Ativando a criptografia com servidores de chaves

Os servidores de chaves de criptografia criam e gerenciam chaves de criptografia que são usadas pelo sistema. Em ambientes com um grande número de sistemas, os servidores de chaves distribuem chaves remotamente sem requerer acesso físico aos sistemas.

Um servidor de chaves é um sistema centralizado que gera, armazena e envia chaves de criptografia ao sistema. Se o provedor do servidor de chaves suportar replicação de chaves entre múltiplos servidores de chaves, será possível especificar até 4 servidores de chaves que se conectam ao sistema por meio de uma rede pública ou de uma rede privada separada.

O sistema suporta a ativação de criptografia usando um servidor de chaves do IBM Security Key Lifecycle Manager. Todos os servidores de chaves devem ser configurados no IBM Security Key Lifecycle Manager antes de você definir os servidores de chaves. O IBM Security Key Lifecycle Manager suporta o Key Management Interoperability Protocol (KMIP), que é um padrão para criptografia de dados armazenados e gerenciamento de chaves criptográficas. O IBM Security Key Lifecycle Manager pode ser usado para criar chaves gerenciadas para o sistema e para fornecer acesso a essas chaves por meio de um certificado.

O sistema suporta diferentes tipos de configurações do servidor de chaves no IBM Security Key Lifecycle Manager. As configurações a seguir são suportadas:
  • Um servidor de chaves primário (principal) e vários servidores de chaves secundários: Servidores de chaves do IBM Security Key Lifecycle Manager designam um servidor de chaves mestras ou primárias que pode ter até três servidores de chaves secundários (também conhecidos como clones) definidos. Esses servidores de chaves adicionais suportam mais caminhos ao entregar chaves ao sistema. Entretanto, durante o rechaveamento, somente o caminho para o servidor de chaves primário é usado. Quando o sistema é rechaveado, os servidores de chaves secundários ficam indisponíveis até que o servidor de chaves primário tenha replicado as novas chaves para esses servidores de chaves secundários. A quantia de tempo que leva para replicar a chave para um servidor de chaves secundário depende da quantia de informações de chave e de certificado que está sendo replicada. Cada replicação para um servidor de chaves secundário pode levar algum tempo. A replicação deve ser concluída antes de as chaves poderem ser usadas no sistema. É possível planejar a replicação automática ou concluí-la manualmente com o IBM Security Key Lifecycle Manager. Durante a replicação, os servidores de chaves não estão disponíveis para distribuir chaves ou aceitar novas chaves. O tempo total que leva para que uma replicação seja concluída no IBM Security Key Lifecycle Manager depende do número de servidores de chaves que estão configurados como clones. Se a replicação for acionada manualmente, o IBM Security Key Lifecycle Manager emitirá uma mensagem de conclusão quando a replicação for concluída. Verifique se todos os servidores de chaves contêm informações replicadas de chaves e de certificados antes que as chaves sejam usadas no sistema.
  • Múltiplos servidores de chave mestra: servidores de chaves podem ser configurados em uma configuração multimestre na qual cada servidor de chaves tem a capacidade de criar novas chaves de criptografia. Nessa instância, qualquer servidor pode ser configurado como o servidor de chaves principal. O servidor de chaves principal é o servidor de chaves que o sistema usa quando você cria qualquer nova chave de criptografia do servidor de chaves. Se o modo multimestre estiver ativado no IBM Security Key Lifecycle Manager, a chave será imediatamente replicada para os outros servidores de chaves na configuração.

Para obter mais informações sobre as versões suportadas, veja o IBM Security Key Lifecycle Manager Knowledge Center.

Ao criar objetos do servidor de chaves do IBM Security Key Lifecycle Manager, deve-se especificar o endereço IP, a porta, o certificado e o grupo de dispositivos. O grupo de dispositivos é uma coleção de identificadores de armazenamento, de chaves e de grupos de chaves. Um grupo de dispositivos permite o gerenciamento restrito de subconjuntos de dispositivos em um conjunto maior. O sistema deve ser definido no servidor de chaves para o grupo de dispositivos SPECTRUM_VIRT se você está usando as configurações padrão. Se o grupo de dispositivos SPECTRUM_VIRT não existir no servidor de chaves, ele deverá ser criado com base na família de dispositivos GPFS. Se estiver configurando vários servidores de chaves, o grupo de dispositivos SPECTRUM_VIRT deverá ser definido no servidor de chaves primário e em todos os adicionais.

Pré-requisitos para ativação de criptografia

Certifique-se de que concluiu as seguintes tarefas no IBM Security Key Lifecycle Manager antes de ativar a criptografia:
  1. Defina o IBM Security Key Lifecycle Manager para usar a Segurança da Camada de Transporte versão 1.2 (TLSv1.2). A configuração padrão no IBM Security Key Lifecycle Manager é TLSv1, mas o sistema suporta somente a versão 1.2. No IBM Security Key Lifecycle Manager, configure o valor para SSL_TLSv2, que é um conjunto de protocolos que inclui TLSv1.2.
  2. Certifique-se de que o serviço de banco de dados seja iniciado automaticamente na inicialização.
  3. Assegure-se de que um certificado SSL válido do IBM Security Key Lifecycle Manager esteja instalado no sistema e em uso. Se a replicação automática estiver configurada no IBM Security Key Lifecycle Manager, então, esse certificado precisará ser transferido por upload para o sistema uma vez. Entretanto, se a replicação automática não estiver configurada no IBM Security Key Lifecycle Manager, um certificado para cada servidor de chaves independente deverá ser transferido por upload para o sistema.
  4. Especifique o grupo de dispositivos SPECTRUM_VIRT para a definição do sistema. Se estiver configurando múltiplos servidores de chaves, o grupo de dispositivos SPECTRUM_VIRT deverá ser definido no principal e em todos os servidores de chaves secundários.
  5. Se a criptografia estiver ativada atualmente com unidades flash USB, pelo menos uma das unidades flash USB deverá ser inserida no sistema antes que os servidores de chaves possam ser configurados para gerenciar chaves.
Para obter mais informações sobre como concluir essas tarefas, consulte o IBM Security Key Lifecycle Manager Knowledge Center.

Usando a GUI de gerenciamento

Para ativar a criptografia com um servidor de chaves, conclua estas etapas:
  1. Na GUI de gerenciamento, selecione Configurações > Segurança > Criptografia.
  2. Clique em Ativar criptografia.
  3. No painel Bem-vindo, selecione Servidores de chaves. Clique em Avançar.
    Nota: Também é possível selecionar Servidores de chave e Unidades flash USB para configurar ambos os métodos para gerenciar chaves de criptografia. Se um dos métodos ficar indisponível, é possível usar o outro método para acessar os dados criptografados no sistema.
  4. Selecione IBM SKLM (com KMIP) para o tipo de servidor de chaves.
  5. Insira o nome, o endereço IP e a porta para cada servidor de chaves. Se estiver configurando múltiplos servidores de chaves, o primeiro servidor de chaves que você especificar será o servidor de chaves principal e os restantes se tornam servidores de chaves secundários. Para assegurar que as chaves sejam distribuídas para todos os servidores de chaves secundários, deve-se configurar a replicação no IBM Security Key Lifecycle Manager.
  6. Selecione SPECTRUM_VIRT para o grupo de dispositivos para os servidores de chaves. Esse grupo de dispositivos também deve ser configurado em cada um dos servidores de chaves para o sistema.
  7. Na página Certificado do Servidor Principal, você deve fazer upload de todos os certificados do servidor principal necessários para o sistema. Os servidores de chaves podem usar um certificado de um terceiro confiável, um certificado autoassinado ou uma combinação desses certificados. Se os servidores IBM Security Key Lifecycle Manager estiverem configurados para replicação automática, esse certificado será copiado do servidor de chaves principal para todos os servidores de chaves secundários. Todas as instâncias do IBM Security Key Lifecycle Manager são conectadas para proteger conexões com o mesmo certificado do servidor de chaves. Se a replicação for usada no IBM Security Key Lifecycle Manager, somente um certificado do servidor de chaves precisará ser instalado. O IBM Security Key Lifecycle Manager usa este certificado único para replicar chaves entre si. Os certificados autoassinados têm prioridade sobre qualquer certificado assinado por CA que está instalado no sistema para os servidores de chaves. Se apenas um certificado for usado e replicado automaticamente para todos os servidores de chaves configurados, selecione o certificado que você transferiu por download para o sistema no certificado no campo Certificado. Se a replicação automática não estiver configurada, selecione todos os certificados válidos que foram transferidos por download para o sistema para cada um dos servidores de chaves configurados. Clique em Avançar.
  8. Na página Certificado de criptografia do sistema, clique em Exportar chave pública para fazer download da chave pública para o sistema. Os certificados de criptografia do sistema também podem ser um certificado autoassinado ou de autoridade de certificação (CA). Esses certificados são transferidos por upload para cada um dos servidores de chaves para estabelecer a confiança para que o sistema se comunique com servidores de chaves individuais. Se os servidores IBM Security Key Lifecycle Manager estiverem configurados para replicação automática, esse certificado será copiado do servidor de chaves principal para todos os servidores de chaves secundários. Todas as instâncias do IBM Security Key Lifecycle Manager são conectadas para proteger conexões com o mesmo certificado do servidor de chaves. Se a replicação for usada no IBM Security Key Lifecycle Manager, o servidor de chaves principal replicará o certificado do sistema para os outros servidores de chaves. Se os servidores IBM Security Key Lifecycle Manager não estiverem configurados para replicação automática, deve-se instalar os certificados do sistema em cada servidor de chaves independente. Se um certificado não existir, selecione Configurações > Segurança > Comunicações seguras. Na página Comunicações seguras, selecione Atualizar certificado para criar ou importar um certificado. Para obter mais informações sobre certificados, consulte o tópico sobre certificados que são usados para servidores de chaves.
  9. Copie a chave pública do sistema incluindo-a no armazenamento confiável para o grupo de dispositivos SPECTRUM_VIRT em cada servidor de chaves configurado. Consulte o IBM® Security Key Lifecycle Manager Knowledge Center para obter detalhes.
  10. Retorne à página Certificado de criptografia do sistema e selecione O certificado da chave pública do sistema foi transferido para cada servidor de chaves configurado.
  11. Se você tiver unidades flash USB configuradas como seu método de criptografia, a página Desativar criptografia USB será exibida. Se você deseja migrar para servidores de chaves e desativar unidades flash USB, selecione Sim. Se você deseja que ambos os métodos de criptografia sejam configurados simultaneamente, clique em Não.
  12. Clique em Avançar.
  13. Na página Resumo, verifique a configuração para os servidores de chaves e clique em Concluir.

Usando a interface da linha de comandos

Para ativar a criptografia com um servidor de chaves, conclua as etapas a seguir:
  1. Insira o comando da CLI a seguir para ativar a criptografia no sistema:
    chencryption -keyserver enable
  2. Ative o tipo de servidor de chaves e forneça o certificado assinado pela autoridade de certificação (CA), se um for necessário:
    chkeyserverisklm -enable -sslcert /tmp/CASigned.crt
  3. Crie o servidor de chaves primário e especifique o certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port -primary
  4. Crie até três servidores de chaves secundários adicionais com o mesmo certificado do servidor de chaves:
    mkkeyserver -ip ip_address -port port
  5. Crie a chave de criptografia para o sistema no servidor de chaves:
    chencryption -keyserver newkey -key prepare
    Esse comando torna a chave preparada a chave atual e envia a chave por push para o servidor de chaves configurado como o servidor de chaves principal.
  6. Para verificar se o sistema está preparado, insira o seguinte comando:
    lsencryption
    Verifique se o parâmetro keyserver_rekey tem o valor preparado. O valor prepared indica que a chave nova está pronta para ser consolidada.
  7. Para confirmar a chave, insira o comando a seguir:
    chencryption -keyserver newkey -key commit
    Esse comando torna a nova chave a chave atual e a copia no servidor de chaves principal.
Tópico pai: Ativação de criptografia
Conceitos relacionados:
Rechaveando um sistema ativado pela criptografia usando um servidor de chaves
Certificados que são usados para servidores de chaves de criptografia
Informações relacionadas:
IBM Security Key Lifecycle Manager
Desativando a criptografia