Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Retornar uma unidade FIPS ou SED ao modo desprotegido no ONTAP

Colaboradores netapp-ahibbard netapp-bhouser netapp-aherbin
PDFs

Uma unidade FIPS ou SED é protegida contra acesso não autorizado somente se o ID da chave de autenticação para o nó estiver definido para um valor diferente do padrão. Você pode retornar uma unidade FIPS ou SED para o modo desprotegido usando o storage encryption disk modify comando para definir o ID da chave como padrão. Uma unidade FIPS ou SED no modo desprotegido usa as chaves de criptografia padrão, enquanto uma unidade FIPS ou SED no modo protegido usa chaves de criptografia secretas fornecidas. Se houver dados criptografados na unidade e a unidade for redefinida para o modo desprotegido, os dados ainda serão criptografados e não serão expostos.

Observação Siga este procedimento para garantir que todos os dados criptografados fiquem inacessíveis após a unidade FIPS ou SED retornar ao modo desprotegido. Uma vez que o FIPS e os IDs de chave de dados são redefinidos, qualquer dado existente não pode ser descriptografado e fica inacessível.

Se um par de HA estiver usando a criptografia de unidades SAS ou NVMe (SED, NSE, FIPS), siga este processo para todas as unidades dentro do par de HA antes de inicializar o sistema (opções de inicialização 4 ou 9). Se não fizer isso, poderá resultar em perda de dados futura se as unidades forem reaproveitadas.

Antes de começar

Você deve ser um administrador de cluster para executar esta tarefa.

Passos

  1. Defina o nível de privilégio como avançado:

    set -privilege advanced

  2. Se uma unidade FIPS estiver em execução no modo de conformidade com FIPS, defina o ID da chave de autenticação FIPS para o nó novamente para o MSID padrão 0x0:

    storage encryption disk modify -disk disk_id -fips-key-id 0x0

    Você pode usar o security key-manager query comando para exibir IDs de chave.

    cluster1::> storage encryption disk modify -disk 2.10.11 -fips-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    Confirme a operação com sucesso com o comando:

    storage encryption disk show-status

    Repita o comando show-status até que os números em "discos iniciados" e "discos concluídos" sejam os mesmos.

    cluster1:: storage encryption disk show-status

            FIPS    Latest   Start               Execution   Disks   Disks Disks
Node        Support Request  Timestamp           Time (sec)  Begun   Done  Successful
-------     ------- -------- ------------------  ---------- ------ ------  ----------
cluster1    true    modify   1/18/2022 15:29:38    3           14     5         5
1 entry was displayed.

  3. Defina o ID da chave de autenticação de dados para o nó de volta para o MSID padrão 0x0:

    storage encryption disk modify -disk disk_id -data-key-id 0x0

    O valor de -data-key-id deve ser definido como 0x0 se você estiver retornando uma unidade SAS ou NVMe para o modo desprotegido.

    Você pode usar o security key-manager query comando para exibir IDs de chave.

    cluster1::> storage encryption disk modify -disk 2.10.11 -data-key-id 0x0

Info: Starting modify on 14 disks.
      View the status of the operation by using the
      storage encryption disk show-status command.

    Confirme a operação com sucesso com o comando:

    storage encryption disk show-status

    Repita o comando show-status até que os números sejam os mesmos. A operação é concluída quando os números em "discos iniciados" e "discos concluídos" são os mesmos.

Modo de manutenção

Começando com ONTAP 9.7, você pode rechavear uma unidade FIPS a partir do modo de manutenção. Você só deve usar o modo de manutenção se não puder usar as instruções da CLI do ONTAP na seção anterior.

Passos

  1. Defina o ID da chave de autenticação FIPS para o nó de volta para o MSID padrão 0x0:

    disk encrypt rekey_fips 0x0 disklist

  2. Defina o ID da chave de autenticação de dados para o nó de volta para o MSID padrão 0x0:

    disk encrypt rekey 0x0 disklist

  3. Confirme se a chave de autenticação FIPS foi rekeyed com êxito:

    disk encrypt show_fips

  4. Confirmar chave de autenticação de dados foi rekeyed com sucesso com:

    disk encrypt show

    Sua saída provavelmente exibirá o ID de chave padrão MSID 0x0 ou o valor de 64 carateres mantido pelo servidor de chaves. O Locked? campo refere-se ao bloqueio de dados.

Disk       FIPS Key ID                 Locked?
---------- --------------------------- -------
0a.01.0    0x0                          Yes