磁碟區的資料完整性與資料安全性
您可以讓磁碟區使用資料保證(DA)功能和磁碟機安全功能。這些功能會顯示在System Manager的Pool和Volume群組層級。
資料保證
資料保證(DA)功能可提升整個儲存系統的資料完整性。DA可讓儲存陣列檢查資料在主機和磁碟機之間移動時可能發生的錯誤。啟用此功能時、儲存陣列會將錯誤檢查代碼(也稱為循環備援檢查或CRC)附加到磁碟區中的每個資料區塊。資料區塊移動之後、儲存陣列會使用這些CRC代碼來判斷傳輸期間是否發生任何錯誤。可能毀損的資料既不會寫入磁碟、也不會傳回主機。
如果您要使用DA功能、請在建立新磁碟區時選取具有DA功能的資源池或磁碟區群組(請在「資源池和磁碟區群組候選項目」表中尋找DA旁邊的* Yes *)。
請務必使用能夠執行DA的I/O介面、將這些啟用DA的磁碟區指派給主機。具備DA功能的I/O介面包括Fibre Channel、SAS、iSCSI over TCP/IP和iSER over InfiniBand(適用於RDMA/IB的iSCSI擴充功能)。SRP不支援DA over InfiniBand。
磁碟機安全性
磁碟機安全功能可防止在從儲存陣列移除時、未獲授權存取啟用安全功能之磁碟機上的資料。這些磁碟機可以是完整磁碟加密(FDE)磁碟機、也可以是通過認證符合美國聯邦資訊處理標準140-2第2級(FIPS磁碟機)的磁碟機。
磁碟機安全性如何在磁碟機層級運作
具有安全功能的磁碟機(FDE或FIPS)會在寫入期間加密資料、並在讀取期間解密資料。此加密和解密不會影響效能或使用者工作流程。每個磁碟機都有其專屬的加密金鑰、永遠無法從磁碟機傳輸。
磁碟機安全性如何在磁碟區層級運作
當您從具有安全功能的磁碟機建立集區或磁碟區群組時、也可以針對這些集區或磁碟區群組啟用「磁碟機安全性」。「磁碟機安全性」選項可讓磁碟機及相關的磁碟區群組和集區安全無虞、而且啟用安全無虞。集區或磁碟區群組可同時包含具有安全功能和不安全功能的磁碟機、但所有磁碟機必須具備安全功能、才能使用其加密功能。
如何實作磁碟機安全性
若要實作磁碟機安全性、請執行下列步驟。
-
為您的儲存陣列配備可安全使用的磁碟機、包括FDE磁碟機或FIPS磁碟機。(對於需要FIPS支援的磁碟區、請僅使用FIPS磁碟機。在磁碟區群組或集區中混合使用FIPS和FDE磁碟機、將會將所有磁碟機視為FDE磁碟機。此外、FDE磁碟機無法新增至All FIPS Volume群組或Pool、也無法作為備援磁碟機使用。)
-
建立安全金鑰、這是控制器和磁碟機共用的字元字串、用於讀取/寫入存取。您可以從控制器的持續記憶體建立內部金鑰、或從金鑰管理伺服器建立外部金鑰。若要管理外部金鑰、必須使用金鑰管理伺服器建立驗證。
-
為集區和磁碟區群組啟用磁碟機安全性:
-
建立集區或磁碟區群組(請在候選資料表的「安全功能」欄中尋找*「是」)。
-
當您建立新的Volume時、請選取資源池或Volume群組(請在「資源池和Volume群組候選項目」表中、尋找「安全功能」旁邊的*「是*」)。
-
有了磁碟機安全功能、您就能建立安全金鑰、並在儲存陣列中啟用安全功能的磁碟機和控制器之間共用。只要關閉和開啟磁碟機的電源、安全啟用的磁碟機就會變更為安全鎖定狀態、直到控制器套用安全金鑰為止。