加密

SAN Volume Controller 2145-DH8 或 SAN Volume Controller 2145-SV1 系统提供对静态数据进行加密的可选功能。此支持可防止因存储设备废弃、丢失或被盗而可能泄露其上存储的敏感用户数据和用户元数据。要在系统上使用加密，支持加密的每对节点都需要加密许可证。

注：如果使用热备用节点更换支持加密的故障节点，那么它也需要加密许可证。

访问加密系统

计划加密需要购买许可功能，然后才能在系统上激活并启用该功能。可以在系统上启用 USB 加密和/或密钥服务器加密。对于密钥服务器加密，系统支持 IBM Security Key Lifecycle Manager V2.6.0 或更高版本。

要加密驱动器上存储的数据，能够加密的节点必须已经过许可且配置为可以使用加密。如果已在系统上激活和启用加密，那么在系统解锁驱动器或用户生成新密钥时，系统上必须存在有效的加密密钥。如果在系统上启用了 USB 加密，那么加密密钥必须存储在包含启用加密时所生成密钥的副本的 USB 闪存驱动器中。如果在系统上启用了密钥服务器加密，那么将从密钥服务器检索密钥。

如果使用加密来保护复制到云存储器的数据，云帐户将始终与系统加密设置同步。如果同时配置了 USB 闪存驱动器和密钥服务器，那么创建的云帐户将同时支持这些方法。如果只配置了一种加密方法而禁用了另一种，那么云帐户将使用剩余的已配置加密方法支持加密。为确保云帐户支持加密，在创建云帐户时，必须为两种方法或其中的一种方法配置活动密钥。

如果使用一种加密方法创建了云帐户，您可以在稍后配置第二种方法，但进行配置时该云帐户必须为联机状态。配置第二种方法后，该云帐户将同时支持两种密钥提供程序。

激活和启用加密功能之前，必须确定在系统要求提供加密密钥时访问密钥信息的方法。系统要求在以下操作期间提供加密密钥：

系统开机
系统重新启动
用户启动再加密操作
系统恢复

进行加密规划时，必须考虑以下几个因素。

系统的物理安全性
系统要求时手动访问加密密钥的需求和优势
密钥数据的可用性
购买加密许可证，并在系统上进行激活和启用
使用 Security Key Lifecycle Manager 克隆
建议针对在系统上创建的任何新的克隆端点使用 IBM Security Key Lifecycle Manager V2.7.0 或更高版本。

使用 USB 闪存驱动器进行加密

您可以使用 USB 闪存驱动器启用加密并将密钥复制到系统。必须创建系统加密密钥，并将这些密钥写入所有 USB 闪存驱动器：

提供了两个选项，可用于访问 USB 闪存驱动器上的密钥信息：

将 USB 闪存驱动器一直插在系统中: 如果您希望系统自动重新启动，那么 USB 闪存驱动器必须保持插在系统上的所有节点中。所有节点在开机后都将有权访问加密密钥。此方法要求系统所在的物理环境非常安全。如果该地方是安全的，可防止未经授权的人员创建加密密钥副本、盗取系统或访问系统上存储的数据。
除非必要，否则切勿将 USB 闪存驱动器保持插在系统中: 为了实现最安全的操作，请不要将 USB 闪存驱动器保留插入在系统上的节点中。但是，在执行系统要求提供加密密钥的操作期间，该方法要求您手动将包含加密密钥副本的 USB 闪存驱动器插入节点中。包含密钥的 USB 闪存驱动器必须以安全方式存储才能防止盗窃或丢失。在执行系统要求提供加密密钥的操作期间，必须将 USB 闪存驱动器手动插入各个节点中，以便可以访问数据。在系统解锁完驱动器后，必须拔下 USB 闪存驱动器并将其放在安全的地方以避免失窃或丢失。

使用密钥服务器加密

您可以使用加密密钥服务器来启用加密。密钥服务器是生成、存储和提供加密密钥的集中式系统。至少需要一个密钥服务器以启用加密密钥服务器支持。

IBM Security Key Lifecycle Manager 是受支持的密钥服务器类型。它符合密钥管理接口协议 (KMIP)。

您可以在 IBM Security Key Lifecycle Manager 上启用加密，其支持密钥管理接口协议 (KMIP)。 IBM Security Key Lifecycle Manager 是非集群式密钥服务器。

IBM Security Key Lifecycle Manager 为系统创建受管密钥，使用数字证书访问这些密钥并提供认证。交换证书时，会执行此认证。必须严格管理证书，因为到期的证书会导致系统中断。

要使用 IBM Security Key Lifecycle Manager，必须指定 IP 地址、端口和设备组以与系统通信。设备组是安全凭证的集合（包含密钥和密钥组），允许以受限方式在较大池中对设备子集进行管理。