Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Habilitar o gerenciamento de chaves integrado para NVE no ONTAP 9.6 e posterior

Colaboradores netapp-barbe netapp-aoife netapp-aaron-holt netapp-aherbin netapp-ahibbard netapp-thomi netapp-bhouser netapp-dbagwell
PDFs

Você pode usar o Gerenciador de chaves integrado para proteger as chaves que o cluster usa para acessar dados criptografados. É necessário ativar o Gerenciador de chaves integrado em cada cluster que acessa um volume criptografado ou um disco com autocriptografia.

Sobre esta tarefa

Você deve executar o security key-manager onboard sync comando sempre que adicionar um nó ao cluster.

Se você tiver uma configuração do MetroCluster, deverá executar primeiro o security key-manager onboard enable comando no cluster local e, em seguida, executar o security key-manager onboard sync comando no cluster remoto, usando a mesma senha em cada um. Ao executar o security key-manager onboard enable comando a partir do cluster local e depois sincronizar no cluster remoto, não é necessário executar o enable comando novamente a partir do cluster remoto.

Saiba mais sobre security key-manager onboard enable e security key-manager onboard sync no"Referência do comando ONTAP" .

Por padrão, você não é obrigado a inserir a senha do gerenciador de chaves quando um nó é reinicializado. Pode utilizar a cc-mode-enabled=yes opção para exigir que os utilizadores introduzam a frase-passe após uma reinicialização.

Para NVE, se você definir cc-mode-enabled=yes`o , os volumes criados com os `volume create comandos e volume move start serão criptografados automaticamente. Para volume create, não é necessário especificar -encrypt true. Para volume move start, não é necessário especificar -encrypt-destination true.

Ao configurar a criptografia de dados em repouso do ONTAP , para atender aos requisitos de Soluções Comerciais para Classificados (CSfC), você deve usar o NSE com o NVE e garantir que o Onboard Key Manager esteja habilitado no modo Common Criteria. Ver"Resumo da solução CSfC" .

Observação

Quando o Gerenciador de chaves integrado está habilitado no modo Common Criteria (cc-mode-enabled=yes), o comportamento do sistema é alterado das seguintes maneiras:

  • O sistema monitoriza as tentativas consecutivas de frase-passe do cluster falhadas ao funcionar no modo Common Criteria (critérios comuns).

    Se você não digitar a senha do cluster 5 vezes, aguarde 24 horas ou reinicie o nó para redefinir o limite.

  • As atualizações de imagem do sistema usam o certificado de assinatura de código NetApp RSA-3072 juntamente com os digests assinados por código SHA-384 para verificar a integridade da imagem em vez do certificado de assinatura de código NetApp RSA-2048 usual e os digests assinados por código SHA-256.

    O comando de atualização verifica se o conteúdo da imagem não foi alterado ou corrompido, verificando várias assinaturas digitais. O sistema prossegue para a próxima etapa no processo de atualização da imagem se a validação for bem-sucedida; caso contrário, a atualização da imagem falha. Saiba mais sobre cluster image no"Referência do comando ONTAP" .
Observação O Onboard Key Manager armazena chaves na memória volátil. O conteúdo da memória volátil é limpo quando o sistema é reinicializado ou interrompido. O sistema limpa a memória volátil em 30 segundos quando é interrompido.
Antes de começar

  • Você deve ser um administrador de cluster para executar esta tarefa.

  • Você deve configurar o ambiente MetroCluster antes de configurar o Gerenciador de chaves integrado.

Passos

  1. Inicie a configuração do gerenciador de chaves:

    security key-manager onboard enable -cc-mode-enabled yes|no

    Observação

    Defina cc-mode-enabled=yes para exigir que os usuários inseram a senha do gerenciador de chaves após uma reinicialização. Para NVE, se você definir cc-mode-enabled=yes`o , os volumes criados com os `volume create comandos e volume move start serão criptografados automaticamente. A - cc-mode-enabled opção não é suportada nas configurações do MetroCluster. O security key-manager onboard enable comando substitui o security key-manager setup comando.

  2. Digite uma senha entre 32 e 256 caracteres ou, para “cc-mode”, uma senha entre 64 e 256 caracteres.

    Observação

    Se a senha "'cc-mode'" especificada for inferior a 64 carateres, haverá um atraso de cinco segundos antes que a operação de configuração do gerenciador de chaves exiba o prompt de senha novamente.

  3. No prompt de confirmação da senha, redigite a senha.

  4. Verifique se as chaves de autenticação foram criadas:

    security key-manager key query -key-type NSE-AK

    Observação

    O security key-manager key query comando substitui o security key-manager query key comando.

    Saiba mais sobre security key-manager key query o "Referência do comando ONTAP"na .

  5. Opcionalmente, você pode converter volumes de texto simples em volumes criptografados.

    volume encryption conversion start

    O Gerenciador de chaves integrado deve estar totalmente configurado antes de converter os volumes. Em um ambiente MetroCluster, o Gerenciador de chaves integrado deve ser configurado em ambos os sites.

Depois de terminar

Copie a senha para um local seguro fora do sistema de armazenamento para uso futuro.

Depois de configurar a senha do Onboard Key Manager, faça backup manualmente das informações em um local seguro fora do sistema de armazenamento. Ver"Faça backup manual das informações de gerenciamento de chaves integradas" .

Informações relacionadas