Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System Managerのストレージドライブセキュリティに関するFAQ

PDF

質問に対する簡単な回答をお探しの場合は、このFAQが役立ちます。

セキュリティ キーを作成するときは、どのような点に注意する必要がありますか?

セキュリティ キーは、ストレージ アレイ内のコントローラとセキュリティ有効ドライブによって共有されます。セキュリティ有効ドライブがストレージ アレイから削除されると、セキュリティ キーによってデータが不正アクセスから保護されます。

セキュリティ キーは次のいずれかの方法で作成および管理できます。

  • コントローラの永続的メモリ上での内部キー管理

  • 外部キー管理サーバ上での外部キー管理

内部キー管理

内部キーは、コントローラの永続メモリ上のアクセス不可能な場所に保持され、「hidden」されます。内部セキュリティキーを作成する前に、以下の手順を実行する必要があります:

  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

識別子とパス フレーズを定義して、内部セキュリティ キーを作成します。識別子は、セキュリティ キーに関連付けられる文字列で、コントローラとキーに関連付けられたすべてのドライブに格納されます。パス フレーズは、バックアップ用にセキュリティ キーを暗号化するために使用されます。作成したセキュリティ キーは、コントローラ上のアクセスできない場所に格納されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

外部キー管理

外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。外部セキュリティ キーを作成する前に、以下を実行する必要があります。

  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

  3. 署名済みのクライアント証明書ファイルを取得します。クライアント証明書は、キー管理サーバがコントローラのKMIP要求を信頼できるよう、ストレージ アレイのコントローラを検証します。

    1. まず、クライアント証明書署名要求(CSR)を作成してダウンロードします。メニュー:Settings[Certificates > Key Management > Complete CSR]に移動します。

    2. 次に、キー管理サーバで信頼されているCAに署名済みのクライアント証明書を要求します(ダウンロードしたCSRファイルを使用して、キー管理サーバからクライアント証明書を作成してダウンロードすることもできます)。

    3. クライアント証明書ファイルを用意したら、そのファイルをSystem Managerにアクセスするホストにコピーします。

  4. キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーします。キー管理サーバ証明書は、ストレージ アレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスで、証明書ファイルもロードします。外部キーの作成が完了すると、入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

パス フレーズを定義する必要があるのはなぜですか?

パス フレーズは、ローカルの管理クライアントに保存されているセキュリティ キー ファイルの暗号化と復号化に使用されます。パス フレーズがないとセキュリティ キーを復号化できず、セキュリティ有効ドライブが別のストレージ アレイに再配置された場合、データのロック解除にセキュリティ キーを使用できません。

セキュリティ キーの情報を記録しておく必要があるのはなぜですか?

セキュリティ キー情報を紛失し、バックアップがない場合、セキュリティ有効ドライブの移動時またはコントローラのアップグレード時にデータが失われる可能性があります。ドライブ上のデータのロックを解除するには、セキュリティ キーが必要です。

セキュリティ キー識別子、関連付けられているパス フレーズ、およびセキュリティ キー ファイルが保存されていたローカル ホスト上の場所を書き留めておいてください。

セキュリティ キーをバックアップするときは、どのような点に注意する必要がありますか?

バックアップを作成していない状況で元のセキュリティ キーが破損すると、ドライブ上のデータがストレージ アレイ間で移行される場合に、そのデータにアクセスできなくなります。

セキュリティ キーをバックアップする際は、次のガイドラインに注意してください。

  • 元のキー ファイルのセキュリティ キー識別子とパス フレーズを確認しておいてください。

    メモ

    識別子を使用するのは内部キーのみです。識別子の作成時には、追加の文字が自動的に生成され、識別子の文字列の先頭と末尾に追加されます。文字が追加されることで識別子が一意であることが保証されます。

  • バックアップ用の新しいパス フレーズを作成します。このパス フレーズは、元のキーの作成時または最後の変更時に使用されたパス フレーズと同じである必要はありません。このパス フレーズは、作成するバックアップにのみ適用されます。

    メモ

    ドライブ セキュリティのパス フレーズをストレージ アレイの管理者パスワードと混同しないでください。ドライブ セキュリティのパス フレーズは、セキュリティ キーのバックアップを保護します。管理者パスワードは、ストレージ アレイ全体を不正アクセスから保護します。

  • バックアップ セキュリティ キー ファイルが管理クライアントにダウンロードされます。ダウンロード ファイルのパスは、ブラウザのデフォルトのダウンロード先に応じて異なる場合があります。セキュリティ キーの情報を格納した場所を記録しておいてください。

セキュア ドライブのロックを解除するときは、どのような点に注意する必要がありますか?

セキュリティ有効ドライブのデータをロック解除するには、ドライブのセキュリティ キーをインポートする必要があります。

セキュリティ有効ドライブのロックを解除する際は、次のガイドラインに注意してください。

  • ストレージ アレイにすでにセキュリティ キーがあることが必要です。移行されたドライブのキーはターゲット ストレージ アレイのキーに変更されます。

  • 移行するドライブについて、セキュリティ キーIDおよびセキュリティ キー ファイルに対応するパス フレーズを確認しておく必要があります。

  • 管理クライアント(ブラウザからSystem Managerにアクセスするシステム)にセキュリティ キー ファイルを用意しておく必要があります。

  • ロックされたNVMeドライブをリセットする場合は、ドライブのセキュリティIDを入力する必要があります。セキュリティIDを確認するには、ドライブを物理的に取り外し、ドライブのラベルに記載されているPSID文字列(最大32文字)を探す必要があります。操作を開始する前に、ドライブが再インストールされていることを確認してください。

読み取り / 書き込みアクセスとは何ですか?

[ドライブ設定]ウィンドウには、ドライブ セキュリティ属性に関する情報が表示されます。「読み取り / 書き込みアクセス」はドライブのデータがロックされているときに表示される属性です。

ドライブのセキュリティ属性を表示するには、ハードウェアページに移動します。ドライブを選択し、*設定の表示*をクリックしてから、*その他の設定を表示*をクリックします。ページの下部にある読み取り / 書き込みアクセス可能属性の値は、ドライブのロックが解除されている場合は*はい*となります。ドライブがロックされている場合、読み取り / 書き込みアクセス可能属性の値は*いいえ、無効なセキュリティキー*となります。セキュリティキーをインポートすることで、セキュアドライブのロックを解除できます(メニュー:Settings[System > Unlock Secure Drives]に移動します)。

セキュリティ キーを検証するときは、どのような点に注意する必要がありますか?

セキュリティ キーの作成後、キー ファイルを検証してファイルが破損していないことを確認する必要があります。

検証が失敗した場合は、次の操作を行います。

  • セキュリティ キー識別子がコントローラ上の識別子と一致しない場合は、正しいセキュリティ キー ファイルを探して検証をやり直してください。

  • コントローラが検証用のセキュリティ キーを復号化できない場合は、パス フレーズが正しく入力されていない可能性があります。パス フレーズを再度確認し、必要に応じて再入力してから検証をやり直してください。エラー メッセージが再び表示される場合は、キー ファイルのバックアップ(ある場合)を選択して検証をやり直してください。

  • 前述の手順を実行してもセキュリティ キーを検証できない場合は、元のファイルが破損している可能性があります。キーの新しいバックアップを作成し、そのコピーを検証してください。

内部セキュリティ キー管理と外部セキュリティ キー管理の違いは何ですか?

ドライブ セキュリティ機能を実装している場合は、内部セキュリティ キーまたは外部セキュリティ キーを使用して、セキュリティ有効ドライブがストレージ アレイから取り外されたときにデータをロックダウンすることができます。

セキュリティ キーは、ストレージ アレイのセキュリティ有効ドライブとコントローラで共有される文字列です。内部キーは、コントローラの永続的メモリに保持されます。外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。