Perguntas frequentes sobre segurança de unidade de armazenamento para o SANtricity System Manager
Sugerir alterações
PDFs
Este FAQ pode ajudar se você está apenas procurando uma resposta rápida para uma pergunta.
O que eu preciso saber antes de criar uma chave de segurança?
Uma chave de segurança é compartilhada por controladores e unidades habilitadas para proteger dentro de um storage array. Se uma unidade habilitada para segurança for removida do storage array, a chave de segurança protegerá os dados contra acesso não autorizado.
Você pode criar e gerenciar chaves de segurança usando um dos seguintes métodos:
-
Gerenciamento de chaves internas na memória persistente do controlador.
-
Gerenciamento de chaves externas em um servidor de gerenciamento de chaves externo.
Gerenciamento de chaves internas
As chaves internas são mantidas e "ocultas" em um local não acessível na memória persistente do controlador. Antes de criar uma chave de segurança interna, você deve fazer o seguinte:
-
Instale unidades com capacidade segura no storage de armazenamento. Essas unidades podem ser unidades com criptografia total de disco (FDE) ou unidades FIPS (Federal Information Processing Standard).
-
Certifique-se de que a funcionalidade de Segurança da unidade está ativada. Se necessário, entre em Contato com o fornecedor de armazenamento para obter instruções sobre como ativar o recurso Segurança da unidade.
Em seguida, você pode criar uma chave de segurança interna, que envolve a definição de um identificador e uma frase-passe. O identificador é uma cadeia de carateres associada à chave de segurança e é armazenada no controlador e em todas as unidades associadas à chave. A frase-passe é usada para criptografar a chave de segurança para fins de backup. Quando terminar, a chave de segurança é armazenada no controlador num local não acessível. Em seguida, você pode criar grupos de volume ou pools habilitados para segurança ou habilitar a segurança em grupos de volumes e pools existentes.
Gerenciamento de chaves externas
As chaves externas são mantidas em um servidor de gerenciamento de chaves separado, usando um KMIP (Key Management Interoperability Protocol). Antes de criar uma chave de segurança externa, você deve fazer o seguinte:
-
Instale unidades com capacidade segura no storage de armazenamento. Essas unidades podem ser unidades com criptografia total de disco (FDE) ou unidades FIPS (Federal Information Processing Standard).
-
Certifique-se de que a funcionalidade de Segurança da unidade está ativada. Se necessário, entre em Contato com o fornecedor de armazenamento para obter instruções sobre como ativar o recurso Segurança da unidade.
-
Obtenha um arquivo de certificado de cliente assinado. Um certificado de cliente valida os controladores do storage array, para que o servidor de gerenciamento de chaves possa confiar em suas solicitações KMIP.
-
Primeiro, você conclui e faz o download de uma solicitação de assinatura de certificado de cliente (CSR). Aceda ao .
-
Em seguida, você solicita um certificado de cliente assinado de uma CA confiável pelo servidor de gerenciamento de chaves. (Você também pode criar e baixar um certificado de cliente do servidor de gerenciamento de chaves usando o arquivo CSR baixado.)
-
Depois de ter um arquivo de certificado de cliente, copie esse arquivo para o host onde você está acessando o System Manager.
-
-
Recupere um arquivo de certificado do servidor de gerenciamento de chaves e copie esse arquivo para o host onde você está acessando o System Manager. Um certificado do servidor de gerenciamento de chaves valida o servidor de gerenciamento de chaves, de modo que o storage array possa confiar em seu endereço IP. Você pode usar um certificado raiz, intermediário ou servidor para o servidor de gerenciamento de chaves.
Em seguida, você pode criar uma chave externa, que envolve a definição do endereço IP do servidor de gerenciamento de chaves e o número da porta usada para comunicações KMIP. Durante esse processo, você também carrega arquivos de certificado. Quando terminar, o sistema se coneta ao servidor de gerenciamento de chaves com as credenciais inseridas. Em seguida, você pode criar grupos de volume ou pools habilitados para segurança ou habilitar a segurança em grupos de volumes e pools existentes.
Por que eu preciso definir uma frase-passe?
A frase-passe é usada para criptografar e descriptografar o arquivo de chave de segurança armazenado no cliente de gerenciamento local. Sem a frase-passe, a chave de segurança não pode ser descriptografada e usada para desbloquear dados de uma unidade habilitada para segurança se for reinstalada em outra matriz de armazenamento.
Por que é importante Registrar informações de chave de segurança?
Se você perder as informações da chave de segurança e não tiver um backup, poderá perder dados ao relocar unidades habilitadas ou atualizar um controlador. Você precisa da chave de segurança para desbloquear dados nas unidades.
Certifique-se de gravar o identificador da chave de segurança, a frase-passe associada e o local no host local onde o arquivo da chave de segurança foi salvo.
O que eu preciso saber antes de fazer backup de uma chave de segurança?
Se a chave de segurança original ficar corrompida e você não tiver um backup, perderá o acesso aos dados nas unidades se eles forem migrados de um storage array para outro.
Antes de fazer backup de uma chave de segurança, tenha em mente estas diretrizes:
-
Certifique-se de que conhece o identificador da chave de segurança e a frase-passe do ficheiro de chave original.
Somente chaves internas usam identificadores. Quando você criou o identificador, carateres adicionais foram gerados automaticamente e anexados a ambas as extremidades da cadeia de carateres do identificador. Os carateres gerados garantem que o identificador é exclusivo.
-
Você cria uma nova frase-passe para o backup. Essa frase-passe não precisa corresponder à frase-passe usada quando a chave original foi criada ou alterada pela última vez. A frase-passe é aplicada apenas ao backup que você está criando.
A frase-passe para o Drive Security não deve ser confundida com a senha de Administrador do storage. A frase-passe do Drive Security protege os backups de uma chave de segurança. A senha do administrador protege toda a matriz de armazenamento contra acesso não autorizado.
-
O arquivo de chave de segurança de backup é baixado para o seu cliente de gerenciamento. O caminho para o arquivo baixado pode depender do local de download padrão do seu navegador. Certifique-se de fazer um Registro de onde as informações da chave de segurança estão armazenadas.
O que eu preciso saber antes de desbloquear unidades seguras?
Para desbloquear os dados de uma unidade ativada de forma segura, tem de importar a respetiva chave de segurança.
Antes de desbloquear unidades seguras, tenha em mente as seguintes diretrizes:
-
O storage array já deve ter uma chave de segurança. As unidades migradas serão recodificadas para o storage de armazenamento de destino.
-
Para as unidades que você está migrando, você deve saber o identificador da chave de segurança e a frase-passe que corresponde ao arquivo da chave de segurança.
-
O arquivo da chave de segurança deve estar disponível no cliente de gerenciamento (o sistema com um navegador usado para acessar o System Manager).
-
Se estiver a repor uma unidade NVMe bloqueada, tem de introduzir a ID de segurança da unidade. Para localizar a ID de segurança, você deve remover fisicamente a unidade e encontrar a cadeia PSID (máximo de 32 carateres) na etiqueta da unidade. Certifique-se de que a unidade é reinstalada antes de iniciar a operação.
O que é acessibilidade de leitura/escrita?
A janela Configurações da unidade inclui informações sobre os atributos de segurança da unidade. "Leitura/gravação acessível" é um dos atributos que é exibido se os dados de uma unidade foram bloqueados.
Para exibir os atributos de segurança da unidade, vá para a página hardware. Selecione uma unidade, clique em View settings e, em seguida, clique em Show more settings (Mostrar mais definições). Na parte inferior da página, o valor do atributo leitura/gravação acessível é Sim quando a unidade é desbloqueada. O valor do atributo leitura/gravação acessível é não, chave de segurança inválida quando a unidade está bloqueada. Pode desbloquear uma unidade segura importando uma chave de segurança (aceda ao ).
O que eu preciso saber sobre a validação da chave de segurança?
Depois de criar uma chave de segurança, você deve validar o arquivo de chave para se certificar de que ele não está corrompido.
Se a validação falhar, faça o seguinte:
-
Se o identificador da chave de segurança não corresponder ao identificador no controlador, localize o ficheiro de chave de segurança correto e, em seguida, tente a validação novamente.
-
Se o controlador não conseguir desencriptar a chave de segurança para validação, poderá ter introduzido incorretamente a frase-passe. Verifique novamente a frase-passe, volte a introduzi-la, se necessário, e tente a validação novamente. Se a mensagem de erro aparecer novamente, selecione uma cópia de segurança do ficheiro de chave (se disponível) e volte a tentar a validação.
-
Se você ainda não conseguir validar a chave de segurança, o arquivo original pode estar corrompido. Crie um novo backup da chave e valide essa cópia.
Qual é a diferença entre a chave de segurança interna e o gerenciamento de chaves de segurança externas?
Ao implementar o recurso Segurança da unidade, você pode usar uma chave de segurança interna ou uma chave de segurança externa para bloquear dados quando uma unidade habilitada for removida do storage de armazenamento.
Uma chave de segurança é uma cadeia de carateres, que é compartilhada entre as unidades e controladores habilitados para segurança em um storage array. As chaves internas são mantidas na memória persistente do controlador. As chaves externas são mantidas em um servidor de gerenciamento de chaves separado, usando um KMIP (Key Management Interoperability Protocol).