紧急粉碎FIPS驱动器或SED上的数据
建议更改
PDF
在发生安全紧急情况时,您可以立即阻止访问 FIPS 驱动器或 SED ,即使存储系统或 KMIP 服务器没有电源也是如此。
-
如果您使用的 KMIP 服务器没有电源,则必须为 KMIP 服务器配置一个易于销毁的身份验证项(例如,智能卡或 USB 驱动器)。
-
您必须是集群管理员才能执行此任务。
-
对 FIPS 驱动器或 SED 上的数据执行紧急粉碎:
条件
那么 …
存储系统已通电,您有时间使存储系统正常脱机
-
如果存储系统配置为 HA 对,请禁用接管。
-
使所有聚合脱机并将其删除。
-
将权限级别设置为高级:
set -privilege advanced -
如果驱动器处于 FIPS 兼容模式,请将节点的 FIPS 身份验证密钥 ID 重新设置为默认 MSID :
storage encryption disk modify -disk * -fips-key-id 0x0 -
暂停存储系统。
-
启动至维护模式:
-
清理或销毁磁盘:
-
如果要使磁盘上的数据无法访问、并且仍然能够重复使用这些磁盘、请清理这些磁盘:
disk encrypt sanitize -all -
如果要使磁盘上的数据无法访问、并且不需要保存磁盘、请销毁磁盘:
disk encrypt destroy disk_id1 disk_id2 …
。 disk encrypt sanitize和disk encrypt destroy命令仅保留用于维护模式。这些命令必须在每个 HA 节点上运行,并且不适用于损坏的磁盘。 -
-
对配对节点重复上述步骤。 这会使存储系统处于永久禁用状态,并擦除所有数据。要再次使用系统,必须重新配置它。
存储系统已通电,您必须立即粉碎数据
-
* 如果要使磁盘上的数据无法访问且仍能重复使用这些磁盘,请清理磁盘: *
-
如果存储系统配置为 HA 对,请禁用接管。
-
将权限级别设置为高级:
set -privilege advanced -
如果驱动器处于 FIPS 兼容模式,请将节点的 FIPS 身份验证密钥 ID 重新设置为默认 MSID :
storage encryption disk modify -disk * -fips-key-id 0x0 -
清理磁盘:
storage encryption disk sanitize -disk * -force-all-states true
-
* 如果要使磁盘上的数据无法访问,并且不需要保存磁盘,请销毁磁盘: *
-
如果存储系统配置为 HA 对,请禁用接管。
-
将权限级别设置为高级:
set -privilege advanced -
销毁磁盘:
storage encryption disk destroy -disk * -force-all-states true
存储系统崩溃,使系统处于永久禁用状态,并擦除所有数据。要再次使用系统,必须重新配置它。
KMIP 服务器可以通电,但存储系统不能通电
-
登录到KMIP服务器。
-
销毁与包含要阻止访问的数据的 FIPS 驱动器或 SED 关联的所有密钥。 这样会阻止存储系统访问磁盘加密密钥。
KMIP 服务器或存储系统不能通电
有关完整的命令语法,请参见手册页。
-