Habilite o gerenciamento de chaves integradas no ONTAP 9.6 e posterior (NVE)
Você pode usar o Gerenciador de chaves integrado para proteger as chaves que o cluster usa para acessar dados criptografados. É necessário ativar o Gerenciador de chaves integrado em cada cluster que acessa um volume criptografado ou um disco com autocriptografia.
Você deve executar o security key-manager onboard sync
comando sempre que adicionar um nó ao cluster.
Se você tiver uma configuração do MetroCluster, deverá executar primeiro o security key-manager onboard enable
comando no cluster local e, em seguida, executar o security key-manager onboard sync
comando no cluster remoto, usando a mesma senha em cada um. Ao executar o security key-manager onboard enable
comando a partir do cluster local e depois sincronizar no cluster remoto, não é necessário executar o enable
comando novamente a partir do cluster remoto.
Por padrão, você não é obrigado a inserir a senha do gerenciador de chaves quando um nó é reinicializado. Pode utilizar a cc-mode-enabled=yes
opção para exigir que os utilizadores introduzam a frase-passe após uma reinicialização.
Para NVE, se você definir cc-mode-enabled=yes`o , os volumes criados com os `volume create
comandos e volume move start
serão criptografados automaticamente. Para volume create
, não é necessário especificar -encrypt true
. Para volume move start
, não é necessário especificar -encrypt-destination true
.
Ao configurar a criptografia de dados em repouso do ONTAP, para atender aos requisitos de soluções comerciais para classificação (CSfC), você deve usar o NSE com NVE e garantir que o Gerenciador de chaves integrado esteja habilitado no modo critérios comuns. Consulte a "Resumo da solução CSfC"para obter mais informações sobre o CSfC.
Quando o Gerenciador de chaves integrado está habilitado no modo Common Criteria (
|
O Gerenciador de chaves integrado armazena as chaves na memória volátil. O conteúdo da memória volátil é apagado quando o sistema é reinicializado ou interrompido. Em condições normais de funcionamento, o conteúdo da memória volátil será apagado dentro de 30sMB quando um sistema for interrompido. |
-
Você deve ser um administrador de cluster para executar esta tarefa.
-
Você deve configurar o ambiente MetroCluster antes de configurar o Gerenciador de chaves integrado.
-
Inicie a configuração do gerenciador de chaves:
security key-manager onboard enable -cc-mode-enabled yes|no
Defina
cc-mode-enabled=yes
para exigir que os usuários inseram a senha do gerenciador de chaves após uma reinicialização. Para NVE, se você definircc-mode-enabled=yes`o , os volumes criados com os `volume create
comandos evolume move start
serão criptografados automaticamente. A- cc-mode-enabled
opção não é suportada nas configurações do MetroCluster. Osecurity key-manager onboard enable
comando substitui osecurity key-manager setup
comando.O exemplo a seguir inicia o comando de configuração do gerenciador de chaves no cluster1 sem exigir que a senha seja inserida após cada reinicialização:
cluster1::> security key-manager onboard enable Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1":: <32..256 ASCII characters long text> Reenter the cluster-wide passphrase: <32..256 ASCII characters long text>
-
No prompt de frase-passe, insira uma frase-passe entre 32 e 256 carateres ou, para "cc-mode", uma frase-passe entre 64 e 256 carateres.
Se a senha "'cc-mode'" especificada for inferior a 64 carateres, haverá um atraso de cinco segundos antes que a operação de configuração do gerenciador de chaves exiba o prompt de senha novamente.
-
No prompt de confirmação da senha, redigite a senha.
-
Verifique se as chaves de autenticação foram criadas:
security key-manager key query -key-type NSE-AK
O
security key-manager key query
comando substitui osecurity key-manager query key
comando. Para obter a sintaxe completa do comando, consulte a página man.O exemplo a seguir verifica se as chaves de autenticação foram criadas para
cluster1
:cluster1::> security key-manager key query -key-type NSE-AK Node: node1 Vserver: cluster1 Key Manager: onboard Key Manager Type: OKM Key Manager Policy: - Key Tag Key Type Encryption Restored ------------------------------------ -------- ------------ -------- node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000 node1 NSE-AK AES-256 true Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000 2 entries were displayed.
-
Opcionalmente, converta volumes de texto simples em volumes criptografados.
volume encryption conversion start
O Gerenciador de chaves integrado deve estar totalmente configurado antes de converter os volumes. Em um ambiente MetroCluster, o Gerenciador de chaves integrado deve ser configurado em ambos os sites.
Copie a senha para um local seguro fora do sistema de armazenamento para uso futuro.
Sempre que você configurar a senha do Gerenciador de chaves integrado, você também deve fazer backup das informações manualmente para um local seguro fora do sistema de armazenamento para uso em caso de desastre. "Faça backup manual das informações de gerenciamento de chaves integradas"Consulte .