Leiðbeiningar um CISCO HyperFlex HX gagnapall

CISCO HyperFlex HX gagnapallur

Upplýsingar um vöru

• Vöruheiti: HX öryggis dulkóðun
• Útgáfa: HXDP 5.01b
• Dulkóðunarlausn: Hugbúnaðarlausn sem notar Intersight Key Manager
• Tegund dulkóðunar: Sjálfsdulkóðandi drif (SEDs)
• Studdar drifgerðir: HDD og SSD SED frá Micron
• Fylgnistaðlar: FIPS 140-2 stig 2 (drifaframleiðendur) og FIPS 140-2 stig 1 (vettvangur)
• Dulkóðun um alla klasa: Dulkóðun á HX er innleidd í vélbúnaði fyrir gögn í hvíld eingöngu með því að nota SED
• Einstök VM dulkóðun: Meðhöndlað af hugbúnaði frá þriðja aðila eins og Hytrust eða gagnsæjum viðskiptavinum Vormetric
• VMware Native VM dulkóðun: Styður af HX til notkunar með SED dulkóðun
• Lykilstjórnun: Media Encryption Key (MEK) og Key Encryption Key (KEK) eru notaðir fyrir hvern SED
• Minnisnotkun: Dulkóðunarlyklar eru aldrei til staðar í hnútaminni
• Áhrif á árangur: Dulkóðun/afkóðun diska er meðhöndluð í vélbúnaði drifsins, heildarafköst kerfisins hafa ekki áhrif
• Viðbótar ávinningur af SED:
  • Tafarlaus dulmálseyðing til að draga úr starfslokum og endurútfærslukostnaði drifsins
  • Fylgni við reglur stjórnvalda eða iðnaðarins um persónuvernd
  • Minni hætta á þjófnaði á diskum og hnútaþjófnaði þar sem gögn verða ólæsileg þegar vélbúnaður er fjarlægður

Notkunarleiðbeiningar fyrir vöru

Til að nota HX öryggis dulkóðun skaltu fylgja þessum leiðbeiningum:

1. Gakktu úr skugga um að kerfið þitt styðji dulkóðun sem byggir á vélbúnaði eða að þú viljir frekar hugbúnaðarlausnina sem notar Intersight Key Manager.
2. Sjá stjórnunarskjöl eða hvítbók(ir) til að fá upplýsingar um dulkóðun sem byggir á hugbúnaði.
3. Ef þú velur að nota dulkóðun sem byggir á vélbúnaði með SED, vertu viss um að HX þyrpingin þín samanstandi af samræmdum hnútum (SEDs eða non-SEDs).
4. Fyrir SED, skilið að það eru tveir lyklar í notkun: Media Encryption Key (MEK) og Key Encryption Key (KEK).
5. MEK stjórnar dulkóðun og afkóðun gagna á diskinn og er tryggt og stjórnað í vélbúnaði.
6. KEK tryggir MEK/DEK og er viðhaldið í annað hvort staðbundinni eða ytri lyklageymslu.
7. Ekki hafa áhyggjur af því að lyklarnir séu til staðar í hnútaminni, þar sem dulkóðunarlyklar eru aldrei geymdir þar.
8. Athugaðu að dulkóðun/afkóðun disks er meðhöndluð í vélbúnaði drifsins, sem tryggir að heildarframmistöðu kerfisins verði ekki fyrir áhrifum.
9. Ef þú hefur sérstakar kröfur um samræmisstaðla skaltu hafa í huga að HX SED dulkóðuð drif uppfylla FIPS 140-2 stig 2 staðla frá drifframleiðendum, en HX dulkóðun á pallinum uppfyllir FIPS 140-2 stig 1 staðla.
10. Ef þú þarft að dulkóða einstakar VMs skaltu íhuga að nota þriðja aðila hugbúnað eins og Hytrust eða gagnsæjan viðskiptavin Vormetric. Að öðrum kosti geturðu notað innfædda VM dulkóðun VMware sem kynnt er í vSphere 3.
11. Hafðu í huga að notkun VM dulkóðunarbiðlara ofan á HX SED-undirstaða dulkóðun mun leiða til tvöfaldrar dulkóðunar gagna.
12. Gakktu úr skugga um að HX þyrping þín sé tengdur í gegnum traust netkerfi eða dulkóðuð göng fyrir örugga afritun, þar sem HX afritun er ekki dulkóðuð.

Algengar spurningar um HX öryggis dulkóðun

Frá og með HXDP 5.01b býður HyperFlex upp á hugbúnaðarlausn sem notar Intersight Key Manager fyrir kerfi sem annað hvort styðja ekki dulkóðun sem byggir á vélbúnaði eða fyrir notendur sem vilja þessa virkni fram yfir vélbúnaðarlausnir. Þessar algengar spurningar fjalla aðeins um SED-undirstaða vélbúnaðarlausnir fyrir HX dulkóðun. Sjá stjórnunarskjölin eða hvítbók(ir) til að fá upplýsingar um hugbúnaðarbyggða dulkóðun.

Fordómayfirlýsing
Skjalasafnið fyrir þessa vöru leitast við að nota hlutdrægt tungumál. Í tilgangi þessa skjalasetts er hlutdrægni skilgreint sem tungumál sem felur ekki í sér mismunun á grundvelli aldurs, fötlunar, kyns, kynþáttar, þjóðernis, kynhneigðar, félags-efnahagslegrar stöðu og samskiptatengsla. Undantekningar kunna að vera til staðar í skjölunum vegna tungumáls sem er harðkóða í notendaviðmóti vöruhugbúnaðarins, tungumáls sem notað er byggt á stöðluðum skjölum eða tungumáls sem er notað af vöru frá þriðja aðila sem vísað er til.

Hvers vegna Cisco fyrir öryggi og HX dulkóðun 

• Spurning 1.1: Hvaða ferli eru til staðar fyrir örugga þróun?
  A 1.1: Cisco Servers fylgja Cisco Secure Development Lifecycle (CSDL):
  • Cisco býður upp á ferla, aðferðafræði, ramma til að þróa innbyggt öryggi á Cisco netþjónum, ekki bara yfirborð
  • Sérstakt Cisco teymi fyrir ógnarlíkön/stöðugreiningu á UCS vörusafni
  • Cisco Advanced Security Initiative Group (ASIG) framkvæmir fyrirbyggjandi skarpskyggnipróf til að skilja hvernig ógnir koma inn og laga vandamál með því að efla HW & SW með CDETS og verkfræði
  • Sérstakt Cisco teymi til að prófa og meðhöndla varnarleysi á útleið og hafa samskipti sem öryggisráðgjafar til viðskiptavina
  • Allar undirliggjandi vörur fara í gegnum grunnkröfur um vöruöryggi (PSB) sem gilda um öryggisstaðla fyrir Cisco vörur
  • Cisco framkvæmir varnarleysi/samskiptareglur styrkleikaprófanir á öllum UCS útgáfum
• Spurning 1.2: Af hverju eru SEDs mikilvæg?
  A 1.2: SED eru notuð fyrir dulkóðun gagna í hvíld og eru skilyrði fyrir margar, ef ekki allar, alríkis-, lækna- og fjármálastofnanir.

Almennar upplýsingar lokiðview

• Spurning 2.1: Hvað eru SEDs?
  A 2.1: SED (Self-Encrypting Drives) hafa sérstakan vélbúnað sem dulkóðar gögn sem berast og afkóðar gögn á útleið í rauntíma.
• Spurning 2.2: Hvert er umfang dulkóðunar á HX?
  A 2.2: Dulkóðun á HX er sem stendur innleidd í vélbúnaði fyrir gögn í hvíld eingöngu með því að nota dulkóðuð drif (SED). HX dulkóðun er á þyrpingum. Einstök VM dulkóðun er meðhöndluð af hugbúnaði þriðja aðila eins og Hytrust eða gagnsæjum viðskiptavinum Vormetric og er utan sviðs HX ábyrgðar. HX styður einnig notkun á innfæddri VM dulkóðun frá VMware sem kynnt er í vSphere 3. Notkun VM dulkóðunarbiðlara ofan á HX SED dulkóðun mun leiða til tvöfaldrar dulkóðunar gagna. HX afritun er ekki dulkóðuð og byggir á traustum netum eða dulkóðuðum göngum sem endanlegur notandi notar.
• Spurning 2.3: Hvaða samræmisstaðla er uppfyllt með HX dulkóðun?
  A 2.3: HX SED dulkóðuð drif uppfylla FIPS 140-2 stig 2 staðla frá drifframleiðendum. HX dulkóðun á pallinum uppfyllir FIPS 140-2 stig 1 staðla.
• Spurning 2.4: Styðjum við bæði HDD og SSD fyrir dulkóðun?
  A 2.4: Já, við styðjum bæði HDD og SSD SED frá Micron.
• Spurning 2.5: Getur HX þyrping verið með dulkóðuð og ódulkóðuð drif á sama tíma?
  A 2.5: Allir hnútar í þyrpingunni verða að vera einsleitir (SEDs eða non-SEDs)
• Spurning 2.6: Hvaða lyklar eru í notkun fyrir SED og hvernig eru þeir notaðir?
  A 2.6: Það eru tveir lyklar í notkun fyrir hvern SED. Media Encryption Key (MEK) einnig kallaður Disk Encryption Key (DEK), stjórnar dulkóðun og afkóðun gagna á diskinn og er tryggður og stjórnaður í vélbúnaði. Key Encryption Key (KEK) tryggir DEK/MEK og er viðhaldið í annað hvort staðbundinni eða ytri lyklageymslu.
• Spurning 2.7: Eru lyklarnir alltaf til staðar í minninu?
  A 2.7: Dulkóðunarlyklar eru aldrei til staðar í hnútaminni
• Spurning 2.8: Hvaða áhrif hefur dulkóðunar-/afkóðunarferlið á frammistöðu?
  A 2.8: Dulkóðun/afkóðun diska er meðhöndluð í vélbúnaði drifsins. Heildarframmistaða kerfisins hefur ekki áhrif og er ekki háð árásum sem beinast að öðrum hlutum kerfisins
• Spurning 2.9: Fyrir utan dulkóðun í hvíld, hverjar eru aðrar ástæður til að nota SED?
  A 2.9: SEDs geta dregið úr starfslokum og endurdreifingarkostnaði með tafarlausri dulritunareyðingu. Þeir þjóna einnig til að uppfylla reglur stjórnvalda eða iðnaðarins um persónuvernd gagna. Annar advantage er minni hætta á þjófnaði á diskum og hnútaþjófnaði þar sem gögnin, þegar vélbúnaðurinn er fjarlægður úr vistkerfinu, eru ólæsileg.
• Spurning 2.10: Hvað gerist við deduplication og þjöppun með SEDs? Hvað gerist við hugbúnaðarbyggða dulkóðun frá þriðja aðila?
  A2.10: Tvíföldun og þjöppun með SED á HX er viðhaldið þar sem dulkóðun gagna í hvíld á sér stað sem síðasta skref í skrifferlinu. Aftvíföldun og þjöppun hafa þegar átt sér stað. Með hugbúnaðartengdum dulkóðunarvörum frá þriðja aðila, stjórna VMs dulkóðun sinni og senda dulkóðuð skrif til yfirsýnarans og í kjölfarið HX. Þar sem þessi skrif eru nú þegar dulkóðuð verða þau ekki afrituð eða þjöppuð. HX Software Based Encryption (í 3.x kóðalínunni) verður hugbúnaðar dulkóðunarlausn sem er innleidd í staflann eftir að skrifhagræðingar (aftvíföldun og þjöppun) hafa átt sér stað þannig að ávinningurinn haldist í því tilviki.

Myndin hér að neðan er lokiðview af innleiðingu SED með HX.

Upplýsingar um drif 

• Spurning 3.1: Hver framleiðir dulkóðuðu drifin sem eru notuð í HX?
  A 3.1: HX notar drif sem framleidd eru af Micron: Micron-sértæk skjöl eru tengd í fylgiskjölum í þessum algengu spurningum.
• Spurning 3.2: Styðjum við einhverjar SED sem eru ekki í samræmi við FIPS?
  A 3.2: Við styðjum einnig suma drif sem eru ekki FIPS, en styðja SED (TCGE).
• Spurning 3.3: Hvað er TCG?
  A 3.3: TCG er Trusted Computing Group, sem býr til og stjórnar forskriftarstaðlinum fyrir dulkóðaða gagnageymslu
• Spurning 3.4: Hvað er talið öryggi í fyrirtækjaflokki þegar kemur að SAS SSD diskum fyrir gagnaverið? Hvaða sérstaka eiginleika hafa þessir drif sem tryggja öryggi og vernda gegn árás?
  A 3.4: Þessi listi tekur saman eiginleika fyrirtækja í flokki SED sem notuð eru í HX og hvernig þeir tengjast TCG staðlinum.
  1. Sjálfsdulkóðandi drif (SEDs) veita sterkt öryggi fyrir gögn í hvíld á SED þínum, sem kemur í veg fyrir óviðkomandi gagnaaðgang. Trusted Computing Group (TCG) hefur þróað lista yfir eiginleika og kosti sjálfsdulkóðunar drifs fyrir bæði HDD og SSD. TCG veitir staðal sem er kallaður TCG Enterprise SSC (Security Subsystem Class) og er lögð áhersla á gögn í hvíld. Þetta er krafa fyrir alla SED. Forskriftin á við um gagnageymslutæki og stýringar sem starfa í fyrirtækjageymslu. Á listanum eru:
     • Gagnsæi: Engar kerfis- eða forritsbreytingar eru nauðsynlegar; dulkóðunarlykill sem er búinn til af drifinu sjálfu með því að nota innbyggðan sannkallaðan slembitölugjafa; drifið er alltaf að dulkóða.
     • Auðveld stjórnun: Enginn dulkóðunarlykill til að stjórna; hugbúnaðarframleiðendur nýta staðlað viðmót til að stjórna SED, þar á meðal fjarstjórnun, auðkenningu fyrir ræsingu og endurheimt lykilorðs
     • Kostnaður við förgun eða endurnýtingu: Með SED skaltu eyða dulkóðunarlykli um borð
     • Endurdulkóðun: Með SED er engin þörf á að dulkóða gögnin aftur
     • Frammistaða: Engin hnignun í SED frammistöðu; byggt á vélbúnaði
     • Stöðlun: Allur drifiðnaðurinn byggir eftir TCG/SED forskriftunum
     • Einfölduð: Engin truflun á uppstreymisferlum
  2. SSD SEDs bjóða upp á getu til að eyða drifinu með dulmáli. Þetta þýðir að hægt er að senda einfalda staðfesta skipun á drifið til að breyta 256 bita dulkóðunarlyklinum sem geymdur er á drifinu. Þetta tryggir að drifið sé hreinsað og engin gögn eru eftir. Jafnvel upprunalega hýsingarkerfið getur ekki lesið gögnin, þannig að þau verða algjörlega ólæsileg fyrir önnur kerfi. Aðgerðin tekur aðeins nokkrar sekúndur, öfugt við þær margar mínútur eða jafnvel klukkustundir sem það tekur að framkvæma hliðstæða aðgerð á ódulkóðuðum HDD og forðast kostnað við dýran HDD de-gauss búnað eða þjónustu.
  3. FIPS (Federal Information Processing Standard) 140-2 er bandarískur ríkisstaðall sem lýsir dulkóðun og tengdum öryggiskröfum sem upplýsingatæknivörur ættu að uppfylla fyrir viðkvæma, en óflokkaða, notkun. Þetta er oft krafa fyrir ríkisstofnanir og fyrirtæki í fjármálaþjónustu og heilbrigðisgeiranum líka. SSD sem er FIPS-140-2 fullgiltur notar sterka öryggisvenjur, þar á meðal samþykkta dulkóðunaralgrím. Það tilgreinir einnig hvernig einstaklingar eða önnur ferli verða að fá leyfi til að nýta vöruna og hvernig einingar eða íhlutir verða að vera hannaðir til að hafa örugg samskipti við önnur kerfi. Reyndar er ein af kröfunum fyrir FIPS-140-2 staðfest SSD drif að það sé SED. Hafðu í huga að þó TCG sé ekki eina leiðin til að fá vottað dulkóðað drif, þá veita TCG Opal og Enterprise SSC forskriftirnar okkur skref í átt að FIPS staðfestingu. 4. Annar mikilvægur eiginleiki er Örugg niðurhal og greining. Þessi fastbúnaðaraðgerð verndar drifið fyrir hugbúnaðarárásum með stafrænni undirskrift sem er innbyggð í fastbúnaðinn. Þegar niðurhals er þörf kemur stafræna undirskriftin í veg fyrir óviðkomandi aðgang að drifinu og kemur í veg fyrir að falsaður fastbúnaður sé hlaðinn á drifið.

Hyperflex uppsetning með SEDs

• Spurning 4.1: Hvernig meðhöndlar uppsetningarforritið SED uppsetningu? Eru einhverjar sérstakar athuganir?
  A 4.1: Uppsetningarforritið hefur samskipti við UCSM og tryggir að fastbúnaður kerfisins sé réttur og studdur fyrir fundinn vélbúnað. Dulkóðunarsamhæfi er athugað og framfylgt (td engin blöndun SED og non-SED).
• Spurning 4.2: Er dreifingin öðruvísi að öðru leyti?
  A 4.2: Uppsetningin er svipuð venjulegri HX uppsetningu, þó er sérsniðið verkflæði ekki stutt fyrir SED. Þessi aðgerð krefst UCSM skilríkja fyrir SED líka.
• Spurning 4.3: Hvernig virkar leyfisveiting með dulkóðun? Er eitthvað aukaatriði sem þarf að vera til staðar?
  A 4.3: SED vélbúnaður (pantaður frá verksmiðju, ekki endurbyggður) + HXDP 2.5 + UCSM (3.1(3x)) eru það eina sem þarf til að virkja dulkóðun með lyklastjórnun. Það er engin viðbótarleyfi fyrir utan grunn HXDP áskriftina sem krafist er í útgáfu 2.5.
• Spurning 4.4: Hvað gerist þegar ég er með SED kerfi sem hefur drif sem eru ekki lengur tiltæk? Hvernig get ég stækkað þennan klasa?
  A 4.4: Alltaf þegar við höfum einhvern PID sem er endanlega frá birgjum okkar, höfum við PID í staðinn sem er samhæft við gamla PID. Hægt er að nota þetta PID í staðinn fyrir RMA, stækkun innan hnút og stækkun klasa (með nýjum hnútum). Allar aðferðir eru allar studdar, en þær gætu þurft að uppfæra í tiltekna útgáfu sem er einnig auðkennd í útgáfuskýringum umbreytinga.

Lykilstjórnun

• Spurning 5.1: Hvað er lykilstjórnun?
  A 5.1: Lyklastjórnun er verkefnin sem felast í því að vernda, geyma, taka öryggisafrit og skipuleggja dulkóðunarlykla. HX útfærir þetta í UCSM-miðlægri stefnu.
• Spurning 5.2: Hvaða kerfi veitir stuðning við lykilstillingar?
  A 5.2: UCSM veitir stuðning til að stilla öryggislykla.
• Spurning 5.3: Hvers konar lyklastjórnun er í boði?
  A 5.3: Staðbundin stjórnun lykla er studd, ásamt fjarlyklastjórnun í fyrirtækjaflokki með lyklastjórnunarþjónum þriðja aðila.
• Spurning 5.4: Hverjir eru samstarfsaðilar fjarlyklastjórnunar?
  A 5.4: Við styðjum nú Vormetric og Gemalto (Safenet) og felur í sér mikið framboð (HA). HyTrust er í prófun.
• Spurning 5.5: Hvernig er fjarlyklastjórnun útfærð?
  A 5.5: Fjarlyklastjórnun er meðhöndluð í gegnum KMIP 1.1.
• Spurning 5.6: Hvernig er staðbundin stjórnun stillt?
  A 5.6: Öryggislykillinn (KEK) er stilltur í HX Connect, beint af notandanum.
• Spurning 5.7: Hvernig er fjarstjórnun stillt?
  A 5.7: Fjarlyklastjórnunarupplýsingar (KMIP) netfangsupplýsingar ásamt innskráningarskilríkjum eru stilltar í HX Connect af notandanum.
• Spurning 5.8: Hvaða hluti af HX hefur samskipti við KMIP netþjóninn til uppsetningar?
  A 5.8: CIMC á hverjum hnút notar þessar upplýsingar til að tengjast KMIP þjóninum og sækja öryggislykilinn (KEK) af honum.
  
• Spurning 5.9: Hvaða tegundir vottorða eru studdar í lyklamyndun/endurheimtu/uppfærsluferli?
  A 5.9: CA-undirrituð og sjálf-undirrituð vottorð eru bæði studd.
  
• Spurning 5.10: Hvaða verkflæði eru studd með dulkóðunarferlinu?
  A 5.10: Stuðningur við að vernda/afvernda með því að nota sérsniðið lykilorð ásamt staðbundinni til ytri lyklastjórnunarbreytingar. Endurlyklaaðgerðir eru studdar. Örugg aðgerð til að eyða diski er einnig studd.
  

Verkflæði notenda: Staðbundið

• Spurning 6.1: Hvar setti ég upp staðbundna lyklastjórnun í HX Connect?
  A 6.1: Í dulkóðunarstjórnborðinu skaltu velja stillingarhnappinn og fylgja töframanninum.
• Spurning 6.2: Hvað þarf ég að hafa tilbúið til að koma þessu af stað?
  A 6.2: Þú þarft að gefa upp 32 stafa öryggisaðgangsorð.
• Spurning 6.3: Hvað gerist ef ég þarf að setja inn nýtt SED?
  A 6.3: Í UCSM þarftu að breyta staðbundinni öryggisstefnu og stilla notaða lykilinn á núverandi hnútalykil.
• Spurning 6.4: Hvað gerist þegar ég set nýja diskinn í?
  A 6.4: Ef öryggislykillinn á disknum passar við netþjóninn (hnút) opnast hann sjálfkrafa. Ef öryggislyklarnir eru öðruvísi mun diskurinn birtast sem „Læstur“. Þú getur annað hvort hreinsað diskinn til að eyða öllum gögnum eða opnað hann með því að gefa upp réttan lykil. Þetta er góður tími til að taka þátt í TAC.

Verkflæði notenda: Fjarstýring

• Spurning 7.1: Hvað þarf ég að passa upp á með uppsetningu fjarlyklastjórnunar?
  A 7.1: Samskipti milli þyrpingarinnar og KMIP þjónsins(s) eiga sér stað yfir CIMC á hverjum hnút. Þetta þýðir að hýsingarheitið er aðeins hægt að nota fyrir KMIP miðlara ef Inband IP tölu og DNS er stillt á CIMC stjórnun
• Spurning 7.2: Hvað gerist ef ég þarf að skipta um eða setja inn nýjan SED?
  A 7.2: Þyrpingin mun lesa auðkennið af disknum og reyna að opna það sjálfkrafa. Ef sjálfvirk opnun mistekst kemur diskurinn upp sem „læstur“ og notandi verður að opna diskinn handvirkt. Þú verður að afrita skírteinin á KMIP netþjón(a) til að skiptast á skilríkjum.
• Spurning 7.3: Hvernig afrita ég vottorð úr þyrpingunni yfir á KMIP þjóninn(a)?
  A 7.3: Það eru tvær leiðir til að gera þetta. Þú getur afritað vottorðið beint frá BMC yfir á KMIP netþjóninn eða þú getur notað CSR til að fá CA-undirritað vottorð og afritað CA-undirritað vottorð til BMC með UCSM skipunum.
• Spurning 7.4: Hvaða atriði þarf að huga að því að bæta dulkóðuðum hnútum við þyrping sem notar fjarlyklastjórnun?
  A 7.4: Þegar nýjum hýslum er bætt við KMIP þjóninn(a), ætti hýsilnafnið sem notað er að vera raðnúmer þjónsins. Til að fá vottorð KMIP þjónsins geturðu notað vafra til að fá rótarvottorð KMIP þjónsins/þjónanna.

Verkflæði notenda: Almennt

• Spurning 8.1: Hvernig eyði ég diski?
  A 8.1: Í HX Connect mælaborðinu skaltu velja kerfisupplýsingarnar view. Þaðan geturðu valið einstaka diska til öruggrar eyðingar.
• Spurning 8.2: Hvað ef ég eyddi diski fyrir slysni?
  A 8.2: Þegar örugg eyðing er notuð er gögnunum eytt varanlega
• Spurning 8.3: Hvað gerist þegar ég vil taka hnút úr notkun eða aftengja þjónustuaðilafile?
  A 8.3: Engin af þessum aðgerðum mun fjarlægja dulkóðunina á disknum/stýringunni.
• Spurning 8.4: Hvernig verður dulkóðun óvirkjuð?
  A 8.4: Notandinn þarf að slökkva á dulkóðun sérstaklega í HX Connect. Ef notandinn reynir að eyða öryggisstefnu í UCSM þegar tengdur þjónn hefur verið tryggður mun UCSM sýna stillingarvillu og banna aðgerðina. Fyrst verður að slökkva á öryggisstefnunni.

Verkflæði notenda: Skírteinastjórnun

• Spurning 9.1: Hvernig er meðhöndlað vottorð við uppsetningu fjarstýringar?
  A 9.1: Vottorð eru búin til með HX Connect og ytri KMIP netþjónum. Vottorð þegar búið er til verður nánast aldrei eytt.
• Spurning 9.2: Hvers konar vottorð get ég notað?
  A 9.2: Hægt er að nota annað hvort sjálfstætt undirrituð vottorð eða CA vottorð. Þú verður að velja meðan á uppsetningu stendur. Fyrir CA undirrituð vottorð muntu búa til sett af undirritunarbeiðnum um skírteini (CSR). Undirrituðum vottorðum er hlaðið upp á KMIP netþjón(a).
• Spurning 9.3: Hvaða hýsingarnafn ætti ég að nota við að búa til vottorðin?
  A 9.3: Hýsilnafnið sem notað er til að búa til vottorðið ætti að vera raðnúmer þjónsins.

Firmware uppfærslur

• Spurning 10.1: Eru einhverjar takmarkanir á uppfærslu á fastbúnaði disksins?
  A 10.1: Ef drif sem hæfir dulkóðun finnst, verða allar fastbúnaðarbreytingar á disknum ekki leyfðar fyrir þann disk.
• Spurning 10.2: Eru einhverjar takmarkanir á uppfærslu UCSM fastbúnaðar?
  A 10.2: Niðurfærsla á UCSM/CIMC í pre-UCSM 3.1(3x) er takmörkuð ef það er stjórnandi sem er í öruggu ástandi.

Öruggar eyðingarupplýsingar

• Spurning 11.1: Hvað er örugg eyðing?
  A 11.1: Örugg eyðing er tafarlaus eyðing gagna á drifinu (þurrkaðu af dulkóðunarlyklinum disksins). Þetta þýðir að hægt er að senda einfalda staðfesta skipun á drifið til að breyta 256 bita dulkóðunarlyklinum sem geymdur er á drifinu. Þetta tryggir að drifið sé hreinsað og engin gögn eru eftir. Jafnvel upprunalega hýsingarkerfið getur ekki lesið gögnin svo þau verða ólæsileg fyrir önnur kerfi. Aðgerðin tekur aðeins nokkrar sekúndur, öfugt við þær margar mínútur eða jafnvel klukkustundir sem það tekur að framkvæma hliðstæða aðgerð á ódulkóðuðum diski og forðast kostnað við dýran afhjúpunarbúnað eða þjónustu.
• Spurning 11.2: Hvernig er örugg eyðing framkvæmd?
  A 11.2: Þetta er GUI aðgerð sem er framkvæmd eitt drif í einu.
• Spurning 11.3: Hvenær er örugg eyðing venjulega framkvæmd?
  A 11.3: Örugg eyðing á einum diski af notanda er sjaldgæf aðgerð. Þetta er aðallega gert þegar þú vilt fjarlægja diskinn líkamlega til að skipta um, flytja hann yfir á annan hnút eða forðast bilun í náinni framtíð.
• Spurning 11.4: Hvaða takmarkanir eru á öruggri eyðingu?
  A 11.4: Öruggar eyðingaraðgerðir er aðeins hægt að framkvæma ef klasinn er heilbrigður til að tryggja að bilunarþol klasans verði ekki fyrir áhrifum.
• Spurning 11.5: Hvað gerist ef ég þarf að fjarlægja heilan hnút?
  A 11.5: Það eru verkflæði til að fjarlægja hnút og skipta um hnút til að styðja við örugga eyðingu á öllum drifum. Sjá stjórnunarhandbókina fyrir frekari upplýsingar eða ráðfærðu þig við Cisco TAC.
• Spurning 11.6: Er hægt að endurnýta disk sem hefur verið eytt á öruggan hátt?
  A 11.6: Diskur sem hefur verið eytt á öruggan hátt er aðeins hægt að endurnýta í öðrum klasa. Örugg eyðing á SED er gerð með því að þurrka dulkóðunarlykil disksins (DEK). Ekki er hægt að afkóða gögnin á disknum án DEK. Þetta gerir þér kleift að endurnýta eða taka diskinn úr notkun án þess að gögnin séu í hættu.
• Spurning 11.7: Hvað gerist ef diskurinn sem ég vil eyða inniheldur síðasta aðaleintakið af klasagögnum?
  A 11.7: Gögnin á disknum ættu að hafa önnur eintök í þyrpingunni til að forðast gagnatap. Hins vegar, ef beðið er um örugga eyðingu á diski sem er síðasta aðal eintakið, þá verður þessari aðgerð hafnað þar til það er að minnsta kosti eitt eintak í viðbót tiltækt. Rebalance ætti að vera að gera þetta afrit í bakgrunni.
• Spurning 11.8: Ég þarf virkilega að eyða diski á öruggan hátt, en þyrpingin er ekki heilbrigð. Hvernig get ég gert það?
  A 11.8: Skipanalínan (STCLI/HXCLI) mun leyfa örugga eyðingu þegar þyrpingin er ekki heilbrigð og diskurinn inniheldur ekki síðasta aðaleintakið, annars er það bannað.
• Spurning 11.9: Hvernig get ég eytt á öruggan hátt heilan hnút?
  A 11.9: Þetta er sjaldgæf atburðarás. Örugg eyðing á öllum diskum í hnút er gert þegar maður vill taka hnútinn úr þyrpingunni. Ætlunin er annað hvort að dreifa hnútnum í annan klasa eða taka hnútinn úr notkun. Við getum flokkað fjarlægingu hnúta í þessari atburðarás á tvo mismunandi vegu:
  1. Öruggt að eyða öllum diskunum án þess að slökkva á dulkóðun
  2. Öruggt að eyða öllum diskum og síðan slökkva á dulkóðun fyrir þann hnút (og diska). Vinsamlegast hafðu samband við Cisco TAC til að fá aðstoð.

Örugg stækkun klasa

• Spurning 12.1: Hvers konar hnút get ég stækkað dulkóðaðan þyrping með?
  A 12.1: Aðeins SED-hæfa hnúta er hægt að bæta við HX þyrping með SED.
• Spurning 12.2: Hvernig er stækkun með staðbundinni lyklastjórnun háttað?
  A 12.2: Staðbundin lykilstækkun er óaðfinnanleg aðgerð án þess að utanaðkomandi stillingar séu nauðsynlegar.
• Spurning 12.3: Hvernig er stækkun með fjarlyklastjórnun meðhöndluð?
  A 12.3: Stækkun fjarlykla krefst læsingar með vottorðum/lyklastjórnunarinnviðum:
  • Vottorð eru nauðsynleg til að bæta nýjum hnút á öruggan hátt
  • Uppsetningin mun sýna viðvörun með skrefum til að halda áfram, þar á meðal tengil fyrir niðurhal vottorðs
  • Notandinn fylgir skrefum til að hlaða upp vottorðum og reynir síðan dreifinguna aftur

Stuðningsskjöl

Míkron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Listi yfir dulritunar reiknirit samþykkt fyrir FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Verkefni: CSC.nuova Vara: ucs-blade-server Hluti: ucsm

SED hagnýtur forskrift:

• EDCS: 1574090

SED CIMC forskrift:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Póstlistar:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com