Skip to main content
SANtricity software
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

SANtricity System Manager 儲存驅動器安全性常見問題解答

PDF

如果您只是想要快速回答問題、這個常見問題集就能幫上忙。

在建立安全金鑰之前、我需要知道什麼?

安全金鑰由儲存陣列內的控制器和啟用安全功能的磁碟機共用。如果從儲存陣列中移除啟用安全功能的磁碟機、安全金鑰會保護資料免於未經授權的存取。

您可以使用下列其中一種方法來建立及管理安全性金鑰:

  • 控制器持續記憶體的內部金鑰管理。

  • 外部金鑰管理伺服器上的外部金鑰管理。

內部金鑰管理

內部金鑰會在控制器的持續記憶體上的不可存取位置進行維護和「隱藏」。在建立內部安全金鑰之前、您必須執行下列動作:

  1. 在儲存陣列中安裝具有安全功能的磁碟機。這些磁碟機可以是全磁碟加密(FDE)磁碟機、也可以是聯邦資訊處理標準(FIPS)磁碟機。

  2. 確定磁碟機安全功能已啟用。如有必要、請聯絡您的儲存設備廠商、以取得啟用磁碟機安全功能的指示。

然後您可以建立內部安全金鑰、其中包括定義識別碼和密碼。識別碼是與安全金鑰相關聯的字串、儲存在控制器和與金鑰相關聯的所有磁碟機上。密碼用於加密安全金鑰以供備份之用。完成後、安全金鑰會儲存在無法存取的控制器位置。然後您可以建立啟用安全功能的Volume群組或集區、或是在現有的Volume群組和集區上啟用安全功能。

外部金鑰管理

外部金鑰是使用金鑰管理互通性傳輸協定(KMIP)、在獨立的金鑰管理伺服器上維護。在建立外部安全金鑰之前、您必須執行下列動作:

  1. 在儲存陣列中安裝具有安全功能的磁碟機。這些磁碟機可以是全磁碟加密(FDE)磁碟機、也可以是聯邦資訊處理標準(FIPS)磁碟機。

  2. 確定磁碟機安全功能已啟用。如有必要、請聯絡您的儲存設備廠商、以取得啟用磁碟機安全功能的指示。

  3. 取得已簽署的用戶端憑證檔案。用戶端憑證會驗證儲存陣列的控制器、因此金鑰管理伺服器可以信任其KMIP要求。

    1. 首先、您必須完成並下載用戶端憑證簽署要求(CSR)。前往功能表:設定[憑證>金鑰管理>完整的CSR ]。

    2. 接下來、您會向金鑰管理伺服器信任的CA要求已簽署的用戶端憑證。(您也可以使用下載的CSR檔案、從金鑰管理伺服器建立及下載用戶端憑證。)

    3. 擁有用戶端憑證檔案之後、請將該檔案複製到您要存取System Manager的主機。

  4. 從金鑰管理伺服器擷取憑證檔案、然後將該檔案複製到您正在存取System Manager的主機。金鑰管理伺服器憑證會驗證金鑰管理伺服器、因此儲存陣列可以信任其IP位址。您可以將根、中繼或伺服器憑證用於金鑰管理伺服器。

然後您可以建立外部金鑰、其中包括定義金鑰管理伺服器的IP位址、以及KMIP通訊所使用的連接埠號碼。在此過程中、您也會載入憑證檔案。完成後、系統會以您輸入的認證資料連線至金鑰管理伺服器。然後您可以建立啟用安全功能的Volume群組或集區、或是在現有的Volume群組和集區上啟用安全功能。

為什麼我需要定義密碼?

密碼用於加密及解密儲存在本機管理用戶端上的安全金鑰檔案。如果安全金鑰重新安裝在另一個儲存陣列中、則沒有密碼、就無法解密安全金鑰、也無法用來解除鎖定已啟用安全功能的磁碟機中的資料。

為何務必記錄安全金鑰資訊?

如果您遺失安全金鑰資訊且沒有備份、則在重新部署啟用安全功能的磁碟機或升級控制器時、可能會遺失資料。您需要安全金鑰才能解除鎖定磁碟機上的資料。

請務必記錄安全金鑰識別碼、關聯的密碼、以及安全金鑰檔案儲存所在的本機主機位置。

備份安全金鑰之前、我需要知道什麼?

如果您的原始安全金鑰毀損、而且您沒有備份、則當磁碟機從一個儲存陣列移轉到另一個儲存陣列時、您將無法存取這些資料。

在備份安全金鑰之前、請謹記下列準則:

  • 請確定您知道原始金鑰檔的安全金鑰識別碼和密碼。

    註

    只有內部金鑰使用識別碼。當您建立識別碼時、會自動產生其他字元、並附加到識別碼字串的兩端。產生的字元可確保識別碼是唯一的。

  • 您可以為備份建立新的密碼。此密碼不需要符合原始金鑰建立或上次變更時所使用的密碼。密碼只會套用至您所建立的備份。

    註

    「磁碟機安全性」密碼不應與儲存陣列的管理員密碼混淆。磁碟機安全性密碼可保護安全金鑰的備份。系統管理員密碼可保護整個儲存陣列、避免遭到未獲授權的存取。

  • 備份安全金鑰檔案會下載到您的管理用戶端。下載檔案的路徑可能取決於瀏覽器的預設下載位置。請務必記錄安全金鑰資訊的儲存位置。

在解除鎖定安全磁碟機之前、我需要知道什麼?

若要從啟用安全功能的磁碟機解除資料鎖定、您必須匯入其安全金鑰。

在解除鎖定啟用安全功能的磁碟機之前、請謹記下列準則:

  • 儲存陣列必須已有安全金鑰。移轉的磁碟機將重新輸入目標儲存陣列。

  • 對於要移轉的磁碟機、您必須知道安全金鑰識別碼和安全金鑰檔案對應的密碼。

  • 安全金鑰檔案必須可在管理用戶端上使用(使用瀏覽器存取System Manager的系統)。

  • 如果您要重設鎖定的NVMe磁碟機、則必須輸入磁碟機的安全ID。若要找出安全ID、您必須實際移除磁碟機、並在磁碟機標籤上找到PSID字串(最多32個字元)。開始操作之前、請先確定已重新安裝磁碟機。

什麼是讀寫存取能力?

「磁碟機設定」視窗包含磁碟機安全性屬性的相關資訊。「讀取/寫入存取」是在磁碟機資料已鎖定時顯示的其中一個屬性。

若要檢視磁碟機安全性屬性、請前往「硬體」頁面。選取磁碟機、按一下*檢視設定*、然後按一下*顯示更多設定*。在頁面底部、磁碟機解鎖時、讀取/寫入存取屬性值為*是*。磁碟機鎖定時、讀取/寫入存取屬性值為*否、無效的安全金鑰*。您可以匯入安全金鑰來解除鎖定安全磁碟機(前往功能表:設定[系統>解除鎖定安全磁碟機])。

驗證安全金鑰需要知道什麼?

建立安全金鑰之後、您應該驗證金鑰檔、以確保它不會毀損。

如果驗證失敗、請執行下列動作:

  • 如果安全金鑰識別碼與控制器上的識別碼不符、請找出正確的安全金鑰檔案、然後再試一次驗證。

  • 如果控制器無法解密安全金鑰以進行驗證、您可能輸入的密碼不正確。請仔細檢查密碼、必要時重新輸入密碼、然後再次嘗試驗證。如果錯誤訊息再次出現、請選取金鑰檔的備份(若有)、然後重新嘗試驗證。

  • 如果仍無法驗證安全金鑰、則原始檔案可能已毀損。建立金鑰的新備份並驗證該複本。

內部安全金鑰與外部安全金鑰管理有何不同?

當您實作磁碟機安全功能時、可以使用內部安全金鑰或外部安全金鑰、在從儲存陣列移除已啟用安全功能的磁碟機時鎖定資料。

安全金鑰是一串字元、可在已啟用安全功能的磁碟機和儲存陣列中的控制器之間共用。內部金鑰會保留在控制器的持續記憶體上。外部金鑰是使用金鑰管理互通性傳輸協定(KMIP)、在獨立的金鑰管理伺服器上維護。