SANtricity System Manager のストレージ ドライブ セキュリティに関する FAQ
この FAQ は、質問に対する簡単な回答を探している場合に役立ちます。
セキュリティキーを作成するときは、どのような点に注意する必要がありますか?
セキュリティキーは、ストレージアレイ内のコントローラとセキュリティ有効ドライブによって共有されます。セキュリティ有効ドライブをストレージアレイから取り外すと、セキュリティキーによってデータが不正アクセスから保護されます。
セキュリティキーは次のいずれかの方法で作成および管理できます。
-
コントローラの永続的メモリ上での内部キー管理。
-
外部キー管理サーバでの外部キー管理
内部キー管理
内部キーは、コントローラの永続的メモリ上のアクセス不能な場所に保持され、「非表示」になります。内部セキュリティキーを作成する前に、次の作業を行う必要があります。
-
ストレージアレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
-
ドライブセキュリティ機能が有効になっていることを確認します。ドライブセキュリティ機能を有効にする手順については、必要に応じてストレージベンダーに問い合わせてください。
識別子とパスフレーズを定義して、内部セキュリティキーを作成します。識別子は、セキュリティキーに関連付けられる文字列で、コントローラとキーに関連付けられたすべてのドライブに格納されます。パスフレーズは、バックアップ用にセキュリティキーを暗号化するために使用されます。作成したセキュリティキーは、コントローラ上のアクセスできない場所に格納されます。これで、セキュリティ有効のボリュームグループまたはプールを作成したり、既存のボリュームグループまたはプールでセキュリティを有効にしたりできます。
外部キー管理
外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。外部セキュリティキーを作成する前に、次の作業を行う必要があります。
-
ストレージアレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
-
ドライブセキュリティ機能が有効になっていることを確認します。ドライブセキュリティ機能を有効にする手順については、必要に応じてストレージベンダーに問い合わせてください。
-
署名済みのクライアント証明書ファイルを取得します。クライアント証明書は、キー管理サーバがKMIP要求を信頼できるよう、ストレージアレイのコントローラを検証します。
-
まず、クライアント証明書署名要求(CSR)を生成してダウンロードします。メニューに移動します。Settings [証明書]、[キー管理]、[CSRの作成]の順に選択します。
-
次に、キー管理サーバで信頼されているCAから署名済みのクライアント証明書を要求します。(ダウンロードしたCSRファイルを使用して、キー管理サーバからクライアント証明書を作成およびダウンロードすることもできます)。
-
クライアント証明書ファイルを作成したら、System Managerにアクセスしているホストにそのファイルをコピーします。
-
-
キー管理サーバから証明書ファイルを取得し、System Managerにアクセスしているホストにそのファイルをコピーします。キー管理サーバ証明書は、ストレージアレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバには、ルート証明書、中間証明書、またはサーバ証明書を使用できます。
キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスでは、証明書ファイルもロードします。作成が完了すると、入力したクレデンシャルを使用してキー管理サーバに接続されます。これで、セキュリティ有効のボリュームグループまたはプールを作成したり、既存のボリュームグループまたはプールでセキュリティを有効にしたりできます。
パスフレーズを定義する必要があるのはなぜですか?
パスフレーズは、ローカルの管理クライアントに格納されているセキュリティキーファイルの暗号化と復号化に使用されます。パスフレーズがないとセキュリティキーを復号化できず、セキュリティ有効ドライブが別のストレージアレイに再設置された場合、データのロック解除にセキュリティキーを使用できません。
セキュリティキー情報を記録することが重要なのはなぜですか。
セキュリティキー情報が失われてバックアップがない場合、セキュリティ有効ドライブの再配置時やコントローラのアップグレード時にデータが失われる可能性があります。ドライブ上のデータのロックを解除するには、セキュリティキーが必要です。
セキュリティキー識別子、関連付けられているパスフレーズ、およびセキュリティキーファイルが保存されていたローカルホスト上の場所を書き留めておいてください。
セキュリティキーをバックアップするときは、どのような点に注意する必要がありますか?
バックアップを作成していない状態で元のセキュリティキーが破損すると、ドライブ上のデータがストレージアレイ間で移行される場合に、そのデータにアクセスできなくなります。
セキュリティキーをバックアップする際は、次のガイドラインに注意してください。
-
元のキーファイルのセキュリティキー識別子とパスフレーズを確認しておきます。
識別子を使用するのは内部キーのみです。識別子を作成すると、追加の文字が自動的に生成され、識別子の文字列の両端に追加されます。文字が追加されることで識別子が一意であることが保証されます。
-
バックアップ用の新しいパスフレーズを作成します。このパスフレーズは、元のキーの作成時または最後の変更時に使用されたパスフレーズと同じである必要はありません。このパスフレーズは、作成するバックアップにのみ適用されます。
ドライブセキュリティのパスフレーズをストレージアレイの管理者パスワードと混同しないでください。ドライブセキュリティのパスフレーズは、セキュリティキーのバックアップを保護します。管理者パスワードは、ストレージアレイ全体を不正アクセスから保護します。
-
バックアップセキュリティキーファイルが管理クライアントにダウンロードされます。ダウンロードファイルのパスは、ブラウザのデフォルトのダウンロード先によって異なる場合があります。セキュリティキー情報の格納場所を記録しておいてください。
セキュアドライブのロックを解除するときは、どのような点に注意する必要がありますか?
セキュリティ有効ドライブのデータのロックを解除するには、ドライブのセキュリティキーをインポートする必要があります。
セキュリティ有効ドライブのロックを解除する際は、次のガイドラインに注意してください。
-
ストレージアレイにセキュリティキーがすでに設定されている必要があります。移行されたドライブのキーはターゲットストレージアレイのキーに変更されます。
-
移行するドライブについて、セキュリティキー識別子とセキュリティキーファイルに対応するパスフレーズを確認しておく必要があります。
-
セキュリティキーファイルが管理クライアント(System Managerへのアクセスに使用するブラウザを備えたシステム)上にある必要があります。
-
ロックされたNVMeドライブをリセットする場合は、ドライブのセキュリティIDを入力する必要があります。セキュリティIDを確認するには、ドライブを取り外す必要があります。ドライブのラベルに記載されたPSID(最大32文字)を確認してください。処理を開始する前に、ドライブが再取り付けされていることを確認してください。
読み取り/書き込みアクセスとは何ですか?
Drive Settings(ドライブ設定)ウィンドウには、Drive Security(ドライブセキュリティ)属性に関する情報が表示されます。「読み取り/書き込みアクセス」は、ドライブのデータがロックされている場合に表示される属性の1つです。
ドライブセキュリティ属性を表示するには、ハードウェアページに移動します。ドライブを選択し、*設定の表示*をクリックして、*詳細設定を表示*をクリックします。ドライブのロックが解除されている場合、ページの下部にある「読み取り/書き込みアクセス可能」属性の値は「*はい」です。読み取り/書き込みアクセス可能属性の値は*いいえ、ドライブがロックされている場合は無効なセキュリティキー*です。セキュリティキーをインポートすることで、セキュアドライブのロックを解除できます(メニュー:[設定][システム]>[セキュアドライブのロック解除]に進みます)。
セキュリティキーを検証するときは、どのような点に注意する必要がありますか?
セキュリティキーの作成後、キーファイルを検証してファイルが破損していないことを確認する必要があります。
検証が失敗した場合は、次の手順を実行します。
-
セキュリティキー識別子がコントローラ上の識別子と一致しない場合は、正しいセキュリティキーファイルを探して検証をやり直してください。
-
コントローラが検証用のセキュリティキーを復号化できない場合は、パスフレーズが正しく入力されていない可能性があります。パスフレーズを再度確認し、必要に応じて再入力してから検証をやり直してください。エラーメッセージが再び表示される場合は、キーファイルのバックアップを選択し(使用可能な場合)、検証をやり直してください。
-
それでもセキュリティキーを検証できない場合は、元のファイルが破損している可能性があります。キーの新しいバックアップを作成し、そのコピーを検証してください。
内部セキュリティキー管理と外部セキュリティキー管理の違いは何ですか?
ドライブセキュリティ機能を実装している場合は、内部セキュリティキーまたは外部セキュリティキーを使用して、セキュリティ有効ドライブがストレージアレイから取り外されたときにデータをロックダウンすることができます。
セキュリティキーは、ストレージアレイのセキュリティ有効ドライブとコントローラで共有される文字列です。内部キーは、コントローラの永続的メモリに保持されます。外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。