Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

O que eu preciso saber antes de criar uma chave de segurança?

Colaboradores

Uma chave de segurança é compartilhada por controladores e unidades habilitadas para proteger dentro de um storage array. Se uma unidade habilitada para segurança for removida do storage array, a chave de segurança protegerá os dados contra acesso não autorizado.

Você pode criar e gerenciar chaves de segurança usando um dos seguintes métodos:

  • Gerenciamento de chaves internas na memória persistente do controlador.

  • Gerenciamento de chaves externas em um servidor de gerenciamento de chaves externo.

Gerenciamento de chaves internas

As chaves internas são mantidas e "ocultas" em um local não acessível na memória persistente do controlador. Antes de criar uma chave de segurança interna, você deve fazer o seguinte:

  1. Instale unidades com capacidade segura no storage de armazenamento. Essas unidades podem ser unidades com criptografia total de disco (FDE) ou unidades FIPS (Federal Information Processing Standard).

  2. Certifique-se de que a funcionalidade de Segurança da unidade está ativada. Se necessário, entre em Contato com o fornecedor de armazenamento para obter instruções sobre como ativar o recurso Segurança da unidade.

Em seguida, você pode criar uma chave de segurança interna, que envolve a definição de um identificador e uma frase-passe. O identificador é uma cadeia de carateres associada à chave de segurança e é armazenada no controlador e em todas as unidades associadas à chave. A frase-passe é usada para criptografar a chave de segurança para fins de backup. Quando terminar, a chave de segurança é armazenada no controlador num local não acessível. Em seguida, você pode criar grupos de volume ou pools habilitados para segurança ou habilitar a segurança em grupos de volumes e pools existentes.

Gerenciamento de chaves externas

As chaves externas são mantidas em um servidor de gerenciamento de chaves separado, usando um KMIP (Key Management Interoperability Protocol). Antes de criar uma chave de segurança externa, você deve fazer o seguinte:

  1. Instale unidades com capacidade segura no storage de armazenamento. Essas unidades podem ser unidades com criptografia total de disco (FDE) ou unidades FIPS (Federal Information Processing Standard).

  2. Certifique-se de que a funcionalidade de Segurança da unidade está ativada. Se necessário, entre em Contato com o fornecedor de armazenamento para obter instruções sobre como ativar o recurso Segurança da unidade

  3. Obtenha um arquivo de certificado de cliente assinado. Um certificado de cliente valida os controladores do storage array, para que o servidor de gerenciamento de chaves possa confiar em suas solicitações KMIP.

    1. Primeiro, você conclui e faz o download de uma solicitação de assinatura de certificado de cliente (CSR). Aceda ao Definições  certificados  Gestão de chaves  CSR completo.

    2. Em seguida, você solicita um certificado de cliente assinado de uma CA confiável pelo servidor de gerenciamento de chaves. (Você também pode criar e baixar um certificado de cliente do servidor de gerenciamento de chaves usando o arquivo CSR baixado.)

    3. Depois de ter um arquivo de certificado de cliente, copie esse arquivo para o host onde você está acessando o System Manager.

  4. Recupere um arquivo de certificado do servidor de gerenciamento de chaves e copie esse arquivo para o host onde você está acessando o System Manager. Um certificado do servidor de gerenciamento de chaves valida o servidor de gerenciamento de chaves, de modo que o storage array possa confiar em seu endereço IP. Você pode usar um certificado raiz, intermediário ou servidor para o servidor de gerenciamento de chaves.

Em seguida, você pode criar uma chave externa, que envolve a definição do endereço IP do servidor de gerenciamento de chaves e o número da porta usada para comunicações KMIP. Durante esse processo, você também carrega arquivos de certificado. Quando terminar, o sistema se coneta ao servidor de gerenciamento de chaves com as credenciais inseridas. Em seguida, você pode criar grupos de volume ou pools habilitados para segurança ou habilitar a segurança em grupos de volumes e pools existentes.