驱动器安全功能的工作原理
驱动器安全性是一种存储阵列功能,可通过全磁盘加密( Full Disk Encryption , FDE )驱动器或联邦信息处理标准( Federal Information Processing Standard , FIPS )驱动器提供额外的安全层。如果将这些驱动器与驱动器安全功能结合使用,则需要使用安全密钥才能访问其数据。从阵列中物理删除驱动器后、这些驱动器将无法运行、直到将其安装到另一个阵列中为止、此时、这些驱动器将处于安全锁定状态、直到提供了正确的安全密钥为止。
如何实施驱动器安全性
要实施驱动器安全性、请执行以下步骤。
-
为存储阵列配备支持安全保护的驱动器、可以是FDE驱动器、也可以是FIPS驱动器。(对于需要FIPS支持的卷、请仅使用FIPS驱动器。在卷组或池中混用FIPS和FDE驱动器将导致所有驱动器被视为FDE驱动器。此外、FDE驱动器不能添加到纯FIPS卷组或池中或用作备用磁盘。)
-
创建一个安全密钥、该密钥是一个字符串、由控制器和驱动器共享、用于进行读/写访问。您可以从控制器的永久性内存创建内部密钥、也可以从密钥管理服务器创建外部密钥。对于外部密钥管理、必须使用密钥管理服务器建立身份验证。
-
为池和卷组启用驱动器安全性:
-
创建池或卷组(在候选项表的*安全功能*列中查找*是*)。
-
创建新卷时、请选择池或卷组(在Pool and volume group candidates表中、查找*安全功能*旁边的*是*)。
-
驱动器安全在驱动器级别的工作原理
支持安全的驱动器(FDE或FIPS)可在写入期间对数据进行加密、并在读取期间对数据进行解密。此加密和解密不会影响性能或用户工作流。每个驱动器都有自己唯一的加密密钥、永远不能从该驱动器传输该密钥。
驱动器安全功能可通过支持安全功能的驱动器提供额外的保护层。如果为驱动器安全选择了这些驱动器上的卷组或池、则这些驱动器会先查找安全密钥、然后再允许访问数据。您可以随时为池和卷组启用驱动器安全性、而不会影响驱动器上的现有数据。但是、如果不擦除驱动器上的所有数据、则无法禁用驱动器安全性。
驱动器安全性在存储阵列级别的工作原理
使用驱动器安全功能、您可以创建一个安全密钥、该安全密钥可在存储阵列中启用了安全保护的驱动器和控制器之间共享。无论何时关闭和打开驱动器的电源、启用了安全保护的驱动器都会变为安全锁定状态、直到控制器应用安全密钥为止。
如果从存储阵列中删除启用了安全保护的驱动器并将其重新安装在其他存储阵列中、则该驱动器将处于安全锁定状态。重新定位的驱动器会先查找安全密钥、然后再使数据可再次访问。要解锁数据、请应用源存储阵列中的安全密钥。成功解锁过程后、重新定位的驱动器将使用已存储在目标存储阵列中的安全密钥、并且不再需要导入的安全密钥文件。
对于内部密钥管理、实际安全密钥存储在控制器上不可访问的位置。它不是以人为可读的格式提供的、也不是用户可访问的格式。 |
驱动器安全在卷级别的工作原理
从支持安全的驱动器创建池或卷组时、您还可以为这些池或卷组启用驱动器安全性。"驱动器安全性"选项可确保驱动器以及关联的卷组和池的安全-enabled.
在创建启用了安全保护的卷组和池之前、请牢记以下准则:
-
卷组和池必须全部由具有安全功能的驱动器组成。(对于需要FIPS支持的卷、请仅使用FIPS驱动器。在卷组或池中混用FIPS和FDE驱动器将导致所有驱动器被视为FDE驱动器。此外、FDE驱动器不能添加到纯FIPS卷组或池中或用作备用磁盘。)
-
卷组和池必须处于最佳状态。