加密

要在系统上使用加密功能,必须购买加密许可证、在系统上激活该许可证、启用加密 并创建密钥副本。如果未购买许可证,请联系客户代表以购买加密许可证。

注: 如果使用热备用节点更换支持加密的故障节点,那么它也需要加密许可证。

该系统支持对静态数据进行加密,这是可选功能。此支持可防止因存储设备废弃、丢失或被盗而可能泄露其上存储的敏感用户数据和用户元数据。要在系统上使用加密,每个支持加密的节点都需要一个加密许可证。 如果您向已加密系统添加新节点,那么该新节点也必须经过许可。

访问加密系统

在启用加密之前,请确保您已购买许可证并激活,然后再在系统上配置该功能。 系统支持两种配置加密的方法。您可以在系统上使用可对创建和管理加密密钥进行简化的集中式密钥服务器。 要提升安全性和简化密钥管理,首选此加密密钥管理方法。此外,系统还支持在 USB 闪存驱动器上存储加密密钥。基于 USB 闪存驱动器的加密要求实际访问系统,并且在包含最少量系统的环境中有效。对于需要有关 USB 闪存驱动器的严密安全策略的组织,系统支持禁用这些端口以阻止系统数据到便携媒体设备的未经授权传输。如果您具有此类安全性需求,请使用密钥服务器来管理加密密钥。

要加 密驱动器上存储的数据,能够加密的节点必须已经过许可且配置为可以使用加密。 在系统上激活和启用加密后,当系统解锁驱动器或用户生成新密钥时,系统上必须存在有效的加密密钥。 如果在系统上启用了密钥服务器加密,那么将从密钥服务器检索密钥。如果在系统上启用了 USB 加密,那么加密密钥必须存储在包含启用加密时所生成密钥的副本的 USB 闪存驱动器中。

如果使用加密来保护复制到云存储器的数据,云帐户将始终与系统加密设置同步。如果同时配置了 USB 闪存驱动器和密钥服务器,那么创建的云帐户将同时支持这些方法。 如果只配置了一种加密方法而禁用了另一种,那么云帐户将使用剩余的已配置加密方法支持加密。为确保云帐户支持加密,在创建云帐户时,必须为两种方法或其中的一种方法配置活动密钥。

如果使用一种加密方法创建了云帐户,您可以在稍后配置第二种方法,但进行配置时该云帐户必须为联机状态。配置第二种方法后,该云帐户将同时支持两种密钥提供程序。

在激活和启用加密之前,必须确定在系统要求提供加密密钥期间访问密钥信息的方法。系统要求在以下操作期间提供加密密钥:
  • 系统开机
  • 系统重新启动
  • 用户启动再加密操作
  • 系统恢复
  • 卸下或更换自加密驱动器
进行加密规划时,必须考虑以下几个因素。
  • 系统的物理安全性
  • USB 端口和便携媒体的其他安全性需求。如果您的环境要求禁用 USB 端口,请使用密钥服务器来管理加密密钥。
  • 系统要求时手动访问加密密钥的需求和优势
  • 密钥数据的可用性
  • 购买加密许可证,并在系统上进行激活和启用
  • 如果您要使用 IBM Security Key Lifecycle Manager 来创建和管理密钥,那么请确保您使用的是 V2.7.0 或更高版本。如果使用的是 V2.7,那么系统将支持一个主密钥服务器和多个辅助密钥服务器。但是,复制是手动过程,在再加密操作期间,密钥不可用,直至复制完成。如果使用 V3.0 或更高版本,那么系统将支持多个主密钥服务器,这些服务器会自动将密钥复制到所有已配置的密钥服务器。
  • 如果您要使用 Gemalto SafeNet KeySecure 密钥服务器来创建和管理密钥,那么请确定系统是否需要用户名和密码向 KeySecure 密钥服务器进行认证。如果计划使用用户名和密码来向这些密钥服务器认证系统,那么必须在 KeySecure 界面中配置用于认证的用户凭证。对于 V8.10 和更高版本的 KeySecure,管理员可以配置用户名和密码,以在连接时对系统进行认证。在 KeySecure V8.10 之前,密码是可选的。

使用密钥服务器加密

密钥服务器是用于生成和存储加密密钥并向系统发送加密密钥的集中式系统。某些密钥服务器提供者支持在多个密钥服务器之间复制密钥。如果支持多个密钥服务器,那么最多可以指定 4 个密钥服务器,这些密钥服务器通过公共网络或单独的专用网络连接到系统。该系统支持通过 IBM Security Key Lifecycle Manager 或 Gemalto SafeNet KeySecure 密钥服务器来管理系统上的密钥。这两种受支持的密钥服务器管理应用程序均可为系统创建和管理加密密钥,并通过证书提供对这些密钥的访问权。系统上每次只能启用一种类型的密钥服务器管理应用程序。 在系统和密钥服务器之间交换证书时进行认证。必须严格管理证书,因为到期的证书会导致系统中断。必须先安装和配置密钥服务器,然后才能在系统上进行定义。

IBM Security Key Lifecycle Manager 密钥服务器支持密钥管理互操作性协议 (KMIP),这是加密存储数据和管理密钥的标准。

系统在 IBM Security Key Lifecycle Manager 上支持不同类型的密钥服务器配置。支持以下配置:
  • 一个主密钥服务器和多个辅助密钥服务器:IBM Security Key Lifecycle Manager 密钥服务器指定一个主密钥服务器,它最多可定义三个辅助密钥服务器(也称为克隆)。这些附加密钥服务器在向系统传递密钥时支持更多路径;但是,在再加密期间,仅使用到主密钥服务器的路径。当系统再加密时,辅助密钥服务器不可用,直到主密钥服务器将新密钥复制到这些辅助密钥服务器。将密钥复制到辅助密钥服务器所花费的时间取决于复制的密钥和证书信息的总量。到辅助密钥服务器的每次复制都会花费一些时间。必须先完成复制,然后才能在系统上使用密钥。您可以调度自动复制或通过 IBM Security Key Lifecycle Manager 手动完成。在复制期间,密钥服务器不可用于分发密钥或接受新密钥。在 IBM Security Key Lifecycle Manager 上完成复制所花费的总时间取决于配置为克隆的密钥服务器数量。如果手动触发了复制,那么在复制完成时,IBM Security Key Lifecycle Manager 会发出一条完成消息。在系统上使用密钥之前,请验证所有密钥服务器均包含复制的密钥和证书信息。
  • 多个主密钥服务器:可在多主密钥服务器配置中配置密钥服务器,其中每个密钥服务器都能够创建新的加密密钥。在此情况下,可将任何服务器设置为主密钥服务器。主密钥服务器是在创建任何新的密钥服务器加密密钥时系统使用的密钥服务器。如果在 IBM Security Key Lifecycle Manager 上启用了多主密钥服务器方式,那么会立即将该密钥复制到配置中的其他密钥服务器。

有关受支持版本的更多信息,请参阅 IBM Security Key Lifecycle Manager IBM Knowledge Center。

在系统上为 IBM Security Key Lifecycle Manager 密钥服务器创建密钥服务器对象时,除名称、IP 地址、端口和证书信息外,还必须创建设备组。设备组是安全凭证(包括密钥和密钥组)的集合,它允许对较大池中的设备子集进行有限管理。如果使用的是缺省设置,那么必须在密钥服务器上将系统定义到 SPECTRUM_VIRT 设备组中。如果密钥服务器上不存在 SPECTRUM_VIRT 设备组,那么必须基于 GPFS 设备系列创建该组。如果要配置多个密钥服务器,那么必须在主密钥服务器和所有其他密钥服务器上定义 SPECTRUM_VIRT 设备组。

Gemalto SafeNet KeySecure 密钥服务器也支持 KMIP,并且可随需创建密钥,然后将密钥与其他集群服务器共享,从而提供冗余访问。系统支持在 KeySecure 密钥服务器上使用不同类型的配置。支持以下配置:
  • KeySecure 密钥服务器使用主动/主动模型,其中有多个密钥服务器以用于提供冗余。必须将一个 KeySecure 密钥服务器指定为主密钥服务器。主密钥服务器是在创建任何新的加密密钥时系统使用的密钥服务器。该密钥将立即复制到 KeySecure 集群中的其他密钥服务器。系统上定义的所有 KeySecure 密钥服务器都可用于检索密钥。虽然可以对 KeySecure 配置单个密钥服务器实例,但建议使用两个密钥服务器以确保当其中一个密钥服务器停运时的密钥可用性。
  • 系统通过 KeySecure 最多支持四台密钥服务器。如果系统正在访问多个密钥服务器,那么这些服务器需要属于相同的 KeySecure 密钥服务器集群。

使用 USB 闪存驱动器进行加密

您可以使用 USB 闪存驱动器启用加密并将密钥复制到系统。 必须创建系统加密密钥,并将这些密钥写入所有 USB 闪存驱动器:

提供了两个选项,可用于访问 USB 闪存驱动器上的密钥信息:

将 USB 闪存驱动器一直插在系统中
如果您希望系统自动重新启动,那么 USB 闪存驱动器必须保持插在系统上的所有节点中。 打开电源后,所有节点都有权访问加密密钥。 此方法要求系统所在的物理环境非常安全。如果该地方是安全的,可防止未经授 权的人员创建加密密钥副本、盗取系统或访问系统上存储的数据。 如果将包含有效加密密钥的 USB 闪存驱动器保持插在两个容器中,那么系统将始终有权访问加密密钥,并且驱动器上的用户数据将始终可访问。
除非必要,否则切勿将 USB 闪存驱动器保持插在系统中
为了实现最安全的操作,请不要将 USB 闪存驱动器保留插入在系统上的节点中。 但是,在执行系统要求提供加密密钥的操作期间,该方法要求您手动将包含加密密钥副本的 USB 闪存驱动器插入节点中。 包含密钥的 USB 闪存驱动器必须以安全方式存储才能防止盗窃或丢失。在执行系统要求提供加密密钥的操作期间,必须将 USB 闪存驱动器手动插入各个节点中,以便可以访问数据。 在系统解锁完驱动器后,必须拔下 USB 闪存驱动器并将其放在安全的地方以避免失窃或丢失。

加密技术

数据加密由在 XTS 方式下使用 256 位对称加密密钥的高级加密标准 (AES) 算法进行保护,这在 IEEE 1619-2007 标准和 NIST Special Publication 800-38E 中定义为 XTS-AES-256。 数据加密密钥本身受特定密钥的 256 位 AES 密钥包装保护,该特定密钥是从 USB 闪存驱动器上存储的访问密钥派生的。 包装的密钥以非易失形式存储在系统中。