Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Como funciona o gerenciamento de chaves de segurança

Colaboradores

Quando você implementa o recurso Segurança da unidade, as unidades habilitadas para segurança (FIPS ou FDE) exigem uma chave de segurança para acesso aos dados. Uma chave de segurança é uma cadeia de carateres que é compartilhada entre esses tipos de unidades e os controladores em um storage array.

Sempre que a alimentação das unidades é desligada e ligada, as unidades ativadas por segurança mudam para um estado de Segurança bloqueada até que o controlador aplique a chave de segurança. Se uma unidade habilitada para segurança for removida da matriz de armazenamento, os dados da unidade serão bloqueados. Quando a unidade é reinstalada em uma matriz de armazenamento diferente, ela procura a chave de segurança antes de tornar os dados acessíveis novamente. Para desbloquear os dados, tem de aplicar a chave de segurança original.

Você pode criar e gerenciar chaves de segurança usando um dos seguintes métodos:

  • Gerenciamento de chaves internas na memória persistente do controlador.

  • Gerenciamento de chaves externas em um servidor de gerenciamento de chaves externo.

Gerenciamento de chaves internas

As chaves internas são mantidas e "ocultas" em um local não acessível na memória persistente do controlador. Para implementar o gerenciamento de chaves internas, execute as seguintes etapas:

  1. Instale unidades com capacidade segura no storage de armazenamento. Essas unidades podem ser unidades com criptografia total de disco (FDE) ou unidades FIPS (Federal Information Processing Standard).

  2. Certifique-se de que a funcionalidade de Segurança da unidade está ativada. Se necessário, entre em Contato com o fornecedor de armazenamento para obter instruções sobre como ativar o recurso Segurança da unidade.

  3. Crie uma chave de segurança interna, que envolve a definição de um identificador e uma frase-passe. O identificador é uma cadeia de carateres associada à chave de segurança e é armazenada no controlador e em todas as unidades associadas à chave. A frase-passe é usada para criptografar a chave de segurança para fins de backup. Para criar uma chave interna, aceda ao Definições  sistema  Gestão da chave de segurança  criar chave interna.

A chave de segurança é armazenada no controlador num local oculto e não acessível. Em seguida, você pode criar grupos de volume ou pools habilitados para segurança ou habilitar a segurança em grupos de volumes e pools existentes.

Gerenciamento de chaves externas

As chaves externas são mantidas em um servidor de gerenciamento de chaves separado, usando um KMIP (Key Management Interoperability Protocol). Para implementar o gerenciamento de chaves externas, execute as seguintes etapas:

  1. Instale unidades com capacidade segura no storage de armazenamento. Essas unidades podem ser unidades com criptografia total de disco (FDE) ou unidades FIPS (Federal Information Processing Standard).

  2. Certifique-se de que a funcionalidade de Segurança da unidade está ativada. Se necessário, entre em Contato com o fornecedor de armazenamento para obter instruções sobre como ativar o recurso Segurança da unidade.

  3. Obtenha um arquivo de certificado de cliente assinado. Um certificado de cliente valida os controladores do storage array, para que o servidor de gerenciamento de chaves possa confiar em suas solicitações KMIP.

    1. Primeiro, você conclui e faz o download de uma solicitação de assinatura de certificado de cliente (CSR). Aceda ao Definições  certificados  Gestão de chaves  CSR completo.

    2. Em seguida, você solicita um certificado de cliente assinado de uma CA confiável pelo servidor de gerenciamento de chaves. (Você também pode criar e baixar um certificado de cliente a partir do servidor de gerenciamento de chaves usando o arquivo CSR.)

    3. Depois de ter um arquivo de certificado de cliente, copie esse arquivo para o host onde você está acessando o System Manager.

    4. Como alternativa, você pode gerar uma solicitação de assinatura de certificado externamente usando um par de chaves privadas e públicas.

  4. Recupere um arquivo de certificado do servidor de gerenciamento de chaves e copie esse arquivo para o host onde você está acessando o System Manager. Um certificado do servidor de gerenciamento de chaves valida o servidor de gerenciamento de chaves, de modo que o storage array possa confiar em seu endereço IP. Você pode usar um certificado raiz, intermediário ou servidor para o servidor de gerenciamento de chaves.

  5. Crie uma chave externa, que envolve definir o endereço IP do servidor de gerenciamento de chaves e o número da porta usada para comunicações KMIP. Durante esse processo, você também carrega arquivos de certificado. Para criar uma chave externa, aceda ao Definições  sistema  Gestão da chave de segurança  criar chave externa.

O sistema se coneta ao servidor de gerenciamento de chaves com as credenciais inseridas. Em seguida, você pode criar grupos de volume ou pools habilitados para segurança ou habilitar a segurança em grupos de volumes e pools existentes.