodo. |
-
Se si utilizza NSE con un server KMIP (Key Management) esterno, è necessario eliminare il database del gestore delle chiavi esterno.
-
Per eseguire questa attività, è necessario essere un amministratore del cluster.
-
È necessario configurare l'ambiente MetroCluster prima di configurare il Gestore chiavi integrato.
-
Avviare la configurazione di Key Manager:
security key-manager setup -enable-cc-mode yes|no
A partire da ONTAP 9.4, è possibile utilizzare -enable-cc-mode yes
opzione per richiedere agli utenti di inserire la passphrase del gestore delle chiavi dopo un riavvio. Per NVE, se si imposta-enable-cc-mode yes
, volumi creati convolume create
e.volume move start
i comandi vengono crittografati automaticamente.Nell'esempio seguente viene avviata l'impostazione del gestore delle chiavi sul cluster1 senza che sia necessario inserire la passphrase dopo ogni riavvio:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
Invio
yes
quando viene richiesto di configurare la gestione delle chiavi integrata. -
Al prompt della passphrase, immettere una passphrase compresa tra 32 e 256 caratteri oppure, per “cc-mode”, una passphrase compresa tra 64 e 256 caratteri.
Se la passphrase “cc-mode” specificata è inferiore a 64 caratteri, si verifica un ritardo di cinque secondi prima che l'operazione di configurazione del gestore delle chiavi visualizzi nuovamente il prompt della passphrase. -
Al prompt di conferma della passphrase, immettere nuovamente la passphrase.
-
Verificare che le chiavi siano configurate per tutti i nodi:
security key-manager key show
Per la sintassi completa dei comandi, vedere la pagina man.
cluster1::> security key-manager key show Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- 0000000000000000020000000000010059851742AF2703FC91369B7DB47C4722 NSE-AK 000000000000000002000000000001008C07CC0AF1EF49E0105300EFC83004BF NSE-AK
Viene eseguito automaticamente il backup di tutte le informazioni di gestione delle chiavi nel database replicato (RDB) del cluster.
Ogni volta che si configura la passphrase di Onboard Key Manager, è necessario eseguire il backup manuale delle informazioni in una posizione sicura all'esterno del sistema di storage per l'utilizzo in caso di disastro. Vedere "Eseguire il backup manuale delle informazioni di gestione delle chiavi integrate".