加密

如果要在系統上使用加密,您必須購買加密授權、在系統上啟動授權、啟用加密並建立金鑰的副本。如果未購買授權,請聯絡客戶代表以購買加密授權。

註: 如果使用緊急備用節點,來更換支援加密的失效節點,則該緊急備用節點也需要有加密授權。

系統支援選用的靜態資料加密。此支援可在儲存裝置丟棄、遺失或失竊時,保護其中儲存的機密使用者資料及使用者 meta 資料不會曝光。如果要在系統上使用加密,支援加密的每一個節點都需要加密授權。 如果您向加密系統新增新節點,則該新節點也必須經過許可。

存取加密系統

在可以啟用加密之前,請確定您已購買授權並啟動,之後再在系統上配置該功能。 系統支援兩種配置加密方法。您可以使用集中式金鑰伺服器,來簡化系統上加密金鑰的建立及管理。 這種加密金鑰管理方法很適合金鑰管理的安全及簡化。此外,系統也支援將加密金鑰儲存在 USB 快閃記憶體隨身碟上。USB 快閃記憶體隨身碟型加密需要實際存取系統,在最少量系統的環境下較實用。對於在 USB 快閃記憶體隨身碟方面需要嚴密安全原則的組織,系統支援停用這些埠,以避免在未獲授權的情況下將系統資料傳送至可攜式媒體裝置。如果您具有此類安全需求,請使用金鑰伺服器來管理加密金鑰。

如果要將磁碟機上儲存的資料加密,可以加密的節點必須獲得授權,且配置成使用加密。在系統上啟動並啟用加密之後,當系統將磁碟機解除鎖定或使用者產生新的金鑰時,系統上必須存在有效的加密金鑰。 如果在系統上啟用金鑰伺服器加密,則會從金鑰伺服器擷取金鑰。如果在系統上啟用 USB 加密,加密金鑰必須儲存在 USB 快閃記憶體隨身碟上,其中含有啟用加密時所產生的金鑰副本。

如果您使用加密來保護複製到雲端儲存體的資料,雲端帳戶一律與系統加密設定同步。如果同時配置 USB 快閃記憶體隨身碟 和金鑰伺服器,則建立的雲端帳戶支援這兩種方法。如果只配置其中一種加密方法而停用另一種方法,則雲端帳戶支援採用其餘配置之加密方法的加密。為了確保雲端帳戶支援加密,當建立雲端帳戶時必須以作用中的金鑰來配置一或兩種方法。

如果以一種加密方法來建立雲端帳戶,您可以稍後配置第二種方法,但在進行配置時,雲端帳戶必須為線上。在配置第二種方法之後,雲端帳戶將支援兩種金鑰提供者。

在您啟動和啟用加密之前,必須決定一旦系統要求出示加密金鑰,要用來存取金鑰資訊的方法。在下列作業期間,系統會要求出示加密金鑰:
  • 系統開啟電源
  • 系統重新啟動
  • 使用者起始重設金鑰作業
  • 系統回復
  • 卸下或更換自行加密磁碟機
規劃加密時必須考量幾項因素。
  • 系統的實體安全
  • USB 埠及可攜式媒體的其他安全需求。如果您的環境需要停用 USB 埠,請使用金鑰伺服器來管理加密金鑰。
  • 在系統要求時手動存取加密金鑰的需求與好處
  • 金鑰資料的可用性
  • 已購買加密授權,並在系統上啟動及啟用
  • 如果您要使用 IBM Security Key Lifecycle Manager 來建立及管理金鑰,請確定您使用的是 2.7.0 版或更新版本。如果使用 2.7 版,則系統支援一個主要金鑰伺服器及次要金鑰伺服器。不過,抄寫是一個手動程序,在重設金鑰作業期間,在完成抄寫之前無法使用金鑰。如果使用 3.0 版或更高版本,則系統支援多個主要金鑰伺服器,這些伺服器會自動將金鑰抄寫至所有已配置的金鑰伺服器。
  • 如果您要使用 Gemalto SafeNet KeySecure 金鑰伺服器來建立和管理金鑰,則請確定系統是否需要使用者名稱和密碼向 KeySecure 金鑰伺服器進行鑑別。如果您計劃利用使用者名稱及密碼向這些金鑰伺服器鑑別系統,則必須在 KeySecure 介面中配置用於鑑別的使用者認證。若為 KeySecure 8.10 版以上,管理者可以配置使用者名稱和密碼,以於系統連接時進行鑑別。在 KeySecure 8.10 版之前,密碼是選用性的。

使用金鑰伺服器進行加密

金鑰伺服器是產生、儲存及傳送加密金鑰給系統的中央系統。部分金鑰伺服器提供者支援在多部金鑰伺服器之間抄寫金鑰。如果支援多部金鑰伺服器,您可以指定最多四部透過公用網路或個別私密網路連接至系統的金鑰伺服器。該系統支援透過 IBM Security Key Lifecycle Manager 或 Gemalto SafeNet KeySecure 金鑰伺服器來管理系統上的金鑰。這兩個受支援的金鑰伺服器管理應用程式可為系統建立及管理加密金鑰,並可讓您透過憑證存取這些金鑰。系統上每次只能啟用一種類型的金鑰伺服器管理應用程式。 系統和金鑰伺服器之間交換憑證時,會執行此鑑別。必須嚴密管理憑證,因為過期的憑證會造成系統運作中斷。在系統上定義金鑰伺服器之前,必須先安裝和配置金鑰伺服器。

IBM Security Key Lifecycle Manager 加密金鑰伺服器支援加密金鑰管理交互作業能力協定 (KMIP),這是加密儲存資料和管理加密金鑰的標準。

系統在 IBM Security Key Lifecycle Manager 上支援不同類型的金鑰伺服器配置。支援的配置如下:
  • 一個主要金鑰伺服器和多個次要金鑰伺服器:IBM Security Key Lifecycle Manager 金鑰伺服器指定一個主金鑰伺服器,它最多可定義三個輔助金鑰伺服器(也稱為複本)。這些額外的金鑰伺服器支援透過多個路徑來提供金鑰給系統;不過,在重設金鑰期間,只會使用主要金鑰伺服器的路徑。當系統重設金鑰時,在主要金鑰伺服器將新的金鑰抄寫到次要金鑰伺服器之前,這些次要金鑰伺服器無法使用。抄寫金鑰至次要金鑰伺服器所需要的時間,視要抄寫的金鑰和憑證資訊數量而定。每一個抄寫至次要金鑰伺服器的作業都需要一些時間。必須完成抄寫作業,才能在系統上使用金鑰。您可以排程自動抄寫,或使用 IBM Security Key Lifecycle Manager 以手動完成抄寫。在抄寫的期間,無法使用金鑰伺服器來配送金鑰或接受新的金鑰。在 IBM Security Key Lifecycle Manager 上完成抄寫所花費的總時間取決於配置為複本的金鑰伺服器數量。如果是手動觸發抄寫,當抄寫完成時,IBM Security Key Lifecycle Manager 會發出完成訊息。請先驗證所有金鑰伺服器都包含抄寫的金鑰和憑證資訊,然後才在系統上使用金鑰。
  • 多個主要金鑰伺服器:可在多重主要配置中配置金鑰伺服器,其中每個金鑰伺服器都能夠建立新的加密金鑰。在這種情況下,可以將任一伺服器設定為主要金鑰伺服器。主要金鑰伺服器是您建立任何新金鑰伺服器加密金鑰時系統所使用的金鑰伺服器。如果在 IBM Security Key Lifecycle Manager 上已啟用多重主要模式,則會立即將金鑰抄寫到配置中的其他金鑰伺服器。

有關受支援版本的更多資訊,請參閱 IBM Security Key Lifecycle Manager IBM Knowledge Center。

在系統上為 IBM Security Key Lifecycle Manager 金鑰伺服器建立金鑰伺服器物件時,除名稱、IP 位址、埠和憑證資訊外還必須建立一個裝置群組。裝置群組是安全認證(包括金鑰和金鑰群組)的集合,它容許對較大儲存區中的裝置子集進行有限管理。如果您是使用預設值,則必須在金鑰伺服器上將系統定義給 SPECTRUM_VIRT 裝置群組。如果金鑰伺服器上不存在 SPECTRUM_VIRT 裝置群組,則必須基於 GPFS 裝置系列建立該群組。如果要配置多個金鑰伺服器,則必須在主要金鑰伺服器和所有其他金鑰伺服器上定義 SPECTRUM_VIRT 裝置群組。

Gemalto SafeNet KeySecure 金鑰伺服器還支援 KMIP,並且會根據需要建立金鑰,然後與其他叢集伺服器共用這些金鑰,從而提供備援存取。系統支援 KeySecure 金鑰伺服器上不同類型的配置。支援的配置如下:
  • KeySecure 金鑰伺服器使用主動-主動模型,其中有多個金鑰伺服器以用於提供備援。必須將一個 KeySecure 金鑰伺服器指定為主要金鑰伺服器。主要金鑰伺服器是在建立任何新的加密金鑰時系統使用的金鑰伺服器。該金鑰將立即抄寫到 KeySecure 叢集中的其他金鑰伺服器。系統中定義的所有 KeySecure 金鑰伺服器都可用來擷取金鑰。雖然可以使用 KeySecure 來配置單一金鑰伺服器實例,但建議配置兩個金鑰伺服器,以在其中一個金鑰伺服器遭遇中斷時確保金鑰的可用性。
  • 系統透過 KeySecure 最多支援四台金鑰伺服器。如果系統存取多個金鑰伺服器,這些伺服器與 KeySecure 金鑰伺服器必須屬於同一個叢集。

使用 USB 快閃記憶體隨身碟來加密

您可以使用 USB 快閃記憶體隨身碟來啟用加密,並將金鑰複製到系統。您必須建立系統加密金鑰,並將這些金鑰寫入所有 USB 快閃磁碟機。

存取 USB 快閃記憶體隨身碟上的金鑰資訊時,有兩個可用的選項:

USB 快閃記憶體隨身碟隨時都保持插在系統中
如果您想要系統自動重新啟動,則 USB 快閃記憶體隨身碟必須保持插在系統上的所有節點中。 開啟電源後,所有節點都有權存取加密金鑰。 這個方法要求系統所在的實體環境必須很安全。如果位置很安全,則可防止未獲授權的人複製加密金鑰、竊取系統,或存取系統上儲存的資料。 如果將包含有效加密金鑰的 USB 快閃記憶體磁碟機保持插在兩個機匣中,則系統將一律有權存取加密金鑰,並且磁碟機上的使用者資料將一律可存取。
若無需要,USB 快閃記憶體隨身碟不要一直插在系統中
最安全的作業方式是不要將 USB 快閃記憶體隨身碟一直插在系統的節點上。不過,在系統要求有加密金鑰存在的作業期間,這個方法需要您手動將含有加密金鑰副本的 USB 快閃記憶體隨身碟插在節點中。必須安全地存放含有金鑰的 USB 快閃記憶體隨身碟,以防遭竊或遺失。在系統要求有加密金鑰存在的作業期間,必須手動將 USB 快閃記憶體隨身碟插在每一個節點中,以便能夠存取資料。 當系統完成磁碟機解除鎖定之後,必須移除 USB 快閃記憶體隨身碟並妥善保存,以防遭竊或遺失。

加密技術

「進階加密標準 (AES)」演算法利用 XTS 模式中的 256 位元對稱加密金鑰(在 IEEE 1619-2007 標準和 NIST Special Publication 800-38E 中定義為 XTS-AES-256)來保護資料加密。該資料加密金鑰本身是由一個金鑰的 256 位元 AES 金鑰包所保護,而該金鑰衍生自 USB 快閃記憶體隨身碟上儲存的存取金鑰。封裝金鑰以永久形式儲存在系統中。