Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

安全金鑰管理的運作方式

貢獻者

當您實作磁碟機安全功能時、啟用安全功能的磁碟機(FIPS或FDE)需要安全金鑰才能存取資料。安全金鑰是一串字元、可在這些類型的磁碟機和儲存陣列中的控制器之間共用。

只要關閉和開啟磁碟機的電源、安全啟用的磁碟機就會變更為安全鎖定狀態、直到控制器套用安全金鑰為止。如果從儲存陣列中移除啟用安全功能的磁碟機、則磁碟機的資料會被鎖定。當磁碟機重新安裝在不同的儲存陣列中時、它會先尋找安全金鑰、然後再讓資料再次存取。若要解除資料鎖定、您必須套用原始的安全金鑰。

您可以使用下列其中一種方法來建立及管理安全性金鑰:

  • 控制器持續記憶體的內部金鑰管理。

  • 外部金鑰管理伺服器上的外部金鑰管理。

內部金鑰管理

內部金鑰會保留在控制器的持續記憶體上。若要實作內部金鑰管理、請執行下列步驟:

  1. 在儲存陣列中安裝具有安全功能的磁碟機。這些磁碟機可以是全磁碟加密(FDE)磁碟機、也可以是聯邦資訊處理標準(FIPS)磁碟機。

  2. 確定磁碟機安全功能已啟用。如有必要、請聯絡您的儲存設備廠商、以取得啟用磁碟機安全功能的指示。

  3. 建立內部安全金鑰、其中包括定義識別碼和密碼。識別碼是與安全金鑰相關聯的字串、儲存在控制器和與金鑰相關聯的所有磁碟機上。密碼用於加密安全金鑰以供備份之用。若要建立內部金鑰、請前往功能表:設定[系統>安全金鑰管理>建立內部金鑰]。

安全金鑰儲存在無法存取的控制器位置。然後您可以建立啟用安全功能的Volume群組或集區、或是在現有的Volume群組和集區上啟用安全功能。

外部金鑰管理

外部金鑰是使用金鑰管理互通性傳輸協定(KMIP)、在獨立的金鑰管理伺服器上維護。若要實作外部金鑰管理、請執行下列步驟:

  1. 在儲存陣列中安裝具有安全功能的磁碟機。這些磁碟機可以是全磁碟加密(FDE)磁碟機、也可以是聯邦資訊處理標準(FIPS)磁碟機。

  2. 確定磁碟機安全功能已啟用。如有必要、請聯絡您的儲存設備廠商、以取得啟用磁碟機安全功能的指示。

  3. 完成並下載用戶端憑證簽署要求(CSR)、以便在儲存陣列與金鑰管理伺服器之間進行驗證。前往功能表:設定[憑證>金鑰管理>完整的CSR ]。

  4. 使用下載的CSR檔案、從金鑰管理伺服器建立及下載用戶端憑證。

  5. 請確定本機主機上有可用的用戶端憑證和金鑰管理伺服器的憑證複本。

  6. 建立外部金鑰、包括定義金鑰管理伺服器的IP位址、以及KMIP通訊所使用的連接埠號碼。在此過程中、您也會載入憑證檔案。若要建立外部金鑰、請移至功能表:設定[系統>安全金鑰管理>建立外部金鑰]。

系統會以您輸入的認證資料連線至金鑰管理伺服器。然後您可以建立啟用安全功能的Volume群組或集區、或是在現有的Volume群組和集區上啟用安全功能。