ONTAP 9.6 이상에서 온보드 키 관리를 활성화합니다
변경 제안
PDF
Onboard Key Manager를 사용하여 FIPS 드라이브 또는 SED에 대한 클러스터 노드를 인증할 수 있습니다. Onboard Key Manager는 데이터와 동일한 스토리지 시스템의 노드에 인증 키를 제공하는 기본 제공 도구입니다. Onboard Key Manager는 FIPS-140-2 레벨 1을 준수합니다.
Onboard Key Manager를 사용하여 클러스터가 암호화된 데이터에 액세스하는 데 사용하는 키를 보호할 수 있습니다. 암호화된 볼륨 또는 자체 암호화 디스크에 액세스하는 각 클러스터에서 Onboard Key Manager를 활성화해야 합니다.
클러스터에 노드를 추가할 때마다 보안 키 관리자 온보드 활성화 명령을 실행해야 합니다. MetroCluster 구성에서는 먼저 로컬 클러스터에서 보안 키 관리자 온보드 활성화를 실행한 다음 원격 클러스터에서 동일한 암호를 사용하여 보안 키 관리자 온보드 동기화를 실행해야 합니다.
자세히 알아보세요 security key-manager onboard enable 그리고 security key-manager onboard sync 에서"ONTAP 명령 참조입니다" .
기본적으로 노드를 재부팅할 때는 키 관리자 암호를 입력할 필요가 없습니다. MetroCluster를 제외하고, 사용자가 재부팅 후 암호문을 입력하도록 'cc-mode-enabled=yes' 옵션을 사용할 수 있습니다.
|
Common Criteria 모드('cc-mode-enabled=yes')에서 Onboard Key Manager를 활성화하면 다음과 같은 방식으로 시스템 동작이 변경됩니다.
|
|
|
Onboard Key Manager는 휘발성 메모리에 키를 저장합니다. 시스템을 재부팅하거나 정지하면 휘발성 메모리 내용이 지워집니다. 정상적인 작동 조건에서는 시스템을 정지하면 30초 이내에 휘발성 메모리 콘텐츠가 지워집니다. |
-
NSE를 외부 키 관리(KMIP) 서버와 함께 사용할 경우 외부 키 관리자 데이터베이스를 삭제해야 합니다.
-
이 작업을 수행하려면 클러스터 관리자여야 합니다.
-
Onboard Key Manager를 구성하기 전에 MetroCluster 환경을 구성해야 합니다.
-
키 관리자 설정 명령을 시작합니다.
'보안 키 관리자 온보드 활성화-cc-모드 사용 예|아니오'
cc-mode-enabled=yes`재부팅 후 사용자가 키 관리자 암호를 입력하도록 요구하도록 설정합니다. `- cc-mode-enabled`MetroCluster 구성에서는 옵션이 지원되지 않습니다. `security key-manager onboard enable`명령이 `security key-manager setup명령을 대체합니다.다음 예제에서는 재부팅할 때마다 암호를 입력할 필요 없이 키 관리자 설치 명령을 cluster1에서 시작합니다.
-
32~256자 사이의 암호를 입력하세요. "`cc-mode`"의 경우 64~256자 사이의 암호를 입력하세요.
지정된 ""cc-mode"" 암호가 64자 미만이면 키 관리자 설정 작업에 암호 프롬프트가 다시 표시되기 전에 5초의 지연이 발생합니다. -
암호 확인 프롬프트에서 암호를 다시 입력합니다.
-
시스템이 인증 키를 생성하는지 확인하세요.
'보안 키 관리자 키 쿼리 노드
security key-manager key query`명령이 `security key-manager query key명령을 대체합니다.에 대한 자세한 내용은
security key-manager key query"ONTAP 명령 참조입니다"을 참조하십시오.
나중에 사용할 수 있도록 암호를 스토리지 시스템 외부의 안전한 위치에 복사합니다.
시스템은 클러스터의 복제된 데이터베이스(RDB)에 주요 관리 정보를 자동으로 백업합니다. 재해 복구를 위해 이 정보를 수동으로 백업해야 합니다.