磁碟機安全功能的運作方式
磁碟機安全性是一項儲存陣列功能、可透過全磁碟加密(FDE)磁碟機或聯邦資訊處理標準(FIPS)磁碟機提供額外的安全層級。當這些磁碟機搭配磁碟機安全功能使用時、它們需要安全金鑰才能存取其資料。當磁碟機從陣列中實際移除時、除非安裝在另一個陣列中、否則無法運作、此時磁碟機將處於「安全性鎖定」狀態、直到提供正確的安全金鑰為止。
如何實作磁碟機安全性
若要實作磁碟機安全性、請執行下列步驟。
-
為您的儲存陣列配備可安全使用的磁碟機、包括FDE磁碟機或FIPS磁碟機。(對於需要FIPS支援的磁碟區、請僅使用FIPS磁碟機。在磁碟區群組或集區中混合使用FIPS和FDE磁碟機、將會將所有磁碟機視為FDE磁碟機。此外、FDE磁碟機無法新增至All FIPS Volume群組或Pool、也無法作為備援磁碟機使用。)
-
建立安全金鑰、這是控制器和磁碟機共用的字元字串、用於讀取/寫入存取。您可以從控制器的持續記憶體建立內部金鑰、或從金鑰管理伺服器建立外部金鑰。若要管理外部金鑰、必須使用金鑰管理伺服器建立驗證。
-
為集區和磁碟區群組啟用磁碟機安全性:
-
建立集區或磁碟區群組(請在候選資料表的「安全功能」欄中尋找*「是」)。
-
當您建立新的Volume時、請選取資源池或Volume群組(請在「資源池和Volume群組候選項目」表中、尋找「安全功能」旁邊的*「是*」)。
-
磁碟機安全性如何在磁碟機層級運作
具有安全功能的磁碟機(FDE或FIPS)會在寫入期間加密資料、並在讀取期間解密資料。此加密和解密不會影響效能或使用者工作流程。每個磁碟機都有其專屬的加密金鑰、永遠無法從磁碟機傳輸。
磁碟機安全功能可透過安全的磁碟機提供額外的保護層。當這些磁碟機上的磁碟區群組或集區被選為「磁碟機安全性」時、磁碟機會先尋找安全金鑰、然後才允許存取資料。您可以隨時為集區和磁碟區群組啟用磁碟機安全功能、而不會影響磁碟機上的現有資料。不過、您必須清除磁碟機上的所有資料、才能停用磁碟機安全性。
磁碟機安全性如何在儲存陣列層級運作
有了磁碟機安全功能、您就能建立安全金鑰、並在儲存陣列中啟用安全功能的磁碟機和控制器之間共用。只要關閉和開啟磁碟機的電源、安全啟用的磁碟機就會變更為安全鎖定狀態、直到控制器套用安全金鑰為止。
如果從儲存陣列移除啟用安全功能的磁碟機、然後重新安裝到不同的儲存陣列、磁碟機將會處於「安全性鎖定」狀態。重新定位的磁碟機會先尋找安全金鑰、然後才能再次存取資料。若要解除資料鎖定、請從來源儲存陣列套用安全金鑰。成功解除鎖定程序之後、重新定位的磁碟機會使用已儲存在目標儲存陣列中的安全金鑰、而且不再需要匯入的安全金鑰檔案。
對於內部金鑰管理、實際的安全金鑰會儲存在無法存取的控制器位置。它不是人類可讀的格式、也不是使用者可存取的格式。 |
磁碟機安全性如何在磁碟區層級運作
當您從具有安全功能的磁碟機建立集區或磁碟區群組時、也可以針對這些集區或磁碟區群組啟用「磁碟機安全性」。「磁碟機安全性」選項可讓磁碟機及相關的磁碟區群組和集區安全無虞、而且啟用安全無虞。
在建立啟用安全功能的Volume群組和集區之前、請務必記住下列準則:
-
Volume群組和集區必須完全由具有安全功能的磁碟機所組成。(對於需要FIPS支援的磁碟區、請僅使用FIPS磁碟機。在磁碟區群組或集區中混合使用FIPS和FDE磁碟機、將會將所有磁碟機視為FDE磁碟機。此外、FDE磁碟機無法新增至All FIPS Volume群組或Pool、也無法作為備援磁碟機使用。)
-
Volume群組和集區必須處於最佳狀態。