Habilite o gerenciamento de chaves integradas no ONTAP 9.5 e versões anteriores
Sugerir alterações
PDFs
Você pode usar o Gerenciador de chaves integrado para autenticar nós de cluster em uma unidade FIPS ou SED. O Gerenciador de chaves integrado é uma ferramenta integrada que serve chaves de autenticação para nós do mesmo sistema de storage que seus dados. O Gerenciador de chaves integrado é compatível com FIPS-140-2 nível 1.
Você pode usar o Onboard Key Manager para proteger as chaves que o cluster usa para acessar dados criptografados. Habilite o Onboard Key Manager em cada cluster que acessa volumes criptografados ou discos autocriptografados.
Você deve executar o security key-manager setup comando sempre que adicionar um nó ao cluster.
Se você tiver uma configuração do MetroCluster, revise estas diretrizes:
-
No ONTAP 9.5, você deve executar
security key-manager setupno cluster local esecurity key-manager setup -sync-metrocluster-config yesno cluster remoto, usando a mesma senha em cada um. -
Antes do ONTAP 9.5, você deve executar
security key-manager setupno cluster local, esperar aproximadamente 20 segundos e, em seguida, executarsecurity key-manager setupno cluster remoto, usando a mesma senha em cada um.
Por padrão, você não é obrigado a inserir a senha do gerenciador de chaves quando um nó é reinicializado. A partir do ONTAP 9.4, pode utilizar a -enable-cc-mode yes opção para exigir que os utilizadores introduzam a frase-passe após uma reinicialização.
Para NVE, se você definir -enable-cc-mode yes`o , os volumes criados com os `volume create comandos e volume move start serão criptografados automaticamente. Para volume create, não é necessário especificar -encrypt true. Para volume move start, não é necessário especificar -encrypt-destination true.
|
Depois de uma tentativa de frase-passe com falha, tem de reiniciar o nó novamente. |
-
Se você estiver usando o NSE com um servidor de gerenciamento de chaves externas (KMIP), exclua o banco de dados do gerenciador de chaves externas.
-
Você deve ser um administrador de cluster para executar esta tarefa.
-
Configure o ambiente MetroCluster antes de configurar o Onboard Key Manager.
-
Inicie a configuração do gerenciador de chaves:
security key-manager setup -enable-cc-mode yes|no
A partir do ONTAP 9.4, pode utilizar a -enable-cc-mode yesopção para exigir que os utilizadores introduzam a frase-passe do gestor de chaves após uma reinicialização. Para NVE, se você definir-enable-cc-mode yes`o , os volumes criados com os `volume createcomandos evolume move startserão criptografados automaticamente.O exemplo a seguir inicia a configuração do gerenciador de chaves no cluster1 sem exigir que a senha seja inserida após cada reinicialização:
cluster1::> security key-manager setup Welcome to the key manager setup wizard, which will lead you through the steps to add boot information. ... Would you like to use onboard key-management? {yes, no} [yes]: Enter the cluster-wide passphrase: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text> -
Digite
yesno prompt para configurar o gerenciamento de chaves integradas. -
No prompt de frase-passe, insira uma frase-passe entre 32 e 256 carateres ou, para "cc-mode", uma frase-passe entre 64 e 256 carateres.
Se a senha "'cc-mode'" especificada for inferior a 64 carateres, haverá um atraso de cinco segundos antes que a operação de configuração do gerenciador de chaves exiba o prompt de senha novamente. -
No prompt de confirmação da senha, redigite a senha.
-
Verifique se as chaves estão configuradas para todos os nós:
security key-manager show-key-storeSaiba mais sobre
security key-manager show-key-storeno"Referência do comando ONTAP" .cluster1::> security key-manager show-key-store Node: node1 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK Node: node2 Key Store: onboard Key ID Used By ---------------------------------------------------------------- -------- <id_value> NSE-AK <id_value> NSE-AK
O ONTAP faz backup automático das informações de gerenciamento de chaves no banco de dados replicado (RDB) do cluster.
Depois de configurar a senha do Onboard Key Manager, faça backup manualmente das informações em um local seguro fora do sistema de armazenamento. Ver"Faça backup manual das informações de gerenciamento de chaves integradas" .