CISCO HyperFlex HX Data Platforma

Informacije o proizvodu

• Naziv proizvoda: HX sigurnosna enkripcija
• verzija: HXDP 5.01b
• Rješenje za šifriranje: Softversko rješenje koje koristi Intersight Key Manager
• Vrsta šifriranja: Samošifrirajući diskovi (SED)
• Podržani tipovi pogona: HDD i SSD SED-ovi kompanije Micron
• Standardi usklađenosti: FIPS 140-2 nivo 2 (proizvođači pogona) i FIPS 140-2 nivo 1 (platforma)
• Šifriranje širom klastera: Šifrovanje na HX-u je implementirano u hardveru za podatke u mirovanju samo pomoću SED-ova
• Individualna VM enkripcija: Rukovano softverom treće strane kao što je Hytrust ili Vormetricov transparentni klijent
• VMware Native VM enkripcija: Podržava HX za upotrebu sa SED enkripcijom
• Upravljanje ključevima: Ključ za šifrovanje medija (MEK) i ključ za šifrovanje ključa (KEK) se koriste za svaki SED
• Upotreba memorije: Ključevi za šifriranje nikada nisu prisutni u memoriji čvora
• Utjecaj na performanse: Šifriranje/dešifriranje diska se obavlja u hardveru pogona, ukupne performanse sistema ne utiču
• Dodatne prednosti SED-a:
  • Trenutačno kriptografsko brisanje za smanjenje troškova povlačenja diska i ponovnog raspoređivanja
  • Usklađenost sa državnim ili industrijskim propisima o privatnosti podataka
  • Smanjen rizik od krađe diska i čvorova jer podaci postaju nečitljivi nakon uklanjanja hardvera

Upute za upotrebu proizvoda

Da biste koristili HX Security Encryption, slijedite ove upute:

1. Uvjerite se da vaš sistem podržava šifriranje zasnovano na hardveru ili da preferirate softversko rješenje pomoću Intersight Key Managera.
2. Pogledajte administrativne dokumente ili bijelu knjigu(e) za informacije o softverskom šifriranju.
3. Ako odlučite da koristite šifriranje zasnovano na hardveru sa SED-ovima, pobrinite se da se vaš HX klaster sastoji od uniformnih čvorova (SED-ova ili ne-SED-ova).
4. Za SED-ove, imajte na umu da se koriste dva ključa: ključ za šifriranje medija (MEK) i ključ za šifriranje ključa (KEK).
5. MEK kontrolira enkripciju i dešifriranje podataka na disku i osiguran je i upravlja se hardverom.
6. KEK osigurava MEK/DEK i održava se u lokalnom ili udaljenom spremištu ključeva.
7. Ne brinite da će ključevi biti prisutni u memoriji čvora, jer se ključevi za šifriranje nikada tamo ne pohranjuju.
8. Imajte na umu da se šifriranjem/dešifriranjem diska rukuje u hardveru pogona, osiguravajući da to ne utiče na ukupne performanse sistema.
9. Ako imate posebne zahtjeve za standarde usklađenosti, imajte na umu da HX SED šifrirani diskovi ispunjavaju FIPS 140-2 nivo 2 standarde proizvođača disk jedinica, dok HX enkripcija na platformi ispunjava standarde FIPS 140-2 razine 1.
10. Ako trebate šifrirati pojedinačne VM, razmislite o korištenju softvera treće strane kao što je Hytrust ili Vormetricov transparentni klijent. Alternativno, možete koristiti VMware-ovu izvornu VM enkripciju uvedenu u vSphere 3.
11. Imajte na umu da će korištenje klijenta za šifriranje VM-a na HX SED-baziranoj enkripciji rezultirati dvostrukom enkripcijom podataka.
12. Osigurajte da je vaš HX klaster povezan preko pouzdanih mreža ili šifriranih tunela za sigurnu replikaciju, jer HX replikacija nije šifrirana.

HX Security Encryption FAQ

Od HXDP 5.01b, HyperFlex nudi softversko rješenje koje koristi Intersight Key Manager za sisteme koji ili ne podržavaju šifriranje zasnovano na hardveru ili za korisnike koji žele ovu funkcionalnost umjesto hardverskih rješenja. Ova FAQ se fokusira samo na SED-bazirana hardverska rješenja za HX enkripciju. Pogledajte administrativne dokumente ili bijelu knjigu(e) za informacije o softverskom šifriranju.

Izjava o pristrasnosti
Komplet dokumentacije za ovaj proizvod nastoji koristiti jezik bez predrasuda. Za potrebe ovog skupa dokumentacije, bez predrasuda se definiše jezik koji ne podrazumijeva diskriminaciju na osnovu starosti, invaliditeta, pola, rasnog identiteta, etničkog identiteta, seksualne orijentacije, socioekonomskog statusa i intersekcionalnosti. Izuzeci mogu biti prisutni u dokumentaciji zbog jezika koji je tvrdo kodiran u korisničkim interfejsima softvera proizvoda, jezika koji se koristi na osnovu dokumentacije standarda ili jezika koji koristi referentni proizvod treće strane.

Zašto Cisco za sigurnost i HX enkripciju 

• P 1.1: Koji procesi postoje za siguran razvoj?
  A 1.1: Cisco serveri se pridržavaju Cisco Secure Development Lifecycle (CSDL):
  • Cisco pruža procese, metodologije, okvire za razvoj ugrađene sigurnosti na Cisco serverima, a ne samo preklapanje
  • Posvećeni Cisco tim za modeliranje pretnji/statičku analizu na UCS portfoliju proizvoda
  • Cisco Advanced Security Initiative Group (ASIG) obavlja proaktivno testiranje penetracije kako bi shvatila kako prijetnje dolaze i riješi probleme poboljšanjem HW & SW-a kroz CDETS i inženjering
  • Posvećeni Cisco tim za testiranje i obradu izlaznih ranjivosti i komuniciranje kao bezbednosni savetnici sa klijentima
  • Svi osnovni proizvodi prolaze kroz osnovne zahteve za bezbednost proizvoda (PSB) koji regulišu bezbednosne standarde za Cisco proizvode
  • Cisco vrši testiranje ranjivosti/robusnosti protokola na svim UCS izdanjima
• P 1.2: Zašto su SED-ovi važni?
  A 1.2: SED-ovi se koriste za enkripciju podataka u mirovanju i zahtjev su za mnoge, ako ne i sve, savezne, medicinske i finansijske institucije.

General Information Overview

• P 2.1: Šta su SED-ovi?
  A 2.1: SED (Self-Encrypting Drives) imaju poseban hardver koji šifrira dolazne podatke i dešifruje odlazne podatke u realnom vremenu.
• P 2.2: Koji je opseg enkripcije na HX-u?
  A 2.2: Šifrovanje na HX-u je trenutno implementirano u hardver za podatke u mirovanju samo pomoću šifrovanih diskova (SED). HX enkripcija je u cijelom klasteru. Individualnim VM enkripcijom upravlja softver treće strane kao što je Hytrust ili Vormetricov transparentni klijent i izvan je opsega HX odgovornosti. HX takođe podržava upotrebu VMware-ove izvorne VM enkripcije uvedene u vSphere 3. Upotreba klijenta za šifrovanje VM-a na vrhu šifrovanja zasnovanog na HX SED-u će rezultirati dvostrukom enkripcijom podataka. HX replikacija nije šifrirana i oslanja se na pouzdane mreže ili šifrirane tunele koje postavlja krajnji korisnik.
• P 2.3: Koji standardi usklađenosti su ispunjeni sa HX enkripcijom?
  A 2.3: HX SED šifrovani diskovi ispunjavaju FIPS 140-2 nivo 2 standarde proizvođača disk jedinica. HX enkripcija na platformi zadovoljava standarde FIPS 140-2 nivoa 1.
• P 2.4: Da li podržavamo i HDD i SSD za enkripciju?
  A 2.4: Da, podržavamo i HDD i SSD SED-ove kompanije Micron.
• P 2.5: Može li HX klaster imati šifrirane i nešifrirane disk jedinice u isto vrijeme?
  A 2.5: Svi čvorovi u klasteru moraju biti uniformni (SED-ovi ili ne-SED-ovi)
• P 2.6: Koji se ključevi koriste za SED i kako se koriste?
  A 2.6: Za svaki SED se koriste dva ključa. Ključ za šifrovanje medija (MEK) koji se naziva i ključ za šifrovanje diska (DEK), kontroliše šifrovanje i dešifrovanje podataka na disku i obezbeđen je i njime se upravlja u hardveru. Ključ za šifriranje ključa (KEK) osigurava DEK/MEK i održava se u lokalnom ili udaljenom spremištu ključeva.
• P 2.7: Da li su ključevi ikada prisutni u memoriji?
  A 2.7: Ključevi za šifriranje nikada nisu prisutni u memoriji čvora
• P 2.8: Kako na performanse utječe proces šifriranja/dešifriranja?
  A 2.8: Šifriranje/dešifriranje diska se obavlja u hardveru pogona. Ukupne performanse sistema nisu pogođene i nisu podložne napadima koji ciljaju druge komponente sistema
• P 2.9: Osim šifriranja u mirovanju, koji su drugi razlozi za korištenje SED-ova?
  A 2.9: SED-ovi mogu smanjiti troškove penzionisanja i ponovnog raspoređivanja putem trenutnog kriptografskog brisanja. Oni također služe za usklađivanje s državnim ili industrijskim propisima o privatnosti podataka. Još jedan advantage je smanjeni rizik od krađe diskova i čvorova jer su podaci, kada se hardver ukloni iz ekosistema, nečitljivi.
• P2.10: Šta se dešava sa deduplikacijom i kompresijom sa SED-ovima? Šta se dešava sa šifrovanjem zasnovanim na softveru treće strane?
  A2.10: Deduplikacija i kompresija sa SED-ovima na HX-u se održavaju budući da se enkripcija podataka u mirovanju odvija kao posljednji korak u procesu pisanja. Deduplikacija i kompresija su se već dogodili. Uz proizvode za šifriranje zasnovane na softveru treće strane, VM upravljaju svojom enkripcijom i prosljeđuju šifrirane zapise hipervizoru, a potom i HX-u. Pošto su ovi zapisi već šifrirani, oni se ne dedupliciraju niti komprimiraju. HX Software Based Encryption (u kodnoj liniji 3.x) će biti softversko rješenje za šifriranje koje se implementira u stog nakon optimizacije pisanja (deduplikacija i kompresija) tako da će prednost biti zadržana u tom slučaju.

Slika ispod je krajview implementacije SED-a sa HX-om.

Detalji vožnje 

• P 3.1: Ko proizvodi šifrovane disk jedinice koje se koriste u HX-u?
  A 3.1: HX koristi drajvove koje proizvodi Micron: Dokumenti specifični za Micron su povezani u odjeljku pratećih dokumenata ovog FAQ.
• P 3.2: Podržavamo li SED-ove koji nisu usklađeni sa FIPS?
  A 3.2: Podržavamo i neke diskove koji nisu FIPS, ali podržavaju SED (TCGE).
• P 3.3: Šta je TCG?
  A 3.3: TCG je Trusted Computing Group, koja kreira i upravlja standardom specifikacija za čuvanje šifrovanih podataka
• P 3.4: Šta se smatra sigurnošću poslovne klase kada su u pitanju SAS SSD-ovi za data centar? Koje specifične karakteristike imaju ovi diskovi koji osiguravaju sigurnost i štite od napada?
  A 3.4: Ova lista sumira karakteristike poslovne klase SED-ova koji se koriste u HX-u i kako se oni odnose na TCG standard.
  1. Samo-šifrirajući diskovi (SED) pružaju snažnu sigurnost za podatke u mirovanju na vašem SED-u, sprječavajući neovlašteni pristup podacima. Trusted Computing Group (TCG) razvila je listu karakteristika i prednosti samošifrirajućih diskova za HDD i SSD. TCG obezbjeđuje standard koji se zove TCG Enterprise SSC (Klasa podsistema sigurnosti) i fokusiran je na podatke u mirovanju. Ovo je uslov za sve SED-ove. Specifikacija se odnosi na uređaje za skladištenje podataka i kontrolere koji rade u skladištu preduzeća. Lista uključuje:
     • Transparentnost: Nisu potrebne modifikacije sistema ili aplikacije; ključ za šifriranje koji generiše sama disk jedinica, koristeći ugrađeni generator pravih slučajnih brojeva; disk uvijek šifrira.
     • Lakoća upravljanja: Nema ključa za šifriranje za upravljanje; dobavljači softvera iskorištavaju standardizirano sučelje za upravljanje SED-ovima, uključujući daljinsko upravljanje, autentifikaciju prije pokretanja i oporavak lozinke
     • Troškovi odlaganja ili prenamjene: Sa SED-om izbrišite ugrađeni ključ za šifriranje
     • Ponovno šifriranje: Sa SED-om, nema potrebe za ponovnim šifriranjem podataka
     • Performanse: Nema degradacije u performansama SED-a; baziran na hardveru
     • standardizacija: Cijela industrija pogona se razvija prema TCG/SED specifikacijama
     • Pojednostavljeno: Nema uplitanja u procese uzvodno
  2. SSD SED-ovi pružaju mogućnost kriptografskog brisanja diska. To znači da se jednostavna naredba s provjerom autentičnosti može poslati pogonu za promjenu 256-bitnog ključa za šifriranje pohranjenog na disku. Ovo osigurava da je disk očišćen i da nema preostalih podataka. Čak ni originalni host sistem ne može pročitati podatke, tako da će oni apsolutno biti nečitljivi za bilo koji drugi sistem. Operacija traje samo nekoliko sekundi, za razliku od mnogo minuta ili čak sati koje je potrebno da se izvrši analogna operacija na nešifrovanom HDD-u i izbjegava trošak skupe opreme ili usluga za uklanjanje maglenja HDD-a.
  3. FIPS (Federal Information Processing Standard) 140-2 je standard američke vlade koji opisuje šifriranje i srodne sigurnosne zahtjeve koje bi IT proizvodi trebali ispuniti za osjetljivu, ali neklasificiranu upotrebu. Ovo je često zahtjev za vladine agencije i kompanije u finansijskim uslugama i zdravstvenim industrijama. SSD koji je validiran FIPS-140-2 koristi snažne sigurnosne prakse uključujući odobrene algoritme šifriranja. Takođe specificira kako pojedinci ili drugi procesi moraju biti ovlašteni da bi koristili proizvod i kako moduli ili komponente moraju biti dizajnirani za sigurnu interakciju s drugim sistemima. Zapravo, jedan od zahtjeva za FIPS-140-2 validiran SSD disk je da je SED. Imajte na umu da iako TCG nije jedini način da dobijete certificiranu šifrovanu disk jedinicu, specifikacije TCG Opal i Enterprise SSC pružaju nam odskočnu dasku ka FIPS validaciji. 4. Još jedna bitna karakteristika su bezbedna preuzimanja i dijagnostika. Ova funkcija firmvera štiti disk od softverskih napada putem digitalnog potpisa koji je ugrađen u firmver. Kada su preuzimanja potrebna, digitalni potpis sprečava neovlašćeni pristup disk jedinici, sprečavajući učitavanje krivotvorenog firmvera na disk jedinicu.

Hyperflex instalacija sa SED-ovima

• P 4.1: Kako instalater postupa sa implementacijom SED-a? Postoje li posebne provjere?
  A 4.1: Instalater komunicira sa UCSM-om i osigurava da je firmver sistema ispravan i podržan za otkriveni hardver. Kompatibilnost šifriranja se provjerava i provodi (npr. nema miješanja SED i ne-SED).
• P 4.2: Da li je raspoređivanje drugačije?
  A 4.2: Instalacija je slična običnoj HX instalaciji, međutim, prilagođeni tok posla nije podržan za SED-ove. Ova operacija također zahtijeva UCSM akreditive za SED-ove.
• P 4.3: Kako licenciranje funkcionira sa šifriranjem? Da li postoji nešto dodatno što treba da bude na mestu?
  A 4.3: SED hardver (naručen iz tvornice, ne naknadno montiran) + HXDP 2.5 + UCSM (3.1(3x)) su jedine stvari koje su potrebne za omogućavanje šifriranja uz upravljanje ključevima. U izdanju 2.5 nije potrebno dodatno licenciranje izvan osnovne HXDP pretplate.
• P 4.4: Šta se dešava kada imam SED sistem koji ima diskove koji više nisu dostupni? Kako mogu proširiti ovaj klaster?
  A 4.4: Kad god imamo neki PID koji je na kraju vijeka od naših dobavljača, imamo zamjenski PID koji je kompatibilan sa starim PID-om. Ovaj zamjenski PID se može koristiti za RMA, proširenje unutar čvora i proširenje klastera (sa novim čvorovima). Sve metode su podržane, međutim, mogu zahtijevati nadogradnju na određeno izdanje koje je također identificirano u bilješkama o prijelaznom izdanju.

Upravljanje ključevima

• P 5.1: Šta je upravljanje ključevima?
  A 5.1: Upravljanje ključevima su zadaci koji se odnose na zaštitu, pohranjivanje, sigurnosno kopiranje i organiziranje ključeva za šifriranje. HX ovo implementira u politici usmjerenoj na UCSM.
• P 5.2: Koji mehanizam pruža podršku za konfiguraciju ključa?
  A 5.2: UCSM pruža podršku za konfiguriranje sigurnosnih ključeva.
• P 5.3: Koji tip upravljanja ključevima je dostupan?
  A 5.3: Podržano je lokalno upravljanje ključevima, zajedno sa daljinskim upravljanjem ključevima poslovne klase sa serverima za upravljanje ključevima treće strane.
• P 5.4: Ko su partneri za daljinsko upravljanje ključevima?
  A 5.4: Trenutno podržavamo Vormetric i Gemalto (Safenet) i uključuje visoku dostupnost (HA). HyTrust je u fazi testiranja.
• P 5.5: Kako se implementira daljinsko upravljanje ključevima?
  A 5.5: Daljinskim upravljanjem ključem upravlja KMIP 1.1.
• P 5.6: Kako je konfigurisano lokalno upravljanje?
  A 5.6: Sigurnosni ključ (KEK) konfiguriše u HX Connect, direktno od strane korisnika.
• P 5.7: Kako je konfigurisano daljinsko upravljanje?
  A 5.7: Informaciju o adresi servera za daljinsko upravljanje ključevima (KMIP) zajedno s vjerodajnicama za prijavu konfigurira korisnik u HX Connect.
• P 5.8: Koji dio HX-a komunicira sa KMIP serverom radi konfiguracije?
  A 5.8: CIMC na svakom čvoru koristi ove informacije za povezivanje sa KMIP serverom i preuzimanje sigurnosnog ključa (KEK) sa njega.
  
• P 5.9: Koje vrste certifikata su podržane u procesu generiranja/povraćaja/ažuriranja ključeva?
  A 5.9: Podržani su i CA-potpisani i samopotpisani certifikati.
  
• P 5.10: Koji tokovi posla su podržani procesom šifriranja?
  A 5.10: Zaštita/ukidanje zaštite korištenjem prilagođene lozinke je podržana zajedno s konverzijom lokalnog u daljinsko upravljanje ključevima. Podržane su operacije ponovnog ključa. Podržane su i operacije sigurnog brisanja diska.
  

Tok rada korisnika: lokalni

• P 6.1: U HX Connect-u, gdje da postavim upravljanje lokalnim ključevima?
  A 6.1: Na kontrolnoj tabli šifriranja izaberite dugme za konfigurisanje i pratite čarobnjaka.
• P 6.2: Šta treba da imam spremno za početak?
  A 6.2: Morat ćete dati sigurnosnu lozinku od 32 znaka.
• P 6.3: Šta se dešava ako trebam da ubacim novi SED?
  A 6.3: U UCSM-u ćete morati urediti lokalnu sigurnosnu politiku i postaviti raspoređeni ključ na postojeći ključ čvora.
• P 6.4: Šta se dešava kada ubacim novi disk?
  A 6.4: Ako sigurnosni ključ na disku odgovara ključu servera (čvora), on se automatski otključava. Ako se sigurnosni ključevi razlikuju, disk će biti prikazan kao „Zaključan“. Možete ili obrisati disk da biste izbrisali sve podatke ili ga otključati davanjem ispravnog ključa. Ovo je dobar trenutak da se uključi TAC.

Tok rada korisnika: daljinski

• P 7.1: Na koje stvari trebam paziti s konfiguracijom daljinskog upravljanja ključevima?
  A 7.1: Komunikacija između klastera i KMIP servera se odvija preko CIMC-a na svakom čvoru. To znači da se ime hosta može koristiti za KMIP server samo ako su unutarpojasna IP adresa i DNS konfigurirani na CIMC menadžmentu
• P 7.2: Šta se dešava ako trebam zamijeniti ili umetnuti novi SED?
  A 7.2: Klaster će pročitati identifikator s diska i pokušati ga automatski otključati. Ako automatsko otključavanje ne uspije, disk se pojavljuje kao "zaključan" i korisnik mora ručno otključati disk. Morat ćete kopirati certifikate na KMIP server(e) radi razmjene vjerodajnica.
• P 7.3: Kako da kopiram certifikate iz klastera na KMIP server(e)?
  A 7.3: Postoje dva načina da to uradite. Možete kopirati certifikat s BMC-a na KMIP server direktno ili možete koristiti CSR da dobijete CA-potpisan certifikat i kopirate CA-potpisan certifikat u BMC koristeći UCSM komande.
• P 7.4: Koja razmatranja postoje za dodavanje šifriranih čvorova u klaster koji koristi daljinsko upravljanje ključevima?
  A 7.4: Prilikom dodavanja novih hostova na KMIP server(e), korišteno ime hosta treba biti serijski broj servera. Da biste dobili certifikat KMIP servera, možete koristiti pretraživač da dobijete root certifikat KMIP servera.

Tok rada korisnika: Općenito

• P 8.1: Kako da izbrišem disk?
  A 8.1: Na kontrolnoj tabli HX Connect izaberite informacije o sistemu view. Odatle možete odabrati pojedinačne diskove za sigurno brisanje.
• P 8.2: Šta ako slučajno izbrišem disk?
  A 8.2: Kada se koristi sigurno brisanje, podaci se trajno uništavaju
• P 8.3: Šta se dešava kada želim da isključim čvor ili da odvojim servis profile?
  A 8.3: Nijedna od ovih radnji neće ukloniti šifriranje na disku/kontroleru.
• P 8.4: Kako se enkripcija onemogućava?
  A 8.4: Korisnik mora eksplicitno onemogućiti enkripciju u HX Connect. Ako korisnik pokuša da izbriše sigurnosnu politiku u UCSM-u kada je pridruženi server osiguran, UCSM će prikazati grešku u konfiguraciji i onemogućiti radnju. Sigurnosna politika mora biti prvo onemogućena.

Tok rada korisnika: Upravljanje certifikatima

• P 9.1: Kako se rukuje certifikatima tokom postavljanja daljinskog upravljanja?
  A 9.1: Certifikati se kreiraju koristeći HX Connect i udaljeni KMIP server(e). Jednom kreirani certifikati gotovo nikada neće biti izbrisani.
• P 9.2: Koje vrste sertifikata mogu da koristim?
  A 9.2: Možete koristiti ili samopotpisane certifikate ili CA certifikate. Morate izabrati tokom podešavanja. Za certifikate potpisane od strane CA generirat ćete skup zahtjeva za potpisivanje certifikata (CSR). Potpisani certifikati se učitavaju na KMIP server(e).
• P 9.3: Koje ime hosta da koristim kada generiram certifikate?
  A 9.3: Ime hosta korišteno za generiranje certifikata treba biti serijski broj servera.

Ažuriranja firmvera

• P 10.1: Postoje li ograničenja za nadogradnju firmvera diska?
  A 10.1: Ako se otkrije disk sposoban za šifriranje, bilo kakve promjene firmvera diska neće biti dozvoljene za taj disk.
• P 10.2: Postoje li ograničenja za nadogradnju UCSM firmvera?
  A 10.2: Vraćanje UCSM/CIMC na pre-UCSM 3.1(3x) je ograničeno ako postoji kontroler koji je u osiguranom stanju.

Detalji sigurnog brisanja

• P 11.1: Šta je sigurno brisanje?
  A 11.1: Sigurno brisanje je trenutno brisanje podataka na disku (brisanje ključa za šifriranje diska). To znači da se jednostavna naredba s provjerom autentičnosti može poslati pogonu za promjenu 256-bitnog ključa za šifriranje pohranjenog na disku. Ovo osigurava da je disk očišćen i da nema preostalih podataka. Čak ni originalni host sistem ne može pročitati podatke tako da ih neće moći pročitati bilo koji drugi sistem. Operacija traje samo nekoliko sekundi, za razliku od mnogo minuta ili čak sati koje je potrebno da se izvrši analogna operacija na nešifrovanom disku i izbjegava trošak skupe opreme ili usluga za demagnetiziranje.
• P 11.2: Kako se izvodi sigurno brisanje?
  A 11.2: Ovo je GUI operacija koja se izvodi jedan po jedan pogon.
• P 11.3: Kada se obično izvodi sigurno brisanje?
  A 11.3: Sigurno brisanje jednog diska koje pokreće korisnik je rijetka operacija. Ovo se uglavnom radi kada želite fizički ukloniti disk radi zamjene, prenijeti ga na drugi čvor ili izbjeći kvar u bliskoj budućnosti.
• P 11.4: Koja ograničenja postoje za sigurno brisanje?
  A 11.4: Operacije sigurnog brisanja mogu se izvesti samo ako je klaster zdrav kako bi se osiguralo da otpornost klastera na greške nije ugrožena.
• P 11.5: Šta se dešava ako trebam ukloniti cijeli čvor?
  A 11.5: Postoje radni tokovi uklanjanja i zamjene čvorova koji podržavaju sigurno brisanje svih diskova. Pogledajte vodič za administratore za detalje ili konsultujte Cisco TAC.
• P 11.6: Može li se bezbedno obrisani disk ponovo koristiti?
  A 11.6: Disk koji je sigurno izbrisan može se ponovo koristiti samo u drugom klasteru. Sigurno brisanje SED-a se vrši brisanjem ključa za šifriranje diska (DEK). Podaci na disku se ne mogu dešifrirati bez DEK-a. Ovo vam omogućava da ponovo koristite ili poništite disk bez ikakvog kompromitovanja podataka.
• P 11.7: Šta se dešava ako disk koji želim da izbrišem sadrži poslednju primarnu kopiju podataka klastera?
  A 11.7: Podaci na disku trebaju imati druge kopije u klasteru kako bi se izbjegao gubitak podataka. Međutim, ako je zatraženo sigurno brisanje na disku koji je posljednja primarna kopija, tada će ova operacija biti odbijena dok ne bude dostupna još barem jedna kopija. Rebalans bi trebao napraviti ovu kopiju u pozadini.
• P 11.8: Zaista trebam sigurno obrisati disk, ali klaster nije zdrav. Kako to mogu učiniti?
  A 11.8: Komandna linija (STCLI/HXCLI) će omogućiti sigurno brisanje kada klaster nije zdrav i disk ne sadrži posljednju primarnu kopiju, inače je zabranjeno.
• P 11.9: Kako mogu bezbedno obrisati ceo čvor?
  A 11.9: Ovo je rijedak scenario. Sigurno brisanje svih diskova u čvoru se vrši kada se želi ukloniti čvor iz klastera. Namjera je ili da se čvor rasporedi u drugom klasteru ili da se čvor poništi. U ovom scenariju uklanjanje čvorova možemo klasificirati na dva različita načina:
  1. Sigurno izbrišite sve diskove bez onemogućavanja enkripcije
  2. Sigurno brisanje svih diskova nakon čega slijedi onemogućavanje enkripcije za taj čvor (i diskove). Za pomoć kontaktirajte Cisco TAC.

Sigurno proširenje klastera

• P 12.1: Kojim čvorom mogu proširiti šifrirani klaster?
  A 12.1: Samo čvorovi sposobni za SED mogu se dodati u HX klaster sa SED-ovima.
• P 12.2: Kako se rješava proširenje uz lokalno upravljanje ključevima?
  A 12.2: Proširenje lokalnog ključa je besprijekorna operacija bez potrebne vanjske konfiguracije.
• P 12.3: Kako se rješava proširenje pomoću daljinskog upravljanja ključevima?
  A 12.3: Daljinsko proširenje ključa zahtijeva zaključavanje s certifikatima/infrastrukturom za upravljanje ključevima:
  • Certifikati su potrebni za sigurno dodavanje novog čvora
  • Implementacija će prikazati upozorenje s koracima za nastavak, uključujući vezu za preuzimanje certifikata
  • Korisnik slijedi korake za učitavanje certifikata i zatim ponovo pokušava implementaciju

Propratni dokumenti

mikrona:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Lista kripto algoritama odobrenih za FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• projekat: CSC.nuova Proizvod: ucs-blade-server Komponenta: ucsm

SED funkcionalna specifikacija:

• EDCS: 1574090

SED CIMC specifikacija:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Mailing liste:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Dokumenti / Resursi

CISCO HyperFlex HX Data Platforma [pdfUpute HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platforma

Reference

• Uputstvo za upotrebu