CISCO HyperFlex HX Məlumat Platforması

Məhsul haqqında məlumat

• Məhsulun adı: HX Təhlükəsizlik Şifrələmə
• Versiya: HXDP 5.01b
• Şifrələmə Həlli: Intersight Key Manager istifadə edərək proqram əsaslı həll
• Şifrələmə növü: Özünü Şifrələyən Sürücülər (SED)
• Dəstəklənən Sürücü növləri: Micron-dan HDD və SSD SED
• Uyğunluq Standartları: FIPS 140-2 səviyyə 2 (sürücü istehsalçıları) və FIPS 140-2 səviyyə 1 (platforma)
• Klaster Geniş Şifrələmə: HX-də şifrələmə yalnız SED-lərdən istifadə edərək istirahətdə olan məlumatlar üçün aparatda həyata keçirilir
• Fərdi VM Şifrələmə: Hytrust və ya Vormetric-in şəffaf müştərisi kimi 3-cü tərəf proqram təminatı ilə idarə olunur
• VMware Native VM Şifrələmə: SED şifrələməsi ilə istifadə üçün HX tərəfindən dəstəklənir
• Əsas İdarəetmə: Media Şifrələmə Açarı (MEK) və Açar Şifrələmə Açarı (KEK) hər bir SED üçün istifadə olunur
• Yaddaş İstifadəsi: Şifrələmə açarları heç vaxt qovşaq yaddaşında olmur
• Performans Təsiri: Disk şifrələməsi/şifrinin açılması sürücü aparatında idarə olunur, ümumi sistem performansına təsir etmir
• SED-lərin əlavə üstünlükləri:
  • Sürücünün işdən çıxarılması və yenidən yerləşdirmə xərclərini azaltmaq üçün ani kriptoqrafik silmə
  • Məlumatların məxfiliyi üçün hökumət və ya sənaye qaydalarına uyğunluq
  • Disk oğurluğu və qovşaq oğurluğu riski azalır, çünki hardware çıxarıldıqdan sonra məlumatlar oxunmaz olur

Məhsuldan İstifadə Təlimatları

HX Təhlükəsizlik Şifrələməsindən istifadə etmək üçün bu təlimatlara əməl edin:

1. Sisteminizin hardware əsaslı şifrələməni dəstəklədiyinə və ya Intersight Key Manager istifadə edərək proqram əsaslı həllə üstünlük verdiyinizə əmin olun.
2. Proqrama əsaslanan şifrələmə haqqında məlumat üçün idarəetmə sənədlərinə və ya texniki sənədə(lər) baxın.
3. SED-lərlə hardware əsaslı şifrələmədən istifadə etməyi seçsəniz, HX klasterinizin vahid qovşaqlardan (SED-lər və ya qeyri-SED-lər) ibarət olduğundan əmin olun.
4. SED-lər üçün istifadə olunan iki açarın olduğunu anlayın: Media Şifrələmə Açarı (MEK) və Açar Şifrələmə Açarı (KEK).
5. MEK diskə verilənlərin şifrələnməsinə və şifrəsinin açılmasına nəzarət edir və hardware ilə qorunur və idarə olunur.
6. KEK MEK/DEK-i qoruyur və yerli və ya uzaq açar anbarında saxlanılır.
7. Açarların qovşaq yaddaşında olmasından narahat olmayın, çünki şifrələmə açarları heç vaxt orada saxlanmır.
8. Nəzərə alın ki, diskin şifrələnməsi/şifrəsinin açılması diskin aparatında idarə olunur və bu, ümumi sistemin işinə təsir etməməsini təmin edir.
9. Uyğunluq standartları üçün xüsusi tələbləriniz varsa, HX SED şifrəli sürücülərin sürücü istehsalçılarının FIPS 140-2 səviyyə 2 standartlarına, platformadakı HX Şifrələmənin isə FIPS 140-2 səviyyə 1 standartlarına cavab verdiyini nəzərə alın.
10. Fərdi VM-ləri şifrələmək lazımdırsa, Hytrust və ya Vormetric-in şəffaf müştərisi kimi 3-cü tərəf proqram təminatından istifadə etməyi düşünün. Alternativ olaraq, vSphere 6.5-də təqdim edilmiş VMware-in yerli VM şifrələməsindən istifadə edə bilərsiniz.
11. Nəzərə alın ki, HX SED əsaslı şifrələmənin üstündə VM şifrələmə müştərisindən istifadə məlumatların ikiqat şifrələnməsi ilə nəticələnəcək.
12. Təhlükəsiz replikasiya üçün HX klasterinizin etibarlı şəbəkələr və ya şifrələnmiş tunellər vasitəsilə qoşulduğundan əmin olun, çünki HX replikasiyası şifrələnmir.

HX Təhlükəsizlik Şifrələmə Tez-tez verilən suallar

HXDP 5.01b-dən etibarən HyperFlex ya hardware-əsaslı şifrələməni dəstəkləməyən sistemlər üçün, ya da aparat həlləri üzərindən bu funksiyanı istəyən istifadəçilər üçün Intersight Key Manager istifadə edərək proqram əsaslı həll təklif edir. Bu FAQ yalnız HX şifrələməsi üçün SED əsaslı aparat həllərinə diqqət yetirir. Proqrama əsaslanan şifrələmə haqqında məlumat üçün idarəetmə sənədlərinə və ya texniki sənədə(lər) baxın.

Qərəzli bəyanat
Bu məhsul üçün sənədlər dəsti qərəzsiz dildən istifadə etməyə çalışır. Bu sənədlər toplusunun məqsədləri üçün qərəzsiz dil yaşa, əlilliyə, cinsiyyətə, irqi kimliyə, etnik kimliyə, cinsi oriyentasiyaya, sosial-iqtisadi vəziyyətə və kəsişmələrə görə ayrı-seçkiliyi nəzərdə tutmayan dil kimi müəyyən edilir. İstisnalar, məhsulun proqram təminatının istifadəçi interfeyslərində sərt kodlanmış dil, standartlar sənədləri əsasında istifadə edilən dil və ya istinad edilən üçüncü tərəf məhsulu tərəfindən istifadə edilən dil səbəbindən sənədlərdə mövcud ola bilər.

Niyə Təhlükəsizlik və HX Şifrələmə üçün Cisco 

• S 1.1: Təhlükəsiz inkişaf üçün hansı proseslər mövcuddur?
  A 1.1: Cisco Serverləri Cisco Secure Development Lifecycle-a (CSDL) riayət edir:
  • Cisco Cisco serverlərində quraşdırılmış təhlükəsizliyi inkişaf etdirmək üçün prosesləri, metodologiyaları və çərçivələri təmin edir, sadəcə bir örtük deyil,
  • UCS Məhsul Portfelində təhlükənin modelləşdirilməsi/statik təhlili üçün xüsusi Cisco komandası
  • Cisco Advanced Security Initiative Group (ASIG) təhdidlərin necə daxil olduğunu anlamaq və CDETS və mühəndislik vasitəsilə HW və SW-ni təkmilləşdirməklə problemləri həll etmək üçün proaktiv nüfuz testini həyata keçirir.
  • Xarici zəifliyi sınamaq və idarə etmək və müştərilərlə təhlükəsizlik məsləhətçiləri kimi ünsiyyət qurmaq üçün xüsusi Cisco komandası
  • Bütün əsas məhsullar Cisco məhsulları üçün təhlükəsizlik standartlarını tənzimləyən məhsulun təhlükəsizliyi əsas tələblərindən (PSB) keçir.
  • Cisco bütün UCS buraxılışlarında Zəiflik/Protokolun möhkəmliyi testini həyata keçirir
• S 1.2: SED-lər nə üçün vacibdir?
  A 1.2: SED-lər istirahət zamanı məlumatların şifrələnməsi üçün istifadə olunur və federal, tibb və maliyyə institutlarının hamısı olmasa da, bir çoxları üçün tələb olunur.

Ümumi məlumat bitdiview

• S 2.1: SED-lər nədir?
  A 2.1: SED (Özünü Şifrələyən Sürücülər) real vaxt rejimində daxil olan məlumatları şifrələyən və gedən məlumatların şifrəsini açan xüsusi aparata malikdir.
• S 2.2: HX-də şifrələmənin əhatə dairəsi nədir?
  A 2.2: HX-də şifrələmə hazırda yalnız şifrələnmiş disklərdən (SED) istifadə edərək istirahətdə olan məlumatlar üçün aparatda həyata keçirilir. HX şifrələməsi klaster miqyasındadır. Fərdi VM şifrələməsi Hytrust və ya Vormetric-in şəffaf müştərisi kimi 3-cü tərəf proqram təminatı tərəfindən idarə olunur və HX öhdəliklərinin əhatə dairəsindən kənardadır. HX həmçinin vSphere 6.5-də təqdim edilmiş VMware-in yerli VM şifrələməsinin istifadəsini dəstəkləyir. HX SED əsaslı şifrələmənin üstündə VM şifrələmə müştərisindən istifadə məlumatların ikiqat şifrələnməsi ilə nəticələnəcək. HX replikasiyası şifrələnmir və etibarlı şəbəkələrə və ya son istifadəçi tərəfindən yerləşdirilən şifrələnmiş tunellərə əsaslanır.
• S 2.3: HX şifrələməsi hansı uyğunluq standartlarına cavab verir?
  A 2.3: HX SED şifrəli diskləri sürücü istehsalçılarının FIPS 140-2 səviyyə 2 standartlarına cavab verir. Platformada HX Şifrələmə FIPS 140-2 səviyyə 1 standartlarına cavab verir.
• S 2.4: Şifrələmə üçün həm HDD, həm də SSD-ni dəstəkləyirikmi?
  A 2.4: Bəli, biz Micron-dan həm HDD, həm də SSD SED-ləri dəstəkləyirik.
• S 2.5: HX klasterində eyni zamanda şifrələnmiş və şifrələnməmiş disklər ola bilərmi?
  A 2.5: Klasterdəki bütün qovşaqlar vahid olmalıdır (SED və ya qeyri-SED)
• S 2.6: SED üçün hansı açarlar istifadə olunur və onlar necə istifadə olunur?
  A 2.6: Hər SED üçün istifadə olunan iki açar var. Media Şifrələmə Açarı (MEK), həmçinin Disk Şifrələmə Açarı (DEK) adlanır, diskə məlumatların şifrələnməsi və deşifrə edilməsinə nəzarət edir və hardware ilə qorunur və idarə olunur. Açar Şifrələmə Açarı (KEK) DEK/MEK-i qoruyur və yerli və ya uzaq açar anbarında saxlanılır.
• S 2.7: Yaddaşda açarlar varmı?
  A 2.7: Şifrələmə açarları heç vaxt qovşaq yaddaşında olmur
• S 2.8: Şifrələmə/şifrləmə prosesi performansa necə təsir edir?
  A 2.8: Diskin şifrələnməsi/şifrəsinin açılması sürücü aparatında idarə olunur. Ümumi sistem performansı təsirlənmir və sistemin digər komponentlərini hədəf alan hücumlara məruz qalmır
• S 2.9: İstirahət zamanı şifrələmədən başqa, SED-lərdən istifadə etmək üçün başqa səbəblər nələrdir?
  A 2.9: SED-lər ani kriptoqrafik silmə yolu ilə sürücünün təqaüdə çıxması və yenidən yerləşdirmə xərclərini azalda bilər. Onlar həmçinin məlumatların məxfiliyinə dair hökumət və ya sənaye qaydalarına riayət etməyə xidmət edir. Başqa bir üstünlüktage disk oğurluğu və node oğurluğu riskinin azaldılmasıdır, çünki hardware ekosistemdən çıxarıldıqdan sonra məlumatlar oxunmazdır.
• S2.10: SED-lərlə təkmilləşdirmə və sıxılma ilə nə baş verir? Üçüncü tərəf proqram əsaslı şifrələmə ilə nə baş verir?
  A2.10: HX-də SED-lərlə təkmilləşdirmə və sıxılma saxlanılır, çünki istirahətdə olan məlumatların şifrələnməsi yazma prosesində son addım kimi baş verir. Təkmilləşdirmə və sıxılma artıq baş verib. Üçüncü tərəf proqram əsaslı şifrələmə məhsulları ilə VM-lər öz şifrələmələrini idarə edir və şifrələnmiş yazıları hipervizora və sonra HX-ə ötürür. Bu yazılar artıq şifrələndiyi üçün onlar təkmilləşdirilmir və sıxılmır. HX Proqram Əsaslı Şifrələmə (3.x kod xəttində) yazma optimallaşdırmaları (tekilləşdirmə və sıxılma) baş verdikdən sonra yığında həyata keçirilən proqram təminatı şifrələmə həlli olacaq, beləliklə, fayda bu halda saxlanılacaq.

Aşağıdakı rəqəm artıqdırview HX ilə SED-in həyata keçirilməsi.

Sürücü Təfərrüatları 

• S 3.1: HX-də istifadə olunan şifrələnmiş sürücüləri kim istehsal edir?
  A 3.1: HX Micron tərəfindən istehsal edilən disklərdən istifadə edir: Mikrona aid sənədlər bu FAQ-ın dəstəkləyici sənədlər bölməsində əlaqələndirilir.
• S 3.2: FIPS uyğun olmayan hər hansı SED-i dəstəkləyirikmi?
  A 3.2: Biz həmçinin FIPS olmayan, lakin SED (TCGE) dəstəkləyən bəzi sürücüləri dəstəkləyirik.
• S 3.3: TCG nədir?
  A 3.3: TCG, şifrələnmiş məlumatların saxlanması üçün spesifikasiyalar standartını yaradan və idarə edən Etibarlı Hesablama Qrupudur.
• S 3.4: Məlumat mərkəzi üçün SAS SSD-lərə gəldikdə, müəssisə səviyyəli təhlükəsizlik nə hesab olunur? Bu disklər təhlükəsizliyi təmin edən və hücumdan qoruyan hansı xüsusiyyətlərə malikdir?
  A 3.4: Bu siyahı HX-də istifadə olunan SED-lərin müəssisə səviyyəli xüsusiyyətlərini və onların TCG standartı ilə necə əlaqəli olduğunu ümumiləşdirir.
  1. Özünü şifrləyən sürücülər (SED) icazəsiz məlumat girişinin qarşısını alaraq, SED-də qalan məlumatlar üçün güclü təhlükəsizlik təmin edir. Trusted Computing Group (TCG) həm HDD, həm də SSD diskləri üçün özünü şifrələyən sürücülərin xüsusiyyətləri və üstünlüklərinin siyahısını hazırlayıb. TCG, TCG Enterprise SSC (Təhlükəsizlik Alt Sistem Sinfi) adlanan və istirahətdə olan məlumatlara yönəlmiş standart təqdim edir. Bu, bütün SED-lər üçün tələbdir. Spesifikasiya müəssisə yaddaşında işləyən məlumat saxlama cihazlarına və nəzarətçilərə aiddir. Siyahıya daxildir:
     • Şəffaflıq: Sistem və ya proqram dəyişiklikləri tələb olunmur; bortda həqiqi təsadüfi ədəd generatorundan istifadə edərək sürücünün özü tərəfindən yaradılan şifrələmə açarı; disk həmişə şifrələnir.
     • İdarəetmə asanlığı: İdarə etmək üçün şifrələmə açarı yoxdur; proqram təminatçıları SED-ləri idarə etmək üçün standart interfeysdən istifadə edir, o cümlədən uzaqdan idarəetmə, yükləmədən əvvəl autentifikasiya və parolun bərpası
     • Utilizasiya və ya yenidən təyinatlı xərclər: SED ilə bortda şifrələmə açarını silin
     • Yenidən şifrələmə: SED ilə məlumatları heç vaxt yenidən şifrələməyə ehtiyac yoxdur
     • Performans: SED performansında deqradasiya yoxdur; aparat əsaslı
     • Standartlaşdırma: Bütün sürücü sənayesi TCG/SED Spesifikasiyalarına uyğun qurulur
     • Sadələşdirilmiş: Yuxarı proseslərə müdaxilə yoxdur
  2. SSD SED-lər sürücünü kriptoqrafik olaraq silmək imkanı verir. Bu o deməkdir ki, sürücüdə saxlanılan 256 bitlik şifrələmə açarını dəyişdirmək üçün sürücüyə sadə təsdiqlənmiş əmr göndərilə bilər. Bu, sürücünün silinməsini və heç bir məlumatın qalmamasını təmin edir. Hətta orijinal host sistemi də məlumatları oxuya bilmir, ona görə də hər hansı digər sistem tərəfindən oxunmaz olacaq. Şifrələnməmiş HDD-də analoji əməliyyatı yerinə yetirmək üçün lazım olan çoxlu dəqiqələr və ya hətta saatlardan fərqli olaraq əməliyyat cəmi bir neçə saniyə çəkir və HDD-nin qazsızlaşdırılması üçün bahalı avadanlıq və ya xidmətlərin xərclərindən qaçır.
  3. FIPS (Federal Məlumat Emalı Standartı) 140-2, İT məhsullarının həssas, lakin təsnif edilməmiş istifadə üçün cavab verməli olduğu şifrələmə və əlaqəli təhlükəsizlik tələblərini təsvir edən ABŞ hökuməti standartıdır. Bu, tez-tez dövlət qurumları və maliyyə xidmətləri və səhiyyə sənayesi şirkətləri üçün tələb olunur. FIPS-140-2 təsdiqlənmiş SSD, təsdiq edilmiş şifrələmə alqoritmləri daxil olmaqla güclü təhlükəsizlik təcrübələrindən istifadə edir. O, həmçinin məhsuldan istifadə etmək üçün fərdlərə və ya digər proseslərə necə icazə verilməli olduğunu və modulların və ya komponentlərin digər sistemlərlə təhlükəsiz şəkildə qarşılıqlı əlaqədə olması üçün necə dizayn edilməli olduğunu müəyyən edir. Əslində, FIPS-140-2 təsdiqlənmiş SSD sürücüsünün tələblərindən biri onun SED olmasıdır. Nəzərə alın ki, TCG sertifikatlaşdırılmış şifrəli sürücü əldə etməyin yeganə yolu olmasa da, TCG Opal və Enterprise SSC spesifikasiyaları FIPS doğrulama üçün bir addımdır. 4. Digər vacib xüsusiyyət Təhlükəsiz Yükləmələr və Diaqnostikadır. Bu proqram təminatı xüsusiyyəti sürücünü proqram təminatına daxil edilmiş rəqəmsal imza vasitəsilə proqram hücumlarından qoruyur. Yükləmələr lazım olduqda, rəqəmsal imza sürücüyə icazəsiz girişin qarşısını alır, saxta proqram təminatının sürücüyə yüklənməsinin qarşısını alır.

SED-lərlə Hyperflex quraşdırın

• S 4.1: Quraşdırıcı SED yerləşdirməsini necə idarə edir? Xüsusi yoxlamalar varmı?
  A 4.1: Quraşdırıcı UCSM ilə əlaqə saxlayır və sistem proqram təminatının düzgünlüyünü və aşkar edilmiş avadanlıq üçün dəstəkləndiyini təmin edir. Şifrələmə uyğunluğu yoxlanılır və tətbiq edilir (məsələn, SED və qeyri-SED-in qarışdırılması yoxdur).
• S 4.2: Yerləşdirmə başqa cür fərqlidirmi?
  A 4.2: Quraşdırma adi HX quraşdırmasına bənzəyir, lakin SED-lər üçün xüsusi iş axını dəstəklənmir. Bu əməliyyat SED-lər üçün də UCSM etimadnaməsini tələb edir.
• S 4.3: Lisenziyalaşdırma şifrələmə ilə necə işləyir? Yerində olması lazım olan əlavə bir şey varmı?
  A 4.3: SED avadanlığı (zavoddan sifariş olunub, təkmilləşdirilməmiş) + HXDP 2.5 + UCSM (3.1(3x)) açar idarəçiliyi ilə şifrələməni aktivləşdirmək üçün lazım olan yeganə şeylərdir. 2.5 buraxılışında tələb olunan əsas HXDP abunəliyindən başqa heç bir əlavə lisenziya yoxdur.
• S 4.4: Artıq mövcud olmayan diskləri olan SED sistemim olduqda nə baş verir? Bu klasteri necə genişləndirə bilərəm?
  A 4.4: Təchizatçılarımızdan istifadə müddəti bitmiş hər hansı bir PID-imiz olduqda, köhnə PID ilə uyğun gələn əvəzedici PID-imiz var. Bu əvəzedici PID RMA, node daxilində genişlənmə və klasterin genişləndirilməsi (yeni qovşaqlarla) üçün istifadə edilə bilər. Bütün üsulların hamısı dəstəklənir, lakin onlar keçid buraxılış qeydlərində də müəyyən edilmiş xüsusi buraxılışa təkmilləşdirməyi tələb edə bilər.

Açar İdarəetmə

• S 5.1: Əsas İdarəetmə nədir?
  A 5.1: Açar idarəetmə şifrələmə açarlarının qorunması, saxlanması, ehtiyat nüsxəsinin çıxarılması və təşkili ilə məşğul olan vəzifələrdir. HX bunu UCSM mərkəzli siyasətdə həyata keçirir.
• S 5.2: Açar konfiqurasiya üçün hansı mexanizm dəstək verir?
  A 5.2: UCSM təhlükəsizlik açarlarını konfiqurasiya etmək üçün dəstək verir.
• S 5.3: Açar idarəetmənin hansı növü mövcuddur?
  A 5.3: 3-cü tərəf açar idarəetmə serverləri ilə korporativ səviyyəli uzaqdan açar idarəetməsi ilə yanaşı açarların yerli idarə edilməsi dəstəklənir.
• S 5.4: Uzaqdan əsas idarəetmə partnyorları kimlərdir?
  A 5.4: Hazırda Vormetric və Gemalto (Safenet) dəstəkləyirik və yüksək əlçatanlığı (HA) ehtiva edir. HyTrust sınaqdan keçirilir.
• S 5.5: Açarların uzaqdan idarə edilməsi necə həyata keçirilir?
  A 5.5: Açarların uzaqdan idarə edilməsi KMIP 1.1 vasitəsilə idarə olunur.
• S 5.6: Yerli idarəetmə necə konfiqurasiya edilir?
  A 5.6: Təhlükəsizlik açarı (KEK) HX Connect-də birbaşa istifadəçi tərəfindən konfiqurasiya edilir.
• S 5.7: Uzaqdan idarəetmə necə konfiqurasiya edilir?
  A 5.7: Uzaqdan Açar İdarəetmə (KMIP) server ünvanı məlumatı və giriş etimadnaməsi istifadəçi tərəfindən HX Connect-də konfiqurasiya edilir.
• S 5.8: HX-nin hansı hissəsi konfiqurasiya üçün KMIP serveri ilə əlaqə saxlayır?
  A 5.8: Hər bir qovşaqdakı CIMC bu məlumatdan KMIP serverinə qoşulmaq və ondan təhlükəsizlik açarını (KEK) əldə etmək üçün istifadə edir.
  
• S 5.9: Açarların yaradılması/yenidən axtarışı/yeniləmə prosesində hansı növ Sertifikatlar dəstəklənir?
  A 5.9: CA-imzalı və özünü imzalayan sertifikatlar dəstəklənir.
  
• S 5.10: Şifrələmə prosesi ilə hansı iş axınları dəstəklənir?
  A 5.10: Fərdi paroldan istifadə edərək qorunma/qorunma aradan qaldırılması yerli açardan uzaqdan idarəetməyə çevrilmə ilə birlikdə dəstəklənir. Yenidən açar əməliyyatları dəstəklənir. Təhlükəsiz disk silmə əməliyyatı da dəstəklənir.
  

İstifadəçi iş axını: Yerli

• S 6.1: HX Connect-də mən yerli açar idarəetməsini harada qurmuşam?
  A 6.1: Şifrələmə panelində konfiqurasiya düyməsini seçin və sehrbazı izləyin.
• S 6.2: Bunu başlamaq üçün getməyə nə hazır olmalıyam?
  A 6.2: 32 simvoldan ibarət təhlükəsizlik parolu təqdim etməlisiniz.
• S 6.3: Yeni SED daxil etməliyəm nə baş verir?
  A 6.3: UCSM-də siz yerli təhlükəsizlik siyasətini redaktə etməli və yerləşdirilən açarı mövcud node açarına təyin etməlisiniz.
• S 6.4: Yeni diski daxil edəndə nə baş verir?
  A 6.4: Diskdəki təhlükəsizlik açarı serverin (qovşağın) açarı ilə uyğun gəlirsə, o, avtomatik olaraq kiliddən çıxarılır. Təhlükəsizlik açarları fərqlidirsə, disk "Bağlı" kimi görünəcək. Siz bütün məlumatları silmək üçün diski təmizləyə və ya düzgün açarı təqdim etməklə kilidini aça bilərsiniz. TAC ilə məşğul olmaq üçün yaxşı vaxtdır.

İstifadəçi iş axını: Uzaqdan

• S 7.1: Uzaqdan açar idarəetmə konfiqurasiyası ilə diqqət etməli olduğum bəzi şeylər hansılardır?
  A 7.1: Klaster və KMIP server(lər) arasında əlaqə hər bir qovşaqda CIMC üzərindən baş verir. Bu o deməkdir ki, host adı KMIP serveri üçün yalnız Inband IP ünvanı və DNS CIMC idarəetməsində konfiqurasiya edildikdə istifadə edilə bilər.
• S 7.2: Yeni SED-i dəyişdirməli və ya daxil etməliyəm nə olar?
  A 7.2: Klaster diskdən identifikatoru oxuyacaq və onu avtomatik olaraq açmağa çalışacaq. Avtomatik kilidin açılması uğursuz olarsa, disk "kilidlənmiş" kimi görünür və istifadəçi diskin kilidini əl ilə açmalıdır. Siz etimadnamə mübadiləsi üçün sertifikatları KMIP server(lər)inə köçürməli olacaqsınız.
• S 7.3: Sertifikatları klasterdən KMIP server(lər)inə necə kopyalaya bilərəm?
  A 7.3: Bunu etmək üçün iki yol var. Siz sertifikatı BMC-dən KMIP serverinə birbaşa köçürə və ya CA imzalı sertifikat əldə etmək üçün CSR-dən istifadə edə və UCSM əmrlərindən istifadə edərək CA imzalı sertifikatı BMC-yə köçürə bilərsiniz.
• S 7.4: Uzaqdan açar idarəçiliyindən istifadə edən klasterə şifrələnmiş qovşaqların əlavə edilməsi üçün hansı mülahizələr var?
  A 7.4: KMIP server(lər)ə yeni hostlar əlavə edərkən, istifadə olunan host adı serverin seriya nömrəsi olmalıdır. KMIP serverinin sertifikatını əldə etmək üçün siz KMIP server(lərinin) kök sertifikatını əldə etmək üçün brauzerdən istifadə edə bilərsiniz.

İstifadəçinin iş axını: Ümumi

• S 8.1: Diski necə silə bilərəm?
  A 8.1: HX Connect idarə panelində sistem məlumatını seçin view. Oradan təhlükəsiz silmək üçün fərdi diskləri seçə bilərsiniz.
• S 8.2: Diski təsadüfən silsəm nə olacaq?
  A 8.2: Təhlükəsiz silmə istifadə edildikdə, məlumatlar həmişəlik məhv edilir
• S 8.3: Mən node-u istismardan çıxarmaq və ya xidmət pro-nu ayırmaq istəyəndə nə baş verirfile?
  A 8.3: Bu hərəkətlərin heç biri diskdə/nəzarətçidə şifrələməni silməyəcək.
• S 8.4: Şifrələmə necə deaktiv edilir?
  A 8.4: İstifadəçi HX Connect-də şifrələməni açıq şəkildə söndürməlidir. Əgər əlaqəli server qorunduğu zaman istifadəçi UCSM-də təhlükəsizlik siyasətini silməyə cəhd edərsə, UCSM konfiqurasiya xətası göstərəcək və hərəkətə icazə verməyəcək. Əvvəlcə təhlükəsizlik siyasəti deaktiv edilməlidir.

İstifadəçi İş axını: Sertifikat İdarəetmə

• S 9.1: Uzaqdan idarəetmənin qurulması zamanı sertifikatlar necə idarə olunur?
  A 9.1: Sertifikatlar HX Connect və uzaq KMIP server(lər)indən istifadə etməklə yaradılır. Bir dəfə yaradılan sertifikatlar demək olar ki, heç vaxt silinməyəcək.
• S 9.2: Mən hansı sertifikatlardan istifadə edə bilərəm?
  A 9.2: Siz öz-özünə imzalanmış sertifikatlardan və ya CA sertifikatlarından istifadə edə bilərsiniz. Quraşdırma zamanı seçim etməlisiniz. CA imzalanmış sertifikatlar üçün siz Sertifikat İmzalama Sorğuları (CSR) dəsti yaradacaqsınız. İmzalanmış sertifikatlar KMIP server(lər)inə yüklənir.
• S 9.3: Sertifikatları yaradan zaman hansı host adından istifadə etməliyəm?
  A 9.3: Sertifikat yaratmaq üçün istifadə olunan host adı serverin Seriya nömrəsi olmalıdır.

Proqram təminatı güncəlləmələri

• S 10.1: Disk proqram təminatının təkmilləşdirilməsinə hər hansı məhdudiyyətlər varmı?
  A 10.1: Şifrələmə qabiliyyətinə malik sürücü aşkar edilərsə, həmin disk üçün hər hansı disk proqram təminatının dəyişdirilməsinə icazə verilməyəcək.
• S 10.2: UCSM proqram təminatının təkmilləşdirilməsi ilə bağlı hər hansı məhdudiyyətlər varmı?
  A 10.2: Təhlükəsiz vəziyyətdə olan nəzarətçi varsa, UCSM/CIMC-nin UCSM-dən əvvəlki 3.1(3x) versiyasına endirilməsi məhdudlaşdırılır.

Təhlükəsiz Silinmə Təfərrüatları

• S 11.1: Təhlükəsiz Silmə nədir?
  A 11.1: Təhlükəsiz silmə sürücüdəki məlumatların dərhal silinməsidir (disk şifrələmə açarının silinməsi). Bu o deməkdir ki, sürücüdə saxlanılan 256 bitlik şifrələmə açarını dəyişdirmək üçün sürücüyə sadə təsdiqlənmiş əmr göndərilə bilər. Bu, sürücünün silinməsini və heç bir məlumatın qalmamasını təmin edir. Hətta orijinal host sistemi də məlumatları oxuya bilmir, ona görə də hər hansı digər sistem tərəfindən oxunmayacaq. Şifrələnməmiş diskdə analoji əməliyyatı yerinə yetirmək üçün lazım olan çoxlu dəqiqələr və ya hətta saatlardan fərqli olaraq, əməliyyat cəmi bir neçə saniyə çəkir və bahalı deqazasiya avadanlığı və ya xidmətlərinin dəyərindən qaçır.
• S 11.2: Təhlükəsiz silmə necə həyata keçirilir?
  A 11.2: Bu, hər dəfə bir sürücü yerinə yetirilən GUI əməliyyatıdır.
• S 11.3: Təhlükəsiz silmə adətən nə vaxt həyata keçirilir?
  A 11.3: İstifadəçinin təşəbbüsü ilə tək diskin təhlükəsiz silinməsi nadir bir əməliyyatdır. Bu, əsasən, dəyişdirmək üçün diski fiziki olaraq çıxarmaq, onu başqa bir node'a köçürmək və ya yaxın gələcəkdə uğursuzluğun qarşısını almaq istədiyiniz zaman edilir.
• S 11.4: Təhlükəsiz silmə ilə bağlı hansı məhdudiyyətlər var?
  A 11.4: Təhlükəsiz silmə əməliyyatları yalnız çoxluq sağlam olduqda həyata keçirilə bilər ki, klasterin nasazlıq dayanıqlığına təsir göstərməsin.
• S 11.5: Bütün nodu silməli olsam nə olar?
  A 11.5: Bütün sürücülərin təhlükəsiz silinməsini dəstəkləmək üçün qovşağın çıxarılması və qovşağın dəyişdirilməsi iş axınları mövcuddur. Ətraflı məlumat üçün admin təlimatına baxın və ya Cisco TAC ilə məsləhətləşin.
• S 11.6: Təhlükəsiz şəkildə silinmiş disk yenidən istifadə edilə bilərmi?
  A 11.6: Təhlükəsiz şəkildə silinmiş disk yalnız başqa bir çoxluqda yenidən istifadə edilə bilər. SED-in təhlükəsiz silinməsi disk şifrələmə açarını (DEK) silməklə həyata keçirilir. DEK olmadan diskdəki məlumatların şifrəsini açmaq mümkün deyil. Bu, məlumatların heç bir güzəştə getmədən diski yenidən istifadə etməyə və ya istismardan çıxarmağa imkan verir.
• S 11.7: Əgər silmək istədiyim diskdə klaster məlumatlarının sonuncu əsas nüsxəsi varsa nə baş verir?
  A 11.7: Məlumat itkisinin qarşısını almaq üçün diskdəki məlumatların klasterdə başqa nüsxələri olmalıdır. Bununla belə, sonuncu əsas nüsxə olan diskdə təhlükəsiz silmə tələb olunarsa, ən azı bir nüsxə mövcud olana qədər bu əməliyyat rədd ediləcək. Yenidən balans bu surəti arxa planda etməlidir.
• S 11.8: Mən həqiqətən diski təhlükəsiz şəkildə silməliyəm, lakin klaster sağlam deyil. Mən bunu necə edə bilərəm?
  A 11.8: Komanda xətti (STCLI/HXCLI) klaster sağlam olmadıqda və diskdə sonuncu əsas nüsxə olmadıqda təhlükəsiz silməyə imkan verəcək, əks halda ona icazə verilmir.
• S 11.9: Bütün nodu necə təhlükəsiz şəkildə silə bilərəm?
  A 11.9: Bu nadir bir ssenaridir. Bir qovşaqdakı bütün disklərin təhlükəsiz silinməsi qovşağı çoxluqdan çıxarmaq istədikdə edilir. Məqsəd ya qovşağı fərqli bir çoxluqda yerləşdirmək və ya qovşağı ləğv etməkdir. Bu ssenaridə düyünün çıxarılmasını iki fərqli şəkildə təsnif edə bilərik:
  1. Şifrələməni söndürmədən bütün diskləri təhlükəsiz şəkildə silin
  2. Bütün diskləri təhlükəsiz şəkildə silin, ardınca həmin node (və disklər) üçün şifrələməni söndürün. Yardım üçün Cisco TAC ilə əlaqə saxlayın.

Klasterin Təhlükəsiz Genişlənməsi

• S 12.1: Şifrələnmiş klasteri hansı node ilə genişləndirə bilərəm?
  A 12.1: SED-ləri olan HX Klasterinə yalnız SED qabiliyyətli qovşaqlar əlavə edilə bilər.
• S 12.2: Yerli açar idarəçiliyi ilə genişləndirmə necə idarə olunur?
  A 12.2: Yerli açarın genişləndirilməsi kənar konfiqurasiya tələb olunmayan qüsursuz əməliyyatdır.
• S 12.3: Uzaqdan açar idarəetmə ilə genişləndirmə necə idarə olunur?
  A 12.3: Uzaqdan açarın genişləndirilməsi üçün sertifikatlar/açar idarəetmə infrastrukturu ilə kilid addımı tələb olunur:
  • Yeni node təhlükəsiz əlavə etmək üçün sertifikatlar tələb olunur
  • Yerləşdirmə, sertifikatın endirilməsi üçün keçid daxil olmaqla, davam etmək üçün addımlarla xəbərdarlıq göstərəcək
  • İstifadəçi sertifikat(lar)ı yükləmək üçün addımları izləyir və sonra yerləşdirməyə yenidən cəhd edir

Dəstəkləyici sənədlər

Mikron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• FIPS 140-2 üçün təsdiqlənmiş kripto alqoritmlərinin siyahısı: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDET-lər:

• Layihə: CSC.nuova Məhsul: ucs-blade-server Komponent: ucsm

SED Funksional Spesifikasiyası:

• EDCS: 1574090

SED CIMC Spesifikasiyası:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Poçt siyahıları:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Sənədlər / Resurslar

CISCO HyperFlex HX Məlumat Platforması [pdf] Təlimatlar HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platform

İstinadlar

• İstifadəçi təlimatı