Habilite o gerenciamento de chaves integradas no ONTAP 9.6 e posterior
Você pode usar o Gerenciador de chaves integrado para autenticar nós de cluster em uma unidade FIPS ou SED. O Gerenciador de chaves integrado é uma ferramenta integrada que serve chaves de autenticação para nós do mesmo sistema de storage que seus dados. O Gerenciador de chaves integrado é compatível com FIPS-140-2 nível 1.
Você pode usar o Gerenciador de chaves integrado para proteger as chaves que o cluster usa para acessar dados criptografados. É necessário habilitar o Gerenciador de chaves integrado em cada cluster que acessa um volume criptografado ou um disco com autocriptografia.
Você deve executar o security key-manager onboard enable
comando sempre que adicionar um nó ao cluster. Nas configurações do MetroCluster, você deve executar security key-manager onboard enable
primeiro no cluster local e, em seguida, executar security key-manager onboard sync
no cluster remoto, usando a mesma senha em cada um.
Por padrão, você não é obrigado a inserir a senha do gerenciador de chaves quando um nó é reinicializado. Exceto no MetroCluster, você pode usar a cc-mode-enabled=yes
opção para exigir que os usuários digitem a senha após uma reinicialização.
Quando o Gerenciador de chaves integrado está habilitado no modo Common Criteria (
|
O Gerenciador de chaves integrado armazena as chaves na memória volátil. O conteúdo da memória volátil é apagado quando o sistema é reinicializado ou interrompido. Em condições normais de funcionamento, o conteúdo da memória volátil será apagado dentro de 30sMB quando um sistema for interrompido. |
-
Se você estiver usando o NSE com um servidor de gerenciamento de chaves externas (KMIP), exclua o banco de dados do gerenciador de chaves externo.
-
Você deve ser um administrador de cluster para executar esta tarefa.
-
Você deve configurar o ambiente MetroCluster antes que o Gerenciador de chaves integrado seja configurado.
-
Inicie o comando de configuração do gerenciador de chaves:
security key-manager onboard enable -cc-mode-enabled yes|no
Defina cc-mode-enabled=yes
para exigir que os usuários inseram a senha do gerenciador de chaves após uma reinicialização. A- cc-mode-enabled
opção não é suportada nas configurações do MetroCluster. Osecurity key-manager onboard enable
comando substitui osecurity key-manager setup
comando.O exemplo a seguir inicia o comando de configuração do gerenciador de chaves no cluster1 sem exigir que a senha seja inserida após cada reinicialização:
cluster1::> security key-manager onboard enable Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
No prompt de frase-passe, insira uma frase-passe entre 32 e 256 carateres ou, para "cc-mode", uma frase-passe entre 64 e 256 carateres.
Se a senha "'cc-mode'" especificada for inferior a 64 carateres, haverá um atraso de cinco segundos antes que a operação de configuração do gerenciador de chaves exiba o prompt de senha novamente. -
No prompt de confirmação da senha, redigite a senha.
-
Verifique se as chaves de autenticação foram criadas:
security key-manager key query -node node
O security key-manager key query
comando substitui osecurity key-manager query key
comando. Para obter a sintaxe completa do comando, consulte a página man.O exemplo a seguir verifica se as chaves de autenticação foram criadas para
cluster1
:cluster1::> security key-manager key query Vserver: cluster1 Key Manager: onboard Node: node1 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node1 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000 Vserver: cluster1 Key Manager: onboard Node: node2 Key Tag Key Type Restored ------------------------------------ -------- -------- node1 NSE-AK yes Key ID: 000000000000000002000000000001000c11b3863f78c2273343d7ec5a67762e0000000000000000 node2 NSE-AK yes Key ID: 000000000000000002000000000001006f4e2513353a674305872a4c9f3bf7970000000000000000
Copie a senha para um local seguro fora do sistema de armazenamento para uso futuro.
Todas as informações de gerenciamento de chaves são automaticamente armazenadas no banco de dados replicado (RDB) para o cluster. Você também deve fazer backup das informações manualmente para uso em caso de desastre.