安全密钥管理的工作原理
在实施驱动器安全功能时、启用了安全保护的驱动器(FIPS或FDE)需要一个安全密钥才能进行数据访问。安全密钥是指这些类型的驱动器与存储阵列中的控制器之间共享的字符串。
无论何时关闭和打开驱动器的电源、启用了安全保护的驱动器都会变为安全锁定状态、直到控制器应用安全密钥为止。如果从存储阵列中删除启用了安全保护的驱动器、则该驱动器的数据将被锁定。在将驱动器重新安装到其他存储阵列中时、它会先查找安全密钥、然后再重新访问数据。要解锁数据、必须应用原始安全密钥。
您可以使用以下方法之一创建和管理安全密钥:
-
控制器永久性内存上的内部密钥管理。
-
外部密钥管理服务器上的外部密钥管理。
内部密钥管理
内部密钥会保留在控制器的永久性内存上。要实施内部密钥管理、请执行以下步骤:
-
在存储阵列中安装支持安全保护的驱动器。这些驱动器可以是全磁盘加密(Full Disk Encryption、FDE)驱动器或联邦信息处理标准(Federal Information Processing Standard、FIPS)驱动器。
-
确保已启用驱动器安全功能。如有必要、请联系您的存储供应商、了解有关启用驱动器安全功能的说明。
-
创建内部安全密钥、其中包括定义标识符和密码短语。标识符是与安全密钥关联的字符串、存储在控制器以及与该密钥关联的所有驱动器上。密码短语用于对安全密钥进行加密、以用于备份。要创建内部密钥、请转到菜单:设置[系统>安全密钥管理>创建内部密钥]。
安全密钥存储在控制器上的不可访问位置。然后、您可以创建启用了安全保护的卷组或池、也可以对现有卷组和池启用安全性。
外部密钥管理
外部密钥使用密钥管理互操作性协议(Key Management Interoperability Protocol、KMIP)在单独的密钥管理服务器上进行维护。要实施外部密钥管理、请执行以下步骤:
-
在存储阵列中安装支持安全保护的驱动器。这些驱动器可以是全磁盘加密(Full Disk Encryption、FDE)驱动器或联邦信息处理标准(Federal Information Processing Standard、FIPS)驱动器。
-
确保已启用驱动器安全功能。如有必要、请联系您的存储供应商、了解有关启用驱动器安全功能的说明。
-
完成并下载用于在存储阵列和密钥管理服务器之间进行身份验证的客户端证书签名请求(CSR)。转到菜单:设置[证书>密钥管理>完成CSR]。
-
使用下载的CSR文件从密钥管理服务器创建并下载客户端证书。
-
确保您的本地主机上具有密钥管理服务器的客户端证书和证书副本。
-
创建外部密钥、其中包括定义密钥管理服务器的IP地址以及用于KMIP通信的端口号。在此过程中、您还可以加载证书文件。要创建外部密钥、请转到菜单:设置[系统>安全密钥管理>创建外部密钥]。
系统将使用您输入的凭据连接到密钥管理服务器。然后、您可以创建启用了安全保护的卷组或池、也可以对现有卷组和池启用安全性。