Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティキー管理の仕組み

共同作成者
PDF

ドライブセキュリティ機能を実装する場合、セキュリティ有効ドライブ(FIPSまたはFDE)にはデータアクセス用のセキュリティキーが必要です。セキュリティキーは、ストレージアレイ内のこれらのタイプのドライブとコントローラで共有される文字列です。

ドライブの電源をオフにしてオンにするたびに、コントローラがセキュリティキーを適用するまでセキュリティ有効ドライブはセキュリティロック状態になります。セキュリティ有効ドライブをストレージアレイから取り外すと、ドライブのデータはロックされます。ドライブを別のストレージアレイに取り付け直すと、データへのアクセスを再開する前にセキュリティキーが検索されます。データのロックを解除するには、元のセキュリティキーを適用する必要があります。

セキュリティキーは、次のいずれかの方法で作成および管理できます。

  • コントローラの永続的メモリでの内部キー管理。

  • 外部キー管理サーバでの外部キー管理

内部キー管理

内部キーは、コントローラの永続的メモリ上のアクセス不能な場所に保持され、「非表示」になります。内部キー管理を実装するには、次の手順を実行します。

  1. ストレージアレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブセキュリティ機能が有効になっていることを確認します。ドライブセキュリティ機能を有効にする手順については、必要に応じてストレージベンダーにお問い合わせください。

  3. 識別子とパスフレーズを定義して、内部セキュリティキーを作成します。識別子はセキュリティキーに関連付けられた文字列で、コントローラとキーに関連付けられたすべてのドライブに格納されます。パスフレーズは、バックアップ用にセキュリティキーを暗号化するために使用します。内部キーを作成するには、メニューに移動します。[システム]、[セキュリティキー管理]、[内部キーの作成]の順に選択します。

セキュリティキーは、コントローラのアクセスできない非表示の場所に格納されます。その後、セキュリティ有効のボリュームグループまたはプールを作成したり、既存のボリュームグループおよびプールでセキュリティを有効にしたりできます。

外部キー管理

外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。外部キー管理を実装するには、次の手順を実行します。

  1. ストレージアレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブセキュリティ機能が有効になっていることを確認します。ドライブセキュリティ機能を有効にする手順については、必要に応じてストレージベンダーにお問い合わせください。

  3. 署名済みのクライアント証明書ファイルを取得します。クライアント証明書は、キー管理サーバがストレージアレイのKMIP要求を信頼できるように、ストレージアレイのコントローラを検証します。

    1. まず、クライアント証明書署名要求(CSR)を生成してダウンロードします。メニューに移動します。Settings [証明書]、[キー管理]、[CSRの作成]の順に選択します。

    2. 次に、キー管理サーバによって信頼されているCAから署名済みクライアント証明書を要求します。(CSRファイルを使用して、キー管理サーバからクライアント証明書を作成およびダウンロードすることもできます)。

    3. クライアント証明書ファイルが作成されたら、そのファイルをSystem Managerにアクセスするホストにコピーします。

  4. キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーします。キー管理サーバ証明書は、ストレージアレイがサーバのIPアドレスを信頼できるように、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

  5. キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスでは、証明書ファイルもロードします。外部キーを作成するには、メニューに移動します。[設定]、[システム]、[セキュリティキー管理]、[外部キーの作成]の順に選択します。

入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。その後、セキュリティ有効のボリュームグループまたはプールを作成したり、既存のボリュームグループおよびプールでセキュリティを有効にしたりできます。