Drive Security 功能在 SANtricity System Manager 中的運作方式
建議變更
PDF
Drive Security 是儲存陣列的功能,它透過全磁碟加密(FDE)磁碟機或聯邦資訊處理標準(FIPS)磁碟機提供額外的安全層。
當這些磁碟機與 Drive Security 功能搭配使用時,需要安全金鑰才能存取其資料。當磁碟機從陣列中實際移除時,必須將其安裝到另一個陣列中才能運作;安裝後,磁碟機將處於 Security Locked 狀態,直到提供正確的安全金鑰為止。
如何實作 Drive Security
若要實施 Drive Security,請執行下列步驟。
-
為您的儲存陣列配備具備安全功能的硬碟,可以是 FDE 硬碟或 FIPS 硬碟。(對於需要 FIPS 支援的磁碟區,請僅使用 FIPS 硬碟。在磁碟區群組或儲存池中混合使用 FIPS 和 FDE 硬碟會導致所有硬碟都視為 FDE 硬碟。此外,FDE 硬碟無法新增至全部為 FIPS 硬碟的磁碟區群組或儲存池中,也不能用作備用硬碟。)
-
建立安全金鑰,這是控制器和磁碟機共用以進行讀取/寫入存取的字元字串。您可以從控制器的持續性記憶體建立內部金鑰,也可以從金鑰管理伺服器建立外部金鑰。對於外部金鑰管理,必須與金鑰管理伺服器建立驗證。
-
為儲存池和磁碟區群組啟用磁碟機安全性:
-
建立池或磁碟區群組(在「候選對象」表格的 Secure-capable 欄中尋找 Yes )。
-
建立新磁碟區時、請選取資源池或磁碟區群組(在資源池和磁碟區群組候選表中、尋找 Secure-capable 旁的 Yes )。
-
Drive Security 在磁碟機層級的運作方式
具備安全功能的磁碟機,無論是 FDE 或 FIPS,都會在寫入時加密資料,並在讀取時解密資料。此加密和解密不會影響效能或使用者工作流程。每個磁碟機都有自己的唯一加密金鑰,該金鑰永遠無法從磁碟機傳輸出去。
Drive Security 功能為支援安全功能的磁碟機提供額外的保護層。當為這些磁碟機上的磁碟區群組或儲存池啟用 Drive Security 時,磁碟機會在允許存取資料之前檢查安全金鑰。您可以隨時為儲存池和磁碟區群組啟用 Drive Security,而不會影響磁碟機上的現有資料。但是,您無法在不擦除磁碟機上所有資料的情況下停用 Drive Security。
磁碟機安全性在儲存陣列層級的運作方式
透過 Drive Security 功能,您可以建立安全金鑰,該金鑰在儲存陣列中啟用安全功能的磁碟機和控制器之間共用。每次磁碟機斷電重新啟動後,啟用安全功能的磁碟機都會進入 Security Locked 狀態,直到控制器套用安全金鑰為止。
如果將啟用安全功能的磁碟機從儲存陣列移除並重新安裝到另一個儲存陣列中,該磁碟機將處於安全鎖定狀態。重新安裝的磁碟機會先尋找安全金鑰,然後才能再次存取資料。若要解鎖資料,您需要套用來源儲存陣列中的安全金鑰。成功解鎖後,重新安裝的磁碟機將使用目標儲存陣列中已儲存的安全金鑰,不再需要匯入的安全金鑰檔案。
|
對於內部金鑰管理,實際的安全金鑰儲存在控制器上一個無法存取的位置。它既不是人類可讀的格式,使用者也無法存取。 |
磁碟機安全性在磁碟區層級的運作方式
當您從支援安全功能的磁碟機建立儲存池或磁碟區群組時,也可以為這些儲存池或磁碟區群組啟用 Drive Security。Drive Security 選項會將磁碟機及其關聯的磁碟區群組和儲存池設定為安全_啟用_模式。
在建立啟用安全功能的磁碟區群組和儲存池之前,請牢記以下準則:
-
磁碟區組和儲存池必須完全由具備安全功能的磁碟機組成。(對於需要 FIPS 支援的磁碟區,請僅使用 FIPS 磁碟機。在磁碟區組或儲存池中混合使用 FIPS 和 FDE 磁碟機會導致所有磁碟機都視為 FDE 磁碟機。此外,FDE 磁碟機無法新增至全部為 FIPS 的磁碟區組或儲存池,也無法作為備用磁碟機。)
-
磁碟區群組和集區必須處於最佳狀態。