安全密钥管理的工作原理
在实施驱动器安全功能时、启用了安全保护的驱动器(FIPS或FDE)需要一个安全密钥才能进行数据访问。安全密钥是指这些类型的驱动器与存储阵列中的控制器之间共享的字符串。
无论何时关闭和打开驱动器的电源、启用了安全保护的驱动器都会变为安全锁定状态、直到控制器应用安全密钥为止。如果从存储阵列中删除启用了安全保护的驱动器、则该驱动器的数据将被锁定。在将驱动器重新安装到其他存储阵列中时、它会先查找安全密钥、然后再重新访问数据。要解锁数据、必须应用原始安全密钥。
您可以使用以下方法之一创建和管理安全密钥:
-
控制器永久性内存上的内部密钥管理。
-
外部密钥管理服务器上的外部密钥管理。
内部密钥管理
在控制器永久性内存的不可访问位置维护内部密钥并"`hidden`"。要实施内部密钥管理、请执行以下步骤:
-
在存储阵列中安装支持安全保护的驱动器。这些驱动器可以是全磁盘加密(Full Disk Encryption、FDE)驱动器或联邦信息处理标准(Federal Information Processing Standard、FIPS)驱动器。
-
确保已启用驱动器安全功能。如有必要、请联系您的存储供应商、了解有关启用驱动器安全功能的说明。
-
创建内部安全密钥、其中包括定义标识符和密码短语。标识符是与安全密钥关联的字符串、存储在控制器以及与该密钥关联的所有驱动器上。密码短语用于对安全密钥进行加密、以用于备份。要创建内部密钥、请转到菜单:设置[系统>安全密钥管理>创建内部密钥]。
安全密钥存储在控制器上的一个隐藏的不可访问位置。然后、您可以创建启用了安全保护的卷组或池、也可以对现有卷组和池启用安全性。
外部密钥管理
外部密钥使用密钥管理互操作性协议(Key Management Interoperability Protocol、KMIP)在单独的密钥管理服务器上进行维护。要实施外部密钥管理、请执行以下步骤:
-
在存储阵列中安装支持安全保护的驱动器。这些驱动器可以是全磁盘加密(Full Disk Encryption、FDE)驱动器或联邦信息处理标准(Federal Information Processing Standard、FIPS)驱动器。
-
确保已启用驱动器安全功能。如有必要、请联系您的存储供应商、了解有关启用驱动器安全功能的说明。
-
获取签名的客户端证书文件。客户端证书用于验证存储阵列的控制器、以便密钥管理服务器可以信任其KMIP请求。
-
首先、您需要完成并下载客户端证书签名请求(CSR)。转到菜单:设置[证书>密钥管理>完成CSR]。
-
接下来、您需要从密钥管理服务器信任的CA请求签名客户端证书。(您也可以使用CSR文件从密钥管理服务器创建和下载客户端证书。)
-
拥有客户端证书文件后、将该文件复制到要访问System Manager的主机。
-
或者、您也可以使用私有密钥对和公共密钥对在外部生成证书签名请求。
-
-
从密钥管理服务器检索证书文件、然后将该文件复制到要访问System Manager的主机。密钥管理服务器证书用于验证密钥管理服务器、以便存储阵列可以信任其IP地址。您可以对密钥管理服务器使用根证书、中间证书或服务器证书。
-
创建外部密钥、其中包括定义密钥管理服务器的IP地址以及用于KMIP通信的端口号。在此过程中、您还可以加载证书文件。要创建外部密钥、请转到菜单:设置[系统>安全密钥管理>创建外部密钥]。
系统将使用您输入的凭据连接到密钥管理服务器。然后、您可以创建启用了安全保护的卷组或池、也可以对现有卷组和池启用安全性。