KMS與應用裝置組態總覽
在使用金鑰管理伺服器(KMS)來保護StorageGRID 應用裝置節點上的各項資料之前、您必須先完成兩項組態工作:設定一或多個KMS伺服器、以及為應用裝置節點啟用節點加密。完成這兩項組態工作之後、就會自動執行金鑰管理程序。
流程圖顯示使用KMS保護StorageGRID 應用裝置節點上的資訊安全的高階步驟。
流程圖會顯示KMS設定與應用裝置設定並行執行、不過您可以根據需求、在新應用裝置節點啟用節點加密之前或之後、設定金鑰管理伺服器。
設定金鑰管理伺服器(KMS)
設定金鑰管理伺服器包括下列高層級步驟。
步驟 | 請參閱 |
---|---|
存取KMS軟體、並在StorageGRID 每個KMS或KMS叢集上新增一個用戶端以供使用。 |
|
在StorageGRID KMS取得有關該客戶端的必要資訊。 |
|
將KMS新增至Grid Manager、指派給單一站台或預設站台群組、上傳必要的憑證、並儲存KMS組態。 |
設定產品
設定KMS使用的應用裝置節點包括下列高層級步驟。
-
在設備安裝的硬體組態階段、請使用StorageGRID 「支援服務」功能的「應用程式安裝程式」來啟用應用裝置的「節點加密」設定。
將應用裝置新增至網格後、您無法啟用*節點加密*設定、也無法將外部金鑰管理用於未啟用節點加密的應用裝置。 -
執行StorageGRID 《程式安裝程式:在安裝期間、會將隨機資料加密金鑰(DEek)指派給每個應用裝置磁碟區、如下所示:
-
DEK用於加密每個Volume上的資料。這些金鑰是使用應用裝置作業系統中的Linux Unified Key Setup(LUKS)磁碟加密產生、無法變更。
-
每個個別的「DEK」都是使用主要金鑰加密金鑰(KEK)進行加密。初始KEK是加密DEK的暫用金鑰、直到應用裝置連線至KMS為止。
-
-
將應用裝置節點新增StorageGRID 至
如需詳細資料、請參閱下列內容:
金鑰管理加密程序(自動執行)
金鑰管理加密包括下列自動執行的高層級步驟。
-
當您在網格中安裝已啟用節點加密的應用裝置時StorageGRID 、即可判斷包含新節點的站台是否存在KMS組態。
-
如果站台已設定KMS、則裝置會接收KMS組態。
-
如果尚未為站台設定KMS、則在您為站台設定KMS、且裝置收到KMS組態之前、應用裝置上的資料會繼續由暫用KEK加密。
-
-
應用裝置使用KMS組態連線至KMS、並要求加密金鑰。
-
KMS會傳送加密金鑰給應用裝置。來自KMS的新金鑰取代了暫用KEK、現在用於加密和解密應用裝置磁碟區的DEK。
加密應用裝置節點連線至設定的KMS之前存在的任何資料、都會以暫用金鑰加密。不過、除非KMS加密金鑰取代暫用金鑰、否則應用裝置磁碟區不應被視為受到保護、以免從資料中心移除。 -
如果裝置電源已開啟或重新開機、則會重新連線至KMS以要求金鑰。儲存在揮發性記憶體中的金鑰、無法在電力中斷或重新開機後繼續運作。