Criptografia
a SAN Volume Controller 2145-DH8 sistema ou SAN Volume Controller 2145-SV1 suporta criptografia opcional de dados em repouso. Este suporte protege contra a exposição potencial de dados sensíveis do usuário e metadados do usuário que são armazenados em dispositivos de armazenamento descartados, perdidos ou roubados. Para usar a criptografia no sistema, uma licença de criptografia é necessária para cada par de nós que suportam a criptografia.
Acessando um Sistema Criptografado
O planejamento para criptografia envolve comprar uma função licenciada e ativar e habilitar a função no sistema. A criptografia de USB, a criptografia do servidor de chaves ou ambas podem ser ativadas no sistema. O sistema suporta o IBM Security Key Lifecycle Manager versão 2.6.0 ou mais recente para a criptografia do servidor de chaves.
Para criptografar os dados que são armazenados nas unidades, o nós com capacidade de criptografia devem ser licenciados e configurados para usar criptografia. Quando a criptografia for ativada e habilitada no sistema, chaves de criptografia válidas deverão estar presentes no sistema quando o sistema desbloquear as unidades ou o usuário gerar uma nova chave. Se a criptografia USB estiver ativada no sistema, a chave de criptografia deverá ser armazenada em unidades flash USB que contenham uma cópia da chave que foi gerada quando a criptografia foi ativada. Se a criptografia do servidor de chaves estiver ativada no sistema, a chave será recuperada a partir do servidor de chaves.
Se estiver usando a criptografia para proteger dados copiados no armazenamento em nuvem, a conta de nuvem sempre será sincronizada com as configurações de criptografia do sistema. Se unidades flash USB e os servidores de chaves forem configurados, a conta de nuvem que for criada suportará ambos os métodos. Se somente um método de criptografia for configurado e o outro estiver desativado, a conta de nuvem suportará a criptografia com o método de criptografia configurado restante. Para assegurar que a conta de nuvem suporte a criptografia, um ou ambos os métodos deverão ser configurados com chaves ativas quando a conta de nuvem for criada.
Se uma conta de nuvem for criada com um método de criptografia, será possível configurar o segundo método posteriormente, mas a conta de nuvem deverá estar on-line enquanto a configuração ocorrer. Após o segundo método ser configurado, a conta de nuvem suportará ambos os provedores de chave.
Criptografia usando unidades flash USB
É possível usar unidades flash USB para ativar a criptografia e copiar uma chave para o sistema. Deve-se criar chaves de criptografia do sistema e gravar essas chaves em todas as unidades flash USB.
duas opções estão disponíveis para acessar informações chave em unidades flash USB:
- Se você deseja que o sistema seja reiniciado automaticamente, uma unidade flash USB deve ser deixada inserida em todos os nós no sistema. Quando você ligar, em seguida, todos os nós terão acesso à chave de criptografia. Esse método requer que o ambiente físico no qual o sistema está localizado seja seguro. Se o local for seguro, ele evitará que uma pessoa desautorizada faça cópias das chaves de criptografia, roube o sistema ou acesse dados armazenados no sistema.
- Para uma operação mais segura, não mantenha as unidades flash USB inseridas nos nós no sistema. No entanto, esse método requer que você insira manualmente as unidades flash USB que contenham cópias da chave de criptografia nos nós durante as operações em que o sistema requer a presença de uma chave de criptografia. As unidades flash USB que contêm as chaves devem ser armazenadas com segurança para evitar roubo ou perda. Durante as operações em que o sistema requer a presença de uma chave de criptografia, as unidades flash USB deverão ser inseridas manualmente em cada nó para que os dados possam ser acessados. Após o sistema concluir o desbloqueio das unidades, as unidades flash USB devem ser removidas e armazenadas com segurança para evitar roubo ou perda.
Criptografia usando servidores de chaves
É possível usar servidores principais de criptografia para ativar a criptografia. Um servidor de chaves é um servidor centralizado que gera, armazena e entrega chaves de criptografia. Pelo menos um servidor principal é necessário para ativar o suporte do servidor principal de criptografia.
O IBM Security Key Lifecycle Manager é o tipo de servidor principal suportado. Ele está em conformidade com o protocolo Key Management Interface Protocol (KMIP).
É possível ativar a criptografia no IBM Security Key Lifecycle Manager, que suporta o Key Management Interface Protocol (KMIP). O IBM Security Key Lifecycle Manager é um servidor principal não armazenado em cluster.
O IBM Security Key Lifecycle Manager cria chaves gerenciadas para o sistema e usa um certificado digital para acessar essas chaves e fornecer autenticação. Essa autenticação ocorre quando os certificados são trocados. Os certificados devem ser gerenciados de perto, já que os certificados expirados podem causar interrupções do sistema.
Para usar IBM Security Key Lifecycle Manager, deve-se especificar um endereço IP, uma porta e um grupo de dispositivos para se comunicar com o sistema. O grupo de dispositivos é uma coleção de credenciais de segurança (incluindo chaves e grupos de chaves) que permitem gerenciamento restrito de subconjuntos de dispositivos em um conjunto maior.