Skip to main content
SANtricity software
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

SANtricity System Manager 的儲存磁碟機安全性常見問題解答

PDF

如果您只是想快速找到某個問題的答案,此常見問題解答可能會有所幫助。

建立安全金鑰之前我需要了解哪些資訊?

儲存陣列中的控制器和啟用安全功能的磁碟機共用一個安全性金鑰。如果從儲存陣列移除啟用安全功能的磁碟機,安全性金鑰將保護資料免受未經授權的存取。

您可以使用下列其中一種方法來建立和管理安全性金鑰:

  • 控制器持續性記憶體上的內部金鑰管理。

  • 外部金鑰管理伺服器上的外部金鑰管理。

內部金鑰管理

內部金鑰保存在控制器持久記憶體中一個無法存取的位置,並且是「hidden」的。在建立內部安全金鑰之前,必須執行以下操作:

  1. 在儲存陣列中安裝具備安全功能的磁碟機。這些磁碟機可以是 Full Disk Encryption (FDE) 磁碟機或 Federal Information Processing Standard (FIPS) 磁碟機。

  2. 請確保已啟用磁碟機安全功能。如有必要,請聯絡您的儲存供應商,以取得啟用磁碟機安全功能的說明。

然後,您可以建立內部安全性金鑰,這需要定義一個識別碼和一個密碼短語。識別碼是一個與安全性金鑰關聯的字串,儲存在控制器以及與該金鑰關聯的所有磁碟機上。密碼短語用於加密安全性金鑰以進行備份。完成後,安全性金鑰將儲存在控制器上一個不可存取的位置。之後,您可以建立啟用安全功能的磁碟區群組或儲存池,也可以為現有磁碟區群組和儲存池啟用安全功能。

外部金鑰管理

外部金鑰保存在獨立的金鑰管理伺服器上,並使用金鑰管理互通協定(KMIP)。在建立外部安全性金鑰之前,必須執行以下操作:

  1. 在儲存陣列中安裝具備安全功能的磁碟機。這些磁碟機可以是 Full Disk Encryption (FDE) 磁碟機或 Federal Information Processing Standard (FIPS) 磁碟機。

  2. 請確保已啟用磁碟機安全功能。如有必要,請聯絡您的儲存供應商,以取得啟用磁碟機安全功能的說明。

  3. 取得已簽署的用戶端憑證檔案。用戶端憑證用於驗證儲存陣列的控制器,以便金鑰管理伺服器可以信任其 KMIP 請求。

    1. 首先,您需要填寫並下載用戶端 Certificate Signing Request(CSR)。進入選單:Settings[Certificates > Key Management > Complete CSR]。

    2. 接下來,您需要向金鑰管理伺服器信任的憑證授權單位(CA)要求簽署用戶端憑證。(您也可以使用下載的 CSR 檔案從金鑰管理伺服器建立並下載用戶端憑證。)

    3. 取得用戶端憑證檔案後,將該檔案複製到您存取 System Manager 的主機上。

  4. 從金鑰管理伺服器檢索憑證檔案,然後將該檔案複製到您存取 System Manager 的主機。金鑰管理伺服器憑證用於驗證金鑰管理伺服器,以便儲存陣列可以信任其 IP 位址。您可以為金鑰管理伺服器使用根憑證、中間憑證或伺服器憑證。

然後,您可以建立外部金鑰,這需要定義金鑰管理伺服器的 IP 位址和用於 KMIP 通訊的連接埠號碼。在此過程中,您還需要載入憑證檔案。完成後,系統將使用您輸入的憑證連線到金鑰管理伺服器。之後,您可以建立啟用安全功能的 Volume 群組或集區,也可以為現有 Volume 群組和集區啟用安全功能。

為什麼需要定義密碼短語?

密碼短語用於加密和解密儲存在本機管理用戶端上的安全金鑰檔案。如果沒有密碼短語,即使將啟用了安全功能的磁碟機重新安裝到另一個儲存陣列中,也無法解密安全金鑰並使用該金鑰解鎖其中的資料。

為什麼記錄安全金鑰資訊很重要?

如果您遺失了安全金鑰資訊且沒有備份,則在遷移啟用安全功能的磁碟機或升級控制器時可能會遺失資料。您需要安全金鑰才能解鎖磁碟機上的資料。

請務必記錄安全金鑰識別碼、相關的通關密語,以及安全金鑰檔案在本機主機上的儲存位置。

備份安全金鑰前我需要了解哪些資訊?

如果您的原始安全金鑰損壞且您沒有備份,則當磁碟機從一個儲存陣列遷移到另一個儲存陣列時,您將無法存取磁碟機上的資料。

備份安全金鑰前,請牢記以下準則:

  • 請確保您知道原始金鑰檔案的安全金鑰識別碼和密碼短語。

    註

    只有內部金鑰使用識別碼。建立識別碼時,系統會自動產生額外的字元並附加到識別碼字串的兩端。產生的字元可確保識別碼是唯一的。

  • 您需要為備份建立一個新的密碼短語。此密碼短語無需與建立或上次更改原始密鑰時使用的密碼短語相同。該密碼短語僅適用於您正在建立的備份。

    註

    Drive Security 的通關密碼不應與儲存陣列的 Administrator 密碼混淆。Drive Security 的通關密碼可保護安全金鑰的備份。Administrator 密碼可保護整個儲存陣列、避免未獲授權的存取。

  • 備份安全金鑰檔案已下載到您的管理用戶端。下載檔案的路徑可能取決於您瀏覽器的預設下載位置。請務必記錄您的安全金鑰資訊的儲存位置。

解鎖安全磁碟機之前,我需要瞭解哪些資訊?

若要解鎖已啟用安全功能的磁碟機中的資料,您必須匯入其安全金鑰。

在解鎖啟用安全功能的磁碟機之前、請記住以下準則:

  • 儲存陣列必須已具備安全金鑰。遷移的磁碟機將重新配置金鑰至目標儲存陣列。

  • 對於要遷移的磁碟機,您必須知道安全金鑰識別碼和與安全金鑰檔案對應的密碼。

  • 安全金鑰檔案必須存在於管理用戶端(用於存取 System Manager 的具有瀏覽器的系統)上。

  • 如果您要重設已鎖定的 NVMe 硬碟,則必須輸入硬碟的安全 ID。若要尋找安全 ID,您必須實際移除硬碟,並在硬碟標籤上找到 PSID 字串(最多 32 個字元)。請確保在開始操作之前重新安裝硬碟。

什麼是讀取 / 寫入存取能力?

「 Drive Settings 」視窗包含有關 Drive Security 屬性的資訊。「 Read/Write Accessible 」是其中一個屬性,用於顯示磁碟機資料是否已被鎖定。

若要檢視 Drive Security 屬性,請前往「硬體」頁面。選取磁碟機、按一下 View settings、然後按一下 Show more settings。在頁面底部,當磁碟機解鎖時、Read/Write Accessible 屬性值為 Yes。當磁碟機鎖定時、Read/Write Accessible 屬性值為 No, invalid security key。您可以匯入安全金鑰來解除鎖定安全磁碟機(前往功能表:Settings[System > Unlock Secure Drives])。

關於驗證安全金鑰,我需要了解哪些資訊?

建立安全金鑰後、您應該驗證金鑰檔案、以確保其未毀損。

如果驗證失敗,請執行下列操作:

  • 如果安全金鑰識別碼與控制器上的識別碼不符,請找到正確的安全金鑰檔案,然後再次嘗試驗證。

  • 如果控制器無法解密安全性金鑰進行驗證,則可能是您輸入的密碼短語有誤。請仔細檢查密碼短語,如有必要,請重新輸入,然後再次嘗試驗證。如果仍然出現錯誤訊息,請選擇金鑰檔案的備份(如有),然後再次嘗試驗證。

  • 如果仍然無法驗證安全金鑰,則原始檔案可能已損壞。建立金鑰的新備份並驗證該副本。

內部安全金鑰與外部安全金鑰管理之間有什麼區別?

當您實作 Drive Security 功能時,可以使用內部安全性金鑰或外部安全性金鑰在從儲存陣列移除啟用安全功能的磁碟機時鎖定資料。

安全金鑰是一串字元,在儲存陣列中啟用安全功能的磁碟機和控制器之間共用。內部金鑰保存在控制器的持續性記憶體中。外部金鑰則使用 Key Management Interoperability Protocol (KMIP) 保存在單獨的金鑰管理伺服器上。