Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Abilitare la gestione delle chiavi integrata in ONTAP 9.6 e versioni successive (NVE)

Collaboratori
PDF

È possibile utilizzare Onboard Key Manager per proteggere le chiavi utilizzate dal cluster per accedere ai dati crittografati. È necessario attivare Onboard Key Manager su ogni cluster che accede a un volume crittografato o a un disco con crittografia automatica.

A proposito di questa attività

È necessario eseguire security key-manager onboard sync ogni volta che si aggiunge un nodo al cluster.

Se si dispone di una configurazione MetroCluster, è necessario eseguire security key-manager onboard enable eseguire prima il comando sul cluster locale, quindi eseguire security key-manager onboard sync sul cluster remoto, utilizzando la stessa passphrase su ciascuno di essi. Quando si esegue security key-manager onboard enable dal cluster locale, quindi eseguire la sincronizzazione sul cluster remoto, non è necessario eseguire enable comando di nuovo dal cluster remoto.

Per impostazione predefinita, non è necessario immettere la passphrase del gestore delle chiavi quando si riavvia un nodo. È possibile utilizzare cc-mode-enabled=yes opzione per richiedere agli utenti di inserire la passphrase dopo un riavvio.

Per NVE, se si imposta cc-mode-enabled=yes, volumi creati con volume create e. volume move start i comandi vengono crittografati automaticamente. Per volume create, non è necessario specificare -encrypt true. Per volume move start, non è necessario specificare -encrypt-destination true.

Quando si configura la crittografia dei dati ONTAP a riposo, per soddisfare i requisiti per le soluzioni commerciali per classificati (CSFC), è necessario utilizzare NSE con NVE e assicurarsi che il gestore delle chiavi integrato sia attivato in modalità Criteri comuni. Fare riferimento a. "CSFC Solution Brief" Per ulteriori informazioni su CSFC.

Nota

Quando Onboard Key Manager è attivato in modalità Common Criteria (Criteri comuni) (cc-mode-enabled=yes), il comportamento del sistema viene modificato nei seguenti modi:

  • Il sistema monitora i tentativi consecutivi di passphrase del cluster non riusciti quando si opera in modalità Common Criteria.

    Se non si riesce a inserire la passphrase del cluster corretta all'avvio, i volumi crittografati non vengono montati. Per risolvere questo problema, riavviare il nodo e inserire la passphrase del cluster corretta. Una volta avviato, il sistema consente fino a 5 tentativi consecutivi di inserire correttamente la passphrase del cluster in un periodo di 24 ore per qualsiasi comando che richieda la passphrase del cluster come parametro. Se il limite viene raggiunto (ad esempio, non è stato possibile inserire correttamente la passphrase del cluster 5 volte di seguito), è necessario attendere che il periodo di timeout di 24 ore sia trascorso oppure riavviare il nodo per ripristinare il limite.

  • Gli aggiornamenti delle immagini di sistema utilizzano il certificato di firma del codice NetApp RSA-3072 insieme ai digest con firma del codice SHA-384 per controllare l'integrità dell'immagine invece del certificato di firma del codice NetApp RSA-2048 e dei digest con firma del codice SHA-256.

    Il comando upgrade verifica che il contenuto dell'immagine non sia stato alterato o corrotto controllando varie firme digitali. Se la convalida ha esito positivo, il processo di aggiornamento dell'immagine passa alla fase successiva; in caso contrario, l'aggiornamento dell'immagine non riesce. Vedere cluster image pagina man per informazioni relative agli aggiornamenti del sistema.
Nota Onboard Key Manager memorizza le chiavi nella memoria volatile. I contenuti della memoria volatile vengono cancellati quando il sistema viene riavviato o arrestato. In condizioni operative normali, il contenuto della memoria volatile viene cancellato entro 30 secondi quando il sistema viene arrestato.
Prima di iniziare

  • Per eseguire questa attività, è necessario essere un amministratore del cluster.

  • È necessario configurare l'ambiente MetroCluster prima di configurare il Gestore chiavi integrato.

Fasi

  1. Avviare la configurazione di Key Manager:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Nota

    Impostare cc-mode-enabled=yes per richiedere agli utenti di inserire la passphrase del gestore delle chiavi dopo un riavvio. Per NVE, se si imposta cc-mode-enabled=yes, volumi creati con volume create e. volume move start i comandi vengono crittografati automaticamente. Il - cc-mode-enabled L'opzione non è supportata nelle configurazioni MetroCluster. Il security key-manager onboard enable il comando sostituisce security key-manager setup comando.

    Nell'esempio seguente viene avviato il comando di configurazione del gestore delle chiavi sul cluster1 senza che sia necessario inserire la passphrase dopo ogni riavvio:

    cluster1::> security key-manager onboard enable

Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>

  2. Al prompt della passphrase, immettere una passphrase compresa tra 32 e 256 caratteri oppure, per “cc-mode”, una passphrase compresa tra 64 e 256 caratteri.

    Nota

    Se la passphrase “cc-mode” specificata è inferiore a 64 caratteri, si verifica un ritardo di cinque secondi prima che l'operazione di configurazione del gestore delle chiavi visualizzi nuovamente il prompt della passphrase.

  3. Al prompt di conferma della passphrase, immettere nuovamente la passphrase.

  4. Verificare che le chiavi di autenticazione siano state create:

    security key-manager key query -key-type NSE-AK

    Nota

    Il security key-manager key query il comando sostituisce security key-manager query key comando. Per la sintassi completa dei comandi, vedere la pagina man.

    Nell'esempio seguente viene verificata la creazione di chiavi di autenticazione per cluster1:

    cluster1::> security key-manager key query -key-type NSE-AK
               Node: node1
            Vserver: cluster1
        Key Manager: onboard
   Key Manager Type: OKM
 Key Manager Policy: -

 Key Tag                               Key Type Encryption   Restored

------------------------------------  -------- ------------ --------

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000

node1                                 NSE-AK   AES-256      true

    Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000

2 entries were displayed.

  5. Facoltativamente, convertire volumi di testo normale in volumi crittografati.

    volume encryption conversion start

    Onboard Key Manager deve essere completamente configurato prima di convertire i volumi. In un ambiente MetroCluster, il gestore delle chiavi integrato deve essere configurato su entrambi i siti.

Al termine

Copiare la passphrase in una posizione sicura all'esterno del sistema di storage per utilizzarla in futuro.

Ogni volta che si configura la passphrase di Onboard Key Manager, è necessario eseguire il backup manuale delle informazioni in una posizione sicura all'esterno del sistema di storage per l'utilizzo in caso di disastro. Vedere "Eseguire il backup manuale delle informazioni di gestione delle chiavi integrate".