Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Habilite o gerenciamento de chaves integradas no ONTAP 9.6 e posterior (NVE)

Colaboradores

Você pode usar o Gerenciador de chaves integrado para proteger as chaves que o cluster usa para acessar dados criptografados. É necessário ativar o Gerenciador de chaves integrado em cada cluster que acessa um volume criptografado ou um disco com autocriptografia.

Sobre esta tarefa

Você deve executar o security key-manager onboard sync comando sempre que adicionar um nó ao cluster.

Se você tiver uma configuração do MetroCluster, deverá executar primeiro o security key-manager onboard enable comando no cluster local e, em seguida, executar o security key-manager onboard sync comando no cluster remoto, usando a mesma senha em cada um. Ao executar o security key-manager onboard enable comando a partir do cluster local e depois sincronizar no cluster remoto, não é necessário executar o enable comando novamente a partir do cluster remoto.

Por padrão, você não é obrigado a inserir a senha do gerenciador de chaves quando um nó é reinicializado. Pode utilizar a cc-mode-enabled=yes opção para exigir que os utilizadores introduzam a frase-passe após uma reinicialização.

Para NVE, se você definir cc-mode-enabled=yes`o , os volumes criados com os `volume create comandos e volume move start serão criptografados automaticamente. Para volume create, não é necessário especificar -encrypt true. Para volume move start, não é necessário especificar -encrypt-destination true.

Ao configurar a criptografia de dados em repouso do ONTAP, para atender aos requisitos de soluções comerciais para classificação (CSfC), você deve usar o NSE com NVE e garantir que o Gerenciador de chaves integrado esteja habilitado no modo critérios comuns. Consulte a "Resumo da solução CSfC"para obter mais informações sobre o CSfC.

Observação

Quando o Gerenciador de chaves integrado está habilitado no modo Common Criteria (cc-mode-enabled=yes), o comportamento do sistema é alterado das seguintes maneiras:

  • O sistema monitoriza as tentativas consecutivas de frase-passe do cluster falhadas ao funcionar no modo Common Criteria (critérios comuns).

    Se não conseguir introduzir a frase-passe correta do cluster no arranque, os volumes encriptados não são montados. Para corrigir isso, você deve reinicializar o nó e inserir a senha correta do cluster. Uma vez iniciado, o sistema permite até 5 tentativas consecutivas para inserir corretamente a senha do cluster em um período de 24 horas para qualquer comando que exija a senha do cluster como um parâmetro. Se o limite for atingido (por exemplo, você não conseguiu inserir corretamente a senha do cluster 5 vezes em uma linha), então você deve esperar o período de tempo limite de 24 horas para decorrer, ou você deve reiniciar o nó, a fim de redefinir o limite.

  • As atualizações de imagem do sistema usam o certificado de assinatura de código NetApp RSA-3072 juntamente com os digests assinados por código SHA-384 para verificar a integridade da imagem em vez do certificado de assinatura de código NetApp RSA-2048 usual e os digests assinados por código SHA-256.

    O comando upgrade verifica se o conteúdo da imagem não foi alterado ou corrompido verificando várias assinaturas digitais. O processo de atualização da imagem prossegue para o próximo passo se a validação for bem-sucedida; caso contrário, a atualização da imagem falhará. Consulte a cluster image página de manual para obter informações sobre atualizações do sistema.

Observação O Gerenciador de chaves integrado armazena as chaves na memória volátil. O conteúdo da memória volátil é apagado quando o sistema é reinicializado ou interrompido. Em condições normais de funcionamento, o conteúdo da memória volátil será apagado dentro de 30sMB quando um sistema for interrompido.
Antes de começar
  • Você deve ser um administrador de cluster para executar esta tarefa.

  • Você deve configurar o ambiente MetroCluster antes de configurar o Gerenciador de chaves integrado.

Passos
  1. Inicie a configuração do gerenciador de chaves:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Observação

    Defina cc-mode-enabled=yes para exigir que os usuários inseram a senha do gerenciador de chaves após uma reinicialização. Para NVE, se você definir cc-mode-enabled=yes`o , os volumes criados com os `volume create comandos e volume move start serão criptografados automaticamente. A - cc-mode-enabled opção não é suportada nas configurações do MetroCluster. O security key-manager onboard enable comando substitui o security key-manager setup comando.

    O exemplo a seguir inicia o comando de configuração do gerenciador de chaves no cluster1 sem exigir que a senha seja inserida após cada reinicialização:

    cluster1::> security key-manager onboard enable
    
    Enter the cluster-wide passphrase for onboard key management in Vserver "cluster1"::    <32..256 ASCII characters long text>
    Reenter the cluster-wide passphrase:    <32..256 ASCII characters long text>
  2. No prompt de frase-passe, insira uma frase-passe entre 32 e 256 carateres ou, para "cc-mode", uma frase-passe entre 64 e 256 carateres.

    Observação

    Se a senha "'cc-mode'" especificada for inferior a 64 carateres, haverá um atraso de cinco segundos antes que a operação de configuração do gerenciador de chaves exiba o prompt de senha novamente.

  3. No prompt de confirmação da senha, redigite a senha.

  4. Verifique se as chaves de autenticação foram criadas:

    security key-manager key query -key-type NSE-AK

    Observação

    O security key-manager key query comando substitui o security key-manager query key comando. Para obter a sintaxe completa do comando, consulte a página man.

    O exemplo a seguir verifica se as chaves de autenticação foram criadas para cluster1:

    cluster1::> security key-manager key query -key-type NSE-AK
                   Node: node1
                Vserver: cluster1
            Key Manager: onboard
       Key Manager Type: OKM
     Key Manager Policy: -
    
     Key Tag                               Key Type Encryption   Restored
    
    ------------------------------------  -------- ------------ --------
    
    node1                                 NSE-AK   AES-256      true
    
        Key ID: 00000000000000000200000000000100056178fc6ace6d91472df8a9286daacc0000000000000000
    
    node1                                 NSE-AK   AES-256      true
    
        Key ID: 00000000000000000200000000000100df1689a148fdfbf9c2b198ef974d0baa0000000000000000
    
    2 entries were displayed.
  5. Opcionalmente, converta volumes de texto simples em volumes criptografados.

    volume encryption conversion start

    O Gerenciador de chaves integrado deve estar totalmente configurado antes de converter os volumes. Em um ambiente MetroCluster, o Gerenciador de chaves integrado deve ser configurado em ambos os sites.

Depois de terminar

Copie a senha para um local seguro fora do sistema de armazenamento para uso futuro.

Sempre que você configurar a senha do Gerenciador de chaves integrado, você também deve fazer backup das informações manualmente para um local seguro fora do sistema de armazenamento para uso em caso de desastre. "Faça backup manual das informações de gerenciamento de chaves integradas"Consulte .