Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System Managerにおけるセキュリティキー管理の仕組み

PDF

ドライブ セキュリティ機能を実装する場合、セキュリティ有効ドライブ(FIPSまたはFDE)には、データ アクセスのためにセキュリティ キーが必要です。セキュリティ キーは、ストレージ アレイ内のこれらのタイプのドライブおよびコントローラで共有される文字列です。

ドライブの電源をオフにしてオンにするたびに、コントローラによってセキュリティ キーが適用されるまでセキュリティ有効ドライブはセキュリティ ロック状態となります。セキュリティ有効ドライブをストレージ アレイから取り外すと、ドライブのデータはロックされます。そのドライブを別のストレージ アレイに取り付けた場合、データに再びアクセスするにはセキュリティ キーが必要になります。データのロックを解除するには、元のセキュリティ キーを適用する必要があります。

セキュリティ キーは次のいずれかの方法で作成および管理できます。

  • コントローラの永続的メモリ上での内部キー管理

  • 外部キー管理サーバ上での外部キー管理

内部キー管理

内部キーは、コントローラの永続メモリ上のアクセス不可能な場所に保持され、「hidden」されます。内部鍵管理を実装するには、以下の手順を実行します:

  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

  3. 内部セキュリティキーを作成するには、識別子とパスフレーズを定義する必要があります。識別子はセキュリティキーに関連付けられた文字列であり、コントローラおよびキーに関連付けられたすべてのドライブに保存されます。パスフレーズは、バックアップ目的でセキュリティキーを暗号化するために使用されます。内部キーを作成するには、メニューの[Settings]→[System]→[Security key management]→[Create Internal Key]を選択してください。

セキュリティ キーがコントローラ上のアクセスできない非表示の場所に格納されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

外部キー管理

外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。外部キー管理を実装するには、次の手順を実行します。

  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

  3. 署名済みのクライアント証明書ファイルを取得します。クライアント証明書は、キー管理サーバがコントローラのKMIP要求を信頼できるよう、ストレージ アレイのコントローラを検証します。

    1. まず、クライアント証明書署名要求(CSR)を作成してダウンロードします。メニュー:Settings[Certificates > Key Management > Complete CSR]に移動します。

    2. 次に、キー管理サーバで信頼されているCAに署名済みのクライアント証明書を要求します(CSRファイルを使用して、キー管理サーバからクライアント証明書を作成してダウンロードすることもできます)。

    3. クライアント証明書ファイルを用意したら、そのファイルをSystem Managerにアクセスするホストにコピーします。

    4. また、秘密鍵と公開鍵のペアを使用して、外部で証明書署名要求を生成することもできます。

  4. キー管理サーバから証明書ファイルを取得し、そのファイルをSystem Managerにアクセスするホストにコピーします。キー管理サーバ証明書は、ストレージ アレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。

  5. 外部キーを作成するには、キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義します。このプロセス中に、証明書ファイルも読み込まれます。外部キーを作成するには、メニューの[設定]→[システム]→[セキュリティ キー管理]→[外部キーの作成]を選択してください。

入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。