了解 SANtricity 软件中卷的数据完整性和数据安全性
建议更改
PDF
您可以启用卷以使用 Data Assurance (DA) 功能和 Drive Security 功能。这些功能在池和卷组级别呈现。
数据保障
数据保障 (DA) 实施 T10 Protection Information (PI) 标准,该标准通过检查和纠正沿 I/O 路径传输数据时可能发生的错误来提高数据完整性。数据保障功能的典型使用将检查控制器和驱动器之间的 I/O 路径部分。DA 功能在池和卷组级别呈现。
启用此功能后,存储阵列会将错误检查代码(也称为循环冗余检查或 CRC)附加到卷中的每个数据块。移动数据块后,存储阵列使用这些 CRC 代码来确定在传输过程中是否发生任何错误。潜在损坏的数据既不会写入磁盘,也不会返回到主机。如果要使用 DA 功能,请在创建新卷时选择支持 DA 的池或卷组(在池和卷组候选表中的"DA"旁边查找"是")。
驱动器安全
驱动器安全是一项功能,可防止在从存储阵列中移除时对启用安全功能的驱动器上的数据进行未经授权的访问。这些驱动器可以是全磁盘加密 (FDE) 驱动器,也可以是经认证符合联邦信息处理标准 140-2 级别 2 (FIPS 驱动器) 的驱动器。
Drive Security 在驱动器级别的工作原理
具有安全功能的驱动器(FDE 或 FIPS)在写入期间对数据进行加密,在读取期间对数据进行解密。此加密和解密不会影响性能或用户工作流程。每个驱动器都有自己独特的加密密钥,永远无法从驱动器传输。
Drive Security 在卷级别的工作原理
从支持安全的驱动器创建池或卷组时,还可以为这些池或卷组启用驱动器安全。驱动器安全选项使驱动器以及关联的卷组和池安全-已启用。池或卷组可以同时包含具有安全功能和不具有安全功能的驱动器,但所有驱动器都必须具有安全功能才能使用其加密功能。
如何实施驱动器安全
要实现驱动器安全,请执行以下步骤。
-
为您的存储阵列配备支持安全的驱动器,无论是 FDE 驱动器还是 FIPS 驱动器。(对于需要 FIPS 支持的卷,仅使用 FIPS 驱动器。在卷组或池中混合 FIPS 和 FDE 驱动器将导致所有驱动器被视为 FDE 驱动器。此外,FDE 驱动器不能添加到全 FIPS 卷组或池中或用作备用驱动器。)
-
创建一个安全密钥,它是控制器和驱动器共享的字符串,用于读/写访问。您可以从控制器的持久内存创建内部密钥,也可以从密钥管理服务器创建外部密钥。对于外部密钥管理,必须与密钥管理服务器建立身份验证。
-
为池和卷组启用驱动器安全:
-
创建池或卷组(在 Candidates 表中的 Secure-capable 列中查找 Yes)。
-
在创建新卷时选择池或卷组(在池和卷组候选项表中的 Secure-capable 旁边查找 Yes)。
使用 Drive Security 功能,您可以创建在存储阵列中启用安全的驱动器和控制器之间共享的安全密钥。每当关闭和打开驱动器的电源时,启用安全的驱动器都会变为 Security Locked 状态,直到控制器应用安全密钥为止。
-