暗号化

SAN ボリューム・コントローラー 2145-DH8 または SAN ボリューム・コントローラー 2145-SV1 システムは、オプションで、保存データの暗号化をサポートします。このサポートにより、廃棄されたか、紛失したか、または盗難にあったストレージ・デバイスに機密のユーザー・データおよびユーザー・メタデータが格納されていた場合でも、機密漏れの可能性からデータを保護することができます。システムで暗号化を使用するには、暗号化をサポートするノードのペアごとに暗号化ライセンスが必要です。

注: 障害が起きたノードが暗号化をサポートしていて、そのノードの取り替え用にホット・スペア・ノードを使用する場合、ホット・スペア・ノードにも暗号化ライセンスが必要です。

暗号化されたシステムへのアクセス

暗号化の計画には、ライセンス交付対象機能を購入してから、システム上でその機能のアクティブ化と使用可能化を行うことが含まれます。USB 暗号化または鍵サーバー暗号化、もしくはその両方をシステムで使用可能にすることができます。システムは、鍵サーバー暗号化のために IBM Security Key Lifecycle Manager バージョン 2.6.0 以降をサポートしています。

ドライブに格納されているデータを暗号化するには、暗号化に対応しているノードが、ライセンス交付を受けており、暗号化を使用するよう構成されている必要があります。システムで暗号化がアクティブ化されて有効になっている場合、システムがドライブのロックを解除する際、あるいはユーザーが新しい鍵を生成する際に、システム上に有効な暗号鍵が存在している必要があります。USB 暗号化がシステムで有効である場合、暗号鍵は、暗号化が有効なときに生成された鍵のコピーが入っている USB フラッシュ・ドライブに格納する必要があります。鍵サーバー暗号化がシステムで有効になっている場合、鍵は鍵サーバーから取得されます。

クラウド・ストレージにコピーされるデータを保護するのに暗号化を使用している場合、クラウド・アカウントは、常に、システム暗号化設定と同期されます。USB フラッシュ・ドライブと鍵サーバーの両方が構成されている場合、作成されるクラウド・アカウントは、それらの方式の両方をサポートします。一方の暗号化方式のみが構成されており、もう一方の方式が使用不可の場合、クラウド・アカウントは、残りの構成済み暗号化方式で暗号化をサポートします。クラウド・アカウントが暗号化を確実にサポートするようにするために、クラウド・アカウントの作成時に、アクティブな鍵を使用して一方または両方の方式を構成する必要があります。

クラウド・アカウントが一方の暗号方式で作成された場合、後で、2 番目の方式を構成することはできますが、構成中、クラウド・アカウントがオンラインになっている必要があります。2 番目の方式が構成された後で、クラウド・アカウントは両方の鍵プロバイダーをサポートします。

暗号化をアクティブ化して有効にする前に、システムで暗号鍵が存在することが必要な場合に鍵情報にアクセスする方式を決定する必要があります。システムでは、以下の操作時に暗号鍵が存在する必要があります。

システムの始動時
システム再始動時
ユーザーが開始した鍵再設定操作時
システム・リカバリー

暗号化を計画する際には、いくつかの要因を考慮する必要があります。

システムの物理的セキュリティー
システムで必要とされる場合に暗号鍵に手動でアクセスする必要性とメリット
鍵データの可用性
暗号化ライセンスの購入、アクティブ化、およびシステム上での有効化
Security Key Lifecycle Manager クローンの使用
IBM Security Key Lifecycle Manager バージョン 2.7.0 以降が、システムで作成される新しいクローン・エンドポイントに使用されることをお勧めします。

USB フラッシュ・ドライブを使用した暗号化

USB フラッシュ・ドライブを使用して、暗号化を有効にし、鍵をシステムにコピーすることができます。システム暗号鍵を作成し、それらの鍵をすべての USB フラッシュ・ドライブに書き込む必要があります。

USB フラッシュ・ドライブ上のキー情報にアクセスするには、2 つのオプションが使用可能です。

USB フラッシュ・ドライブをシステムに常時挿入したままにする: システムを自動的に再始動したい場合、USB フラッシュ・ドライブをシステム上のすべてのノードに挿入したままにする必要があります。電源をオンにすると、すべてのノードが暗号鍵にアクセスできます。この方式では、システムが配置されている物理環境が安全であることが必要です。その場所が安全であれば、許可されていない人物が暗号鍵のコピーを作成したり、システムを盗んだり、システムに格納されているデータにアクセスしたりすることを防止できます。
必要な場合を除き、USB フラッシュ・ドライブをシステムに挿入したままにしない: 最も安全な操作のためには、USB フラッシュ・ドライブをシステムのノードに挿入したままにしないようにしてください。ただし、この方式では、システムで暗号化鍵が存在することを必要とする操作時に、暗号鍵のコピーが入っている USB フラッシュ・ドライブを手動でノードに挿入する必要があります。鍵が入っている USB フラッシュ・ドライブは、盗難や紛失を防ぐために安全に保管する必要があります。システムで暗号鍵が存在することを必要とする操作時に、データにアクセスできるように、USB フラッシュ・ドライブを各ノードに手動で挿入する必要があります。システムでドライブのロック解除が完了したら、盗難や紛失を防ぐために USB フラッシュ・ドライブを取り外し、安全に保管する必要があります。

鍵サーバーを使用した暗号化

暗号鍵サーバーを使用して暗号化を有効にすることができます。鍵サーバーは暗号鍵を生成、保管、および処理する集中型システムです。暗号鍵サーバー・サポートを有効にするには、少なくとも 1 つの鍵サーバーが必要です。

IBM Security Key Lifecycle Manager は、サポートされている鍵サーバー・タイプです。これは Key Management Interface Protocol (KMIP) プロトコルに従います。

Key Management Interface Protocol (KMIP) をサポートする IBM Security Key Lifecycle Manager で暗号化を有効にすることができます。IBM Security Key Lifecycle Manager は、クラスター化されていない鍵サーバーです。

IBM Security Key Lifecycle Manager は、システムの管理対象鍵を作成し、デジタル証明書を使用してこれらの鍵にアクセスし、認証を行います。この認証は、証明書が交換されるときに行われます。期限切れの証明書がシステム障害を起こす可能性があるため、証明書は厳重に管理する必要があります。

IBM Security Key Lifecycle Manager を使用するには、システムと通信するための IP アドレス、ポート、およびデバイス・グループを指定する必要があります。デバイス・グループは、大規模なプール内のデバイスのサブセットに対する制限付き管理を可能にするセキュリティー資格情報の集合 (鍵と鍵のグループを含む) です。