規劃加密

在可以啟用加密之前,請確定您已購買授權並啟動,之後再在系統上配置該功能。 系統支援兩種配置加密方法。您可以使用集中式金鑰伺服器,來簡化系統上加密金鑰的建立及管理。 這種加密金鑰管理方法很適合金鑰管理的安全及簡化。此外,系統也支援將加密金鑰儲存在 USB 快閃記憶體隨身碟上。USB 快閃記憶體隨身碟型加密需要實際存取系統,在最少量系統的環境下較實用。對於在 USB 快閃記憶體隨身碟方面需要嚴密安全原則的組織,系統支援停用這些埠,以避免在未獲授權的情況下將系統資料傳送至可攜式媒體裝置。如果您具有此類安全需求,請使用金鑰伺服器來管理加密金鑰。

如果要將磁碟機上儲存的資料加密,可以加密的節點必須獲得授權,且配置成使用加密。在系統上啟動並啟用加密之後,當系統將磁碟機解除鎖定或使用者產生新的金鑰時,系統上必須存在有效的加密金鑰。 如果在系統上啟用金鑰伺服器加密,則會從金鑰伺服器擷取金鑰。如果在系統上啟用 USB 加密,加密金鑰必須儲存在 USB 快閃記憶體隨身碟上,其中含有啟用加密時所產生的金鑰副本。

如果您使用加密來保護複製到雲端儲存體的資料,雲端帳戶一律與系統加密設定同步。如果同時配置 USB 快閃記憶體隨身碟 和金鑰伺服器,則建立的雲端帳戶支援這兩種方法。如果只配置其中一種加密方法而停用另一種方法,則雲端帳戶支援採用其餘配置之加密方法的加密。為了確保雲端帳戶支援加密,當建立雲端帳戶時必須以作用中的金鑰來配置一或兩種方法。

如果以一種加密方法來建立雲端帳戶,您可以稍後配置第二種方法,但在進行配置時,雲端帳戶必須為線上。在配置第二種方法之後,雲端帳戶將支援兩種金鑰提供者。

如果要在系統上使用加密,您必須購買加密授權、在系統上啟動授權、啟用加密並建立金鑰的副本。如果未購買授權,請聯絡客戶代表以購買加密授權。

在您啟動和啟用加密之前,必須決定一旦系統要求出示加密金鑰,要用來存取金鑰資訊的方法。在下列作業期間,系統會要求出示加密金鑰:
  • 系統開啟電源
  • 系統重新啟動
  • 使用者起始重設金鑰作業
  • 系統回復
  • 卸下或更換自行加密磁碟機
規劃加密時必須考量幾項因素。
  • 系統的實體安全
  • USB 埠及可攜式媒體的其他安全需求。如果您的環境需要停用 USB 埠,請使用金鑰伺服器來管理加密金鑰。
  • 在系統要求時手動存取加密金鑰的需求與好處
  • 金鑰資料的可用性
  • 已購買加密授權,並在系統上啟動及啟用
  • 如果您要使用 IBM Security Key Lifecycle Manager 來建立及管理金鑰,請確定您使用的是 2.7.0 版或更新版本。如果使用 2.7 版,則系統支援一個主要金鑰伺服器及次要金鑰伺服器。不過,抄寫是一個手動程序,在重設金鑰作業期間,在完成抄寫之前無法使用金鑰。如果使用 3.0 版或更高版本,則系統支援多個主要金鑰伺服器,這些伺服器會自動將金鑰抄寫至所有已配置的金鑰伺服器。
  • 如果您要使用 Gemalto SafeNet KeySecure 金鑰伺服器來建立和管理金鑰,則請確定系統是否需要使用者名稱和密碼向 KeySecure 金鑰伺服器進行鑑別。如果您計劃利用使用者名稱及密碼向這些金鑰伺服器鑑別系統,則必須在 KeySecure 介面中配置用於鑑別的使用者認證。若為 KeySecure 8.10 版以上,管理者可以配置使用者名稱和密碼,以於系統連接時進行鑑別。在 KeySecure 8.10 版之前,密碼是選用性的。

金鑰伺服器加密

金鑰伺服器因為有實用的特性而更值得使用,例如負責產生加密金鑰、備份及遵循開放式標準來輔助交互作業能力。在規劃金鑰伺服器加密時,考量下列各項很重要。

SSL 憑證
憑證是金鑰伺服器用來鑑別用戶端(例如,系統節點)和用戶端用來鑑別金鑰伺服器的主要方法,以便驗證是否允許存取儲存在金鑰伺服器中的金鑰。用戶端鑑別可確保金鑰伺服器不會讓不受信任的任一方存取金鑰。金鑰伺服器鑑別可以確保用戶端不會要求將機密的金鑰交給不受信任的一方儲存。系統需要伺服器憑證以容許其與 IBM Security Key Lifecycle Manager 伺服器通訊。在配置金鑰伺服器程序中,使用者必須匯出鑑別金鑰伺服器憑證所需的憑證管理中心 (CA) 憑證,並將其安裝到系統中。所有 IBM Security Key Lifecycle Manager 金鑰伺服器可配置成使用單一 CA 憑證(用於所有金鑰伺服器),或配置成讓每一個金鑰伺服器有自己的自簽憑證。此外,使用者還必須將系統憑證安裝在每一個金鑰伺服器,然後,IBM Security Key Lifecycle Manager 管理者就可以接受憑證來授權系統存取金鑰伺服器。實作金鑰伺服器加密時,需要有外部金鑰伺服器來產生金鑰並作為這些金鑰的儲存庫。
系統需求
目前僅支援一種金鑰伺服器。系統實作「金鑰管理互通協定」(Key Management Interoperability Protocol, KMIP),這會在用戶端和伺服器之間透過 SSL 連線傳送。支援自簽憑證和 CA 簽章的憑證。系統驗證伺服器的 SSL 憑證並遵守 KMIP 標準。現有的 SAS 硬體需要存取至少一個主要金鑰來解除鎖定,也需要能夠回應金鑰伺服器主要金鑰。第一次啟用金鑰伺服器很簡單。啟用金鑰伺服器加密之後,即可配置和啟用類型、建立伺服器端點,然後準備和確定金鑰。
安全需求
所有金鑰伺服器通訊的安全都由 TLS 1.2 通訊協定控管。加密金鑰在系統上使用 TLS 1.2 形成叢集。系統使用 AES-128 加密,這種加密使用 OpenSSL 庫介面。
IP 位址和埠

所有想要與金鑰伺服器通訊的節點都必須配置服務 IP 位址。節點必須配置完整服務 IP 堆疊(位址、閘道、遮罩),才有資格嘗試連接金鑰伺服器。金鑰伺服器通常在專用 LAN 上設定,這需要強制使用服務 IP 位址。如果只有一部分節點設定服務 IP 位址,則那些沒有服務 IP 位址的節點會記載錯誤。使用者提供的 IP 位址必須是系統用來與金鑰伺服器通訊的 IP 位址。

每一個金鑰伺服器的存取有其相關聯的 TCP 埠。因為一個金鑰伺服器會會為多個用戶端提供服務,系統容許使用者針對每個伺服器使用不同的埠,並在必要時啟用此埠的存取權。KMIP 伺服器相符性規定支援 TCP 埠 5696,因此這是伺服器端點的預設埠。

金鑰產生原則和金鑰資料庫

如果啟用金鑰伺服器加密,則金鑰伺服器會產生和管理主要金鑰。節點會產生其他所有金鑰。

金鑰資料庫可以是叢集化或未叢集化,視使用的金鑰伺服器類型而定。對於未叢集化的金鑰伺服器,使用者需要考量備份和抄寫金鑰資料庫。IBM Security Key Lifecycle Manager 是金鑰伺服器產品的範例,其中必須配置抄寫,才能在 IBM Security Key Lifecycle Manager 實例之間自動共用加密金鑰。如果不配置抄寫,則必須使用手動的備份及還原作業。其他產品可能自我抄寫,因此其他金鑰伺服器實例會自動建立任何新的金鑰。若為 IBM Security Key Lifecycle Manager,請遵循 IBM Security Key Lifecycle Manager 使用手冊來完成備份和還原。

金鑰伺服器加密的更新需求
如果是在 7.8.0 程式碼層次以前的系統上啟用加密,且系統已更新至程式碼層次 7.8.x 或更新層次,您必須執行 USB 重設金鑰作業來啟用金鑰伺服器加密。啟用金鑰伺服器加密之前,請使用管理 GUI 或執行 chencryption 指令。如果要執行重設金鑰作業,請使用管理 GUI 或執行下列指令。 
chencryption -usb newkey -key prepare
chencryption -usb newkey -key commit

重設金鑰作業必須在完成更新至 7.8.x 程式碼層次或更新層次之後,且在嘗試啟用金鑰伺服器加密之前。