Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Habilite o gerenciamento de chaves integradas no ONTAP 9.6 e posterior

Colaboradores netapp-aaron-holt netapp-barbe netapp-ahibbard netapp-dbagwell netapp-aoife netapp-thomi netapp-aherbin
PDFs

Você pode usar o Gerenciador de chaves integrado para autenticar nós de cluster em uma unidade FIPS ou SED. O Gerenciador de chaves integrado é uma ferramenta integrada que serve chaves de autenticação para nós do mesmo sistema de storage que seus dados. O Gerenciador de chaves integrado é compatível com FIPS-140-2 nível 1.

Você pode usar o Gerenciador de chaves integrado para proteger as chaves que o cluster usa para acessar dados criptografados. É necessário habilitar o Gerenciador de chaves integrado em cada cluster que acessa um volume criptografado ou um disco com autocriptografia.

Sobre esta tarefa

Você deve executar o security key-manager onboard enable comando sempre que adicionar um nó ao cluster. Nas configurações do MetroCluster, você deve executar security key-manager onboard enable primeiro no cluster local e, em seguida, executar security key-manager onboard sync no cluster remoto, usando a mesma senha em cada um.

Saiba mais sobre security key-manager onboard enable e security key-manager onboard sync no"Referência do comando ONTAP" .

Por padrão, você não é obrigado a inserir a senha do gerenciador de chaves quando um nó é reinicializado. Exceto no MetroCluster, você pode usar a cc-mode-enabled=yes opção para exigir que os usuários digitem a senha após uma reinicialização.

Observação

Quando o Gerenciador de chaves integrado está habilitado no modo Common Criteria (cc-mode-enabled=yes), o comportamento do sistema é alterado das seguintes maneiras:

  • O sistema monitoriza as tentativas consecutivas de frase-passe do cluster falhadas ao funcionar no modo Common Criteria (critérios comuns).

    Se a encriptação de armazenamento NetApp (NSE) estiver ativada e não conseguir introduzir a frase-passe correta do cluster no arranque, o sistema não pode autenticar-se nas suas unidades e reinicia automaticamente. Para corrigir isso, você deve inserir a senha correta do cluster no prompt de inicialização. Uma vez iniciado, o sistema permite até 5 tentativas consecutivas para inserir corretamente a senha do cluster em um período de 24 horas para qualquer comando que exija a senha do cluster como um parâmetro. Se o limite for atingido (por exemplo, você não conseguiu inserir corretamente a senha do cluster 5 vezes em uma linha), então você deve esperar o período de tempo limite de 24 horas para decorrer, ou você deve reiniciar o nó, a fim de redefinir o limite.

  • As atualizações de imagem do sistema usam o certificado de assinatura de código NetApp RSA-3072 juntamente com os digests assinados por código SHA-384 para verificar a integridade da imagem em vez do certificado de assinatura de código NetApp RSA-2048 usual e os digests assinados por código SHA-256.

    O comando de atualização verifica se o conteúdo da imagem não foi alterado ou corrompido, verificando várias assinaturas digitais. Se a validação funcionar, a atualização da imagem vai para a próxima etapa. Se a validação não funcionar, a atualização da imagem falhará. Saiba mais sobre cluster image no"Referência do comando ONTAP" .
Observação O Gerenciador de chaves integrado armazena as chaves na memória volátil. O conteúdo da memória volátil é apagado quando o sistema é reinicializado ou interrompido. Em condições normais de funcionamento, o conteúdo da memória volátil será apagado dentro de 30sMB quando um sistema for interrompido.
Antes de começar
Passos

  1. Inicie o comando de configuração do gerenciador de chaves:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Observação Defina cc-mode-enabled=yes para exigir que os usuários inseram a senha do gerenciador de chaves após uma reinicialização. A - cc-mode-enabled opção não é suportada nas configurações do MetroCluster. O security key-manager onboard enable comando substitui o security key-manager setup comando.

    O exemplo a seguir inicia o comando de configuração do gerenciador de chaves no cluster1 sem exigir que a senha seja inserida após cada reinicialização:

  2. Digite uma senha entre 32 e 256 caracteres ou, para “cc-mode”, uma senha entre 64 e 256 caracteres.

    Observação Se a senha "'cc-mode'" especificada for inferior a 64 carateres, haverá um atraso de cinco segundos antes que a operação de configuração do gerenciador de chaves exiba o prompt de senha novamente.

  3. No prompt de confirmação da senha, redigite a senha.

  4. Verifique se o sistema cria as chaves de autenticação:

    security key-manager key query -node node

    Observação O security key-manager key query comando substitui o security key-manager query key comando.

    Saiba mais sobre security key-manager key query o "Referência do comando ONTAP"na .

Depois de terminar

Copie a senha para um local seguro fora do sistema de armazenamento para uso futuro.

O sistema faz backup automaticamente das principais informações de gerenciamento no banco de dados replicado (RDB) do cluster. Você também deve fazer backup dessas informações manualmente para recuperação de desastres.

Informações relacionadas