Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Abilita la gestione delle chiavi integrate per NVE in ONTAP 9.6 e versioni successive

Collaboratori netapp-barbe netapp-aoife netapp-aaron-holt netapp-aherbin netapp-ahibbard netapp-thomi netapp-bhouser netapp-dbagwell
PDF

È possibile utilizzare Onboard Key Manager per proteggere le chiavi utilizzate dal cluster per accedere ai dati crittografati. È necessario attivare Onboard Key Manager su ogni cluster che accede a un volume crittografato o a un disco con crittografia automatica.

A proposito di questa attività

È necessario eseguire security key-manager onboard sync ogni volta che si aggiunge un nodo al cluster.

Se si dispone di una configurazione MetroCluster, è necessario eseguire security key-manager onboard enable eseguire prima il comando sul cluster locale, quindi eseguire security key-manager onboard sync sul cluster remoto, utilizzando la stessa passphrase su ciascuno di essi. Quando si esegue security key-manager onboard enable dal cluster locale, quindi eseguire la sincronizzazione sul cluster remoto, non è necessario eseguire enable comando di nuovo dal cluster remoto.

Scopri di più su security key-manager onboard enable E security key-manager onboard sync nel"Riferimento al comando ONTAP" .

Per impostazione predefinita, non è necessario immettere la passphrase del gestore delle chiavi quando si riavvia un nodo. È possibile utilizzare cc-mode-enabled=yes opzione per richiedere agli utenti di inserire la passphrase dopo un riavvio.

Per NVE, se si imposta cc-mode-enabled=yes, volumi creati con volume create e. volume move start i comandi vengono crittografati automaticamente. Per volume create, non è necessario specificare -encrypt true. Per volume move start, non è necessario specificare -encrypt-destination true.

Quando si configura la crittografia dei dati ONTAP a riposo, per soddisfare i requisiti per Commercial Solutions for Classified (CSfC) è necessario utilizzare NSE con NVE e assicurarsi che Onboard Key Manager sia abilitato in modalità Common Criteria. Vedere"CSFC Solution Brief" .

Nota

Quando Onboard Key Manager è attivato in modalità Common Criteria (Criteri comuni) (cc-mode-enabled=yes), il comportamento del sistema viene modificato nei seguenti modi:

  • Il sistema monitora i tentativi consecutivi di passphrase del cluster non riusciti quando si opera in modalità Common Criteria.

    Se non si riesce a immettere la passphrase del cluster per 5 volte, attendere 24 ore o riavviare il nodo per reimpostare il limite.

  • Gli aggiornamenti delle immagini di sistema utilizzano il certificato di firma del codice NetApp RSA-3072 insieme ai digest con firma del codice SHA-384 per controllare l'integrità dell'immagine invece del certificato di firma del codice NetApp RSA-2048 e dei digest con firma del codice SHA-256.

    Il comando di aggiornamento verifica che il contenuto dell'immagine non sia stato alterato o corrotto controllando varie firme digitali. Se la convalida riesce, il sistema procede alla fase successiva del processo di aggiornamento dell'immagine; in caso contrario, l'aggiornamento dell'immagine non riesce. Scopri di più su cluster image nel"Riferimento al comando ONTAP" .
Nota Onboard Key Manager memorizza le chiavi nella memoria volatile. Il contenuto della memoria volatile viene cancellato quando il sistema viene riavviato o arrestato. Quando il sistema viene arrestato, cancella la memoria volatile entro 30 secondi.
Prima di iniziare

  • Per eseguire questa attività, è necessario essere un amministratore del cluster.

  • È necessario configurare l'ambiente MetroCluster prima di configurare il Gestore chiavi integrato.

Fasi

  1. Avviare la configurazione di Key Manager:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Nota

    Impostare cc-mode-enabled=yes per richiedere agli utenti di inserire la passphrase del gestore delle chiavi dopo un riavvio. Per NVE, se si imposta cc-mode-enabled=yes, volumi creati con volume create e. volume move start i comandi vengono crittografati automaticamente. Il - cc-mode-enabled L'opzione non è supportata nelle configurazioni MetroCluster. Il security key-manager onboard enable il comando sostituisce security key-manager setup comando.

  2. Inserisci una passphrase compresa tra 32 e 256 caratteri oppure, per “cc-mode”, una passphrase compresa tra 64 e 256 caratteri.

    Nota

    Se la passphrase “cc-mode” specificata è inferiore a 64 caratteri, si verifica un ritardo di cinque secondi prima che l'operazione di configurazione del gestore delle chiavi visualizzi nuovamente il prompt della passphrase.

  3. Al prompt di conferma della passphrase, immettere nuovamente la passphrase.

  4. Verificare che le chiavi di autenticazione siano state create:

    security key-manager key query -key-type NSE-AK

    Nota

    Il security key-manager key query comando sostituisce il security key-manager query key comando.

    Ulteriori informazioni su security key-manager key query nella "Riferimento al comando ONTAP".

  5. Facoltativamente, è possibile convertire i volumi di testo normale in volumi crittografati.

    volume encryption conversion start

    Onboard Key Manager deve essere completamente configurato prima di convertire i volumi. In un ambiente MetroCluster, il gestore delle chiavi integrato deve essere configurato su entrambi i siti.

Al termine

Copiare la passphrase in una posizione sicura all'esterno del sistema di storage per utilizzarla in futuro.

Dopo aver configurato la passphrase di Onboard Key Manager, eseguire manualmente il backup delle informazioni in una posizione sicura all'esterno del sistema di archiviazione. Vedere"Eseguire il backup manuale delle informazioni di gestione delle chiavi integrate" .

Informazioni correlate