SANtricity System Manager 中安全密钥管理的工作原理
建议更改
PDF
当您实施驱动器安全功能时,启用安全的驱动器(FIPS 或 FDE)需要安全密钥才能访问数据。安全密钥是在这些类型的驱动器和存储阵列中的控制器之间共享的一串字符。
每当关闭和打开驱动器的电源时,启用安全的驱动器将变为安全锁定状态,直到控制器应用安全密钥。如果从存储阵列中删除了启用安全的驱动器,则该驱动器的数据将被锁定。当驱动器重新安装在不同的存储阵列中时,它会在重新访问数据之前查找安全密钥。要解锁数据,您必须应用原始安全密钥。
您可以使用以下方法之一创建和管理安全密钥:
-
控制器持久内存上的内部密钥管理。
-
外部密钥管理服务器上的外部密钥管理。
内部密钥管理
内部密钥被维护并"`hidden`"在控制器永久内存上的不可访问位置。要实施内部密钥管理,请执行以下步骤:
-
在存储阵列中安装具有安全功能的驱动器。这些驱动器可以是全磁盘加密 (FDE) 驱动器或联邦信息处理标准 (FIPS) 驱动器。
-
确保已启用 Drive Security 功能。如有必要,请联系您的存储供应商,以获取有关启用 Drive Security 功能的说明。
-
创建内部安全密钥,其中包括定义标识符和通行短语。标识符是与安全密钥关联的字符串,存储在控制器和与密钥关联的所有驱动器上。密码短语用于加密安全密钥以进行备份。要创建内部密钥,请转到菜单:设置[系统 > 安全密钥管理 > 创建内部密钥]。
安全密钥存储在控制器上的隐藏且不可访问的位置。然后,您可以创建启用安全的卷组或池,也可以在现有卷组和池上启用安全性。
外部密钥管理
外部密钥使用密钥管理互操作性协议 (KMIP) 在单独的密钥管理服务器上进行维护。要实施外部密钥管理,请执行以下步骤:
-
在存储阵列中安装具有安全功能的驱动器。这些驱动器可以是全磁盘加密 (FDE) 驱动器或联邦信息处理标准 (FIPS) 驱动器。
-
确保已启用 Drive Security 功能。如有必要,请联系您的存储供应商,以获取有关启用 Drive Security 功能的说明。
-
获取已签名的客户端证书文件。客户端证书验证存储阵列的控制器,以便密钥管理服务器可以信任其 KMIP 请求。
-
首先,完成并下载客户端证书签名请求 (CSR)。进入菜单:Settings[Certificates > Key Management > Complete CSR]。
-
接下来,向受密钥管理服务器信任的 CA 请求签名的客户端证书。(您还可以使用 CSR 文件从密钥管理服务器创建和下载客户端证书。)
-
获得客户端证书文件后,将该文件复制到访问 System Manager 的主机。
-
或者,您可以使用私钥和公钥对在外部生成证书签名请求。
-
-
从密钥管理服务器检索证书文件,然后将该文件复制到您正在访问 System Manager 的主机。密钥管理服务器证书验证密钥管理服务器,因此存储阵列可以信任其 IP 地址。您可以为密钥管理服务器使用根证书、中间证书或服务器证书。
-
创建外部密钥,其中涉及定义密钥管理服务器的 IP 地址以及用于 KMIP 通信的端口号。在此过程中,您还会加载证书文件。要创建外部密钥,请转到菜单:Settings[System > Security key management > Create External Key]。
系统使用您输入的凭据连接到密钥管理服务器。然后,您可以创建启用安全的卷组或池,也可以对现有卷组和池启用安全性。