Piattaforma di dati CISCO HyperFlex HX

Informazione di u produttu

• Nome di u produttu: HX Security Encryption
• Versione: HXDP 5.01b
• Soluzione di criptografia: Soluzione basata in u software cù Intersight Key Manager
• Tipu di criptografia: Unità autocifranti (SED)
• Tipi di unità supportati: HDD è SSD SED da Micron
• Norme di cunfurmità: FIPS 140-2 livellu 2 (produttori di unità) è FIPS 140-2 livellu 1 (piattaforma)
• Criptazione à u Cluster-Wide: A criptografia in HX hè implementata in hardware per i dati in riposu solu cù SED
• Cifratura VM individuale: Gestionatu da u software di terzu partitu cum'è Hytrust o u cliente trasparente di Vormetric
• Cifratura VM nativa VMware: Supportatu da HX per l'usu cù a criptografia SED
• Gestione Chjave: Media Encryption Key (MEK) è Key Encryption Key (KEK) sò usati per ogni SED
• Utilizzo di memoria: I chjavi di criptografia ùn sò mai presenti in a memoria di node
• Impattu à u rendiment: A criptografia / decifrazione di discu hè trattata in u hardware di l'unità, u rendiment generale di u sistema ùn hè micca affettatu
• Beneficii supplementari di i SED:
  • Cancellazione criptografica istantanea per i costi ridotti di ritirata è ridistribuzione di l'unità
  • Cunformità cù e regulazioni di u guvernu o di l'industria per a privacy di e dati
  • Rischiu ridottu di furtu di discu è furtu di nodi postu chì e dati diventanu illegibili una volta chì u hardware hè eliminatu

Istruzzioni per l'usu di u produttu

Per utilizà HX Security Encryption, seguite queste istruzioni:

1. Assicuratevi chì u vostru sistema sustene a criptografia basata in hardware o chì preferite a soluzione basata in software cù Intersight Key Manager.
2. Fate riferimentu à i ducumenti di l'amministrazione o i whitepaper (s) per infurmazione nantu à a criptografia basata in software.
3. Se sceglite di utilizà a criptografia basata in hardware cù SED, assicuratevi chì u vostru cluster HX hè custituitu da nodi uniformi (SED o non-SED).
4. Per i SED, capisce chì ci sò duie chjave in usu: a Chjave di Criptazione Media (MEK) è a Chjave di Cifratura Chjave (KEK).
5. U MEK cuntrolla a criptografia è a decifrazione di e dati à u discu è hè assicurata è gestita in hardware.
6. U KEK assicura u MEK / DEK è hè mantinutu in un magazzinu di chjave locale o remota.
7. Ùn vi preoccupate micca chì e chjavi sò prisenti in a memoria di u nodu, postu chì e chjavi di criptografia ùn sò mai guardate quì.
8. Nota chì a criptografia / decifrazione di discu hè trattata in u hardware di l'unità, assicurendu chì u rendiment generale di u sistema ùn hè micca affettatu.
9. Se avete esigenze specifiche per i normi di cunfurmità, sia cuscenti chì l'unità criptate HX SED soddisfanu i standard FIPS 140-2 di livellu 2 da i produttori di unità, mentre chì HX Encryption nantu à a piattaforma risponde à i standard FIPS 140-2 di livellu 1.
10. Sè avete bisognu di criptà VM individuali, cunzidira l'usu di software di terzu partitu cum'è Hytrust o u cliente trasparente di Vormetric. In alternativa, pudete aduprà a criptografia VM nativa di VMware introdotta in vSphere 3.
11. Tenite in mente chì l'utilizazione di un cliente di crittografia VM in cima à a criptografia basata in HX SED hà da esse una doppia criptografia di e dati.
12. Assicuratevi chì u vostru cluster HX hè cunnessu attraversu rete di fiducia o tunnelli criptati per a replicazione sicura, postu chì a replicazione HX ùn hè micca criptata.

HX Security Encryption FAQ

A partire da HXDP 5.01b, HyperFlex offre una soluzione software basata su Intersight Key Manager per i sistemi che o non supportano la crittografia basata su hardware o per gli utenti che desiderano questa funzionalità su soluzioni hardware. Questa FAQ si concentra solu nantu à e soluzioni hardware basate in SED per a criptografia HX. Vede i documenti di amministrazione o whitepaper (s) per infurmazione nantu à a criptografia basatu in software.

Dichjarazione di preghjudiziu
A documentazione stabilita per stu pruduttu s'impegna à utilizà una lingua senza preghjudiziu. Per i scopi di sta documentazione, senza preghjudiziu hè definitu cum'è una lingua chì ùn implica micca discriminazione per età, disabilità, sessu, identità razziale, identità etnica, orientazione sessuale, status socioeconomicu è intersectionalità. Eccezzioni ponu esse presenti in a documentazione per via di a lingua chì hè codificata in l'interfaccia d'utilizatore di u software di u produttu, a lingua utilizata basatu nantu à a documentazione standard, o a lingua chì hè aduprata da un pruduttu di terzu riferitu.

Perchè Cisco for Security and HX Encryption 

• Q 1.1: Chì prucessi sò in piazza per u sviluppu sicuru?
  A 1.1: I Servitori Cisco aderiscenu à u Cisco Secure Development Lifecycle (CSDL):
  • Cisco furnisce prucessi, metodologie, frameworks per sviluppà a sicurità integrata nantu à i servitori Cisco, micca solu una superposizione.
  • Squadra Cisco dedicata per a modellazione di a minaccia / analisi statica nantu à u Portfolio di Product UCS
  • Cisco Advanced Security Initiative Group (ASIG) esegue una prova di penetrazione proattiva per capisce cumu entranu e minacce è risolve i prublemi rinfurzendu HW & SW attraversu CDETS è ingegneria.
  • Squadra Cisco dedicata per pruvà è trattà a vulnerabilità in uscita è cumunicà cum'è cunsiglieri di sicurezza à i clienti
  • Tutti i prudutti sottostanti passanu per i requisiti di basa di sicurezza di u produttu (PSB) chì guverna i standard di sicurezza per i prudutti Cisco
  • Cisco esegue a prova di robustezza di Vulnerabilità / Protocolli nantu à tutte e versioni UCS
• Q 1.2: Perchè i SED sò impurtanti?
  A 1.2: I SED sò usati per a criptografia di dati à riposu è sò un requisitu per parechje, se micca tutte, istituzioni federali, medichi è finanziarii.

Infurmazioni Generali Overview

• Q 2.1: Chì sò i SED?
  A 2.1: SED (Self-Encrypting Drives) anu un hardware speciale chì cripta i dati in entrata è decripta i dati in uscita in tempu reale.
• Q 2.2: Chì ghjè u scopu di a criptografia in HX?
  A 2.2: A criptografia in HX hè attualmente implementata in hardware per i dati in riposu solu cù unità criptate (SED). A criptografia HX hè in u cluster. A criptografia VM individuale hè gestita da u software di terzu partitu cum'è Hytrust o u cliente trasparente di Vormetric è hè fora di u scopu di e responsabilità HX. HX supporta ancu l'usu di a criptografia VM nativa di VMware introdotta in vSphere 3. L'usu di un cliente di crittografia VM in cima à a criptografia basata in HX SED hà da risultatu in una doppia criptografia di e dati. A replicazione HX ùn hè micca criptata è si basa in rete di fiducia o tunnelli criptati implementati da l'utilizatore finale.
• Q 2.3: Quali standard di cunfurmità sò riscontrati cù a criptografia HX?
  A 2.3: Le unità criptate HX SED soddisfano i standard FIPS 140-2 di livello 2 dai produttori di unità. HX Encryption nantu à a piattaforma risponde à i standard FIPS 140-2 di livellu 1.
• Q 2.4: Supportemu sia HDD sia SSD per a criptografia?
  A 2.4: Iè, supportemu i dui HDD è SSD SED da Micron.
• Q 2.5: Un cluster HX pò avè unità criptate è micca criptate à u stessu tempu?
  A 2.5: Tutti i nodi in cluster deve esse uniformi (SED o non-SED)
• Q 2.6: Chì chjave sò in usu per un SED è cumu sò usati?
  A 2.6: Ci sò dui chjave in usu per ogni SED. A Chjave di Encryption Media (MEK) chjamata ancu a Chjave di Encryption Disk (DEK), cuntrolla a criptografia è a decifrazione di e dati à u discu è hè assicurata è gestita in hardware. A Key Encryption Key (KEK) assicura u DEK/MEK è hè mantinutu in un magazzinu di chjave locale o remota.
• Q 2.7: I chjavi sò sempre prisenti in memoria?
  A 2.7: I chjavi di criptografia ùn sò mai presenti in a memoria di node
• Q 2.8: Cumu u rendiment hè affettatu da u prucessu di criptografia / decifrazione?
  A 2.8: A criptografia / decifrazione di discu hè trattata in u hardware di l'unità. U rendimentu generale di u sistema ùn hè micca affettatu è ùn hè micca sottumessu à attacchi destinati à altri cumpunenti di u sistema
• Q 2.9: Oltre a criptografia in riposu, chì sò altre ragioni per aduprà SED?
  A 2.9: I SED ponu riduce i costi di ritirata è di ridistribuzione di l'unità attraversu l'eliminazione criptografica istantanea. Servinu ancu per rispettà e regulazioni di u guvernu o di l'industria per a privacy di e dati. Un altru avanzutage hè u risicu ridutta di robba di discu è robba di nodi postu chì i dati, una volta chì u hardware hè sguassatu da l'ecosistema, ùn hè micca leghje.
• Q2.10: Chì succede cù a deduplicazione è a cumpressione cù SED? Chì succede cù a crittografia basatu in software di terzu partitu?
  A2.10: A deduplicazione è a cumpressione cù SED nantu à HX hè mantinutu postu chì a criptografia di dati in u restu si svolge cum'è l'ultimu passu in u prucessu di scrittura. A deduplicazione è a cumpressione sò digià fattu. Cù i prudutti di criptografia basati in software di terzu partitu, i VM gestionanu a so criptografia è passanu scritture criptate à l'ipervisore è dopu à HX. Siccomu sti scritti sò digià criptati, ùn sò micca deduplicati o cumpressi. L'HX Software Based Encryption (in a linea di codice 3.x) serà una soluzione di criptografia di software chì hè implementata in a pila dopu chì l'ottimisazioni di scrittura (deduplicazione è compressione) sò accadute cusì u benefiziu serà ritenutu in quellu casu.

A figura sottu hè sopraview di l'implementazione di SED cù HX.

Drive Details 

• Q 3.1: Quale fabrica l'unità criptate chì sò aduprate in HX?
  A 3.1: HX usa unità fabbricate da Micron: I documenti specifichi di Micron sò ligati in a sezione di documenti di supportu di sta FAQ.
• Q 3.2: Supportemu qualsiasi SED chì ùn sò micca conformi à FIPS?
  A 3.2: Supportemu ancu alcune unità chì ùn sò micca FIPS, ma supportanu SED (TCGE).
• Q 3.3: Chì ghjè u TCG?
  A 3.3: TCG hè u Gruppu di Computing Trusted, chì crea è gestisce u standard di specificazioni per u almacenamentu di dati criptati
• Q 3.4: Cosa hè cunsideratu a sicurità di l'impresa quandu si tratta di SSD SAS per u centru di dati? Chì caratteristiche specifiche anu queste unità chì assicuranu a sicurità è prutegge contra l'attaccu?
  A 3.4: Questa lista riassume e caratteristiche di classi di l'impresa di i SED utilizati in HX è cumu si sò in relazione cù u standard TCG.
  1. Unità autocifranti (SED) furnisce una forte sicurezza per i dati in riposu nantu à u vostru SED, impediscendu l'accessu di dati micca autorizatu. U Gruppu di Computing Trusted (TCG) hà sviluppatu una lista di e caratteristiche è i benefici di l'unità autocifrate per i HDD è SSD. U TCG furnisce un standard chì hè chjamatu TCG Enterprise SSC (Security Subsystem Class) è hè focu annantu à i dati in u restu. Questu hè un requisitu per tutti i SED. A specificazione si applica à i dispositi di almacenamento di dati è i cuntrolli chì operanu in u almacenamentu di l'impresa. A lista include:
     • Trasparenza: Nisuna mudificazione di u sistema o di l'applicazione hè necessariu; chjave di criptografia generata da u drive stessu, utilizendu un veru generatore di numeri casuali à bordu; drive hè sempre criptu.
     • Facilità di gestione: Nisuna chjave di criptografia per gestisce; i venditori di software sfruttanu l'interfaccia standardizzata per gestisce i SED, cumprese a gestione remota, l'autentificazione pre-boot è a ricuperazione di password
     • Costu di eliminazione o di reutilizazione: Cù un SED, sguassate a chjave di criptografia à bordu
     • Ricifrazione: Cù SED, ùn ci hè micca bisognu di ricifrare i dati
     • Prestazione: Nisuna degradazione in u rendiment SED; basatu in hardware
     • Standardizazione: Tutta l'industria di l'accionamentu hè in custruzzione à e Specifiche TCG / SED
     • Simplified: Nisuna interferenza cù i prucessi upstream
  2. I SSD SED furniscenu a capacità di sguassà criptograficamente l'unità. Questu significa chì un cumandamentu autentificatu simplice pò esse mandatu à l'unità per cambià a chjave di criptografia di 256 bit almacenata in u drive. Questu assicura chì l'unità hè pulita è ùn ci hè micca dati chì restanu. Ancu u sistema d'ospiti originale ùn pò micca leghje i dati, cusì sarà assolutamente illegibile da qualsiasi altru sistema. L'operazione dura solu un paru di sicondi, in uppusizione à i parechji minuti o ancu ore chì ci vole à fà una operazione analoga nantu à un HDD micca criptatu è evita u costu di l'equipaggiu o servizii di degaussing di HDD caru.
  3. FIPS (Federal Information Processing Standard) 140-2 hè un standard di u guvernu di i Stati Uniti chì descrive l'encryption è i requisiti di sicurezza cunnessi chì i prudutti IT duveranu risponde per un usu sensitivu, ma micca classificatu. Questu hè spessu un requisitu per l'agenzii di u guvernu è l'imprese in i servizii finanziarii è l'industria di a salute. Un SSD chì hè cunvalidatu FIPS-140-2 usa pratiche di sicurezza forti cumpresi algoritmi di criptografia appruvati. Specifica ancu cumu l'individui o altri prucessi devenu esse autorizati per utilizà u pruduttu, è cumu i moduli o cumpunenti devenu esse cuncepiti per interagisce in modu sicuru cù altri sistemi. In fattu, unu di i requisiti di una unità SSD validata FIPS-140-2 hè chì hè un SED. Tenite in mente chì ancu chì TCG ùn hè micca l'unicu modu per uttene un drive criptatu certificatu, e specificazioni TCG Opal è Enterprise SSC ci furniscenu un passu per a validazione FIPS. 4. Una altra funzione essenziale hè Secure Downloads and Diagnostics. Questa funzione di firmware prutege l'unità da attacchi di software per mezu di una firma digitale chì hè integrata in u firmware. Quandu i scaricamenti sò necessarii, a firma digitale impedisce l'accessu micca autorizatu à l'unità, impediscendu chì u firmware falsificatu sia caricatu in l'unità.

Installa Hyperflex cù SED

• Q 4.1: Cumu l'installatore gestisce una implementazione SED? Ci sò cuntrolli speciali?
  A 4.1: L'installatore comunica cù UCSM è assicura chì u firmware di u sistema hè currettu è supportatu per u hardware rilevatu. A cumpatibilità di criptografia hè verificata è infurzata (per esempiu, senza mischju di SED è micca SED).
• Q 4.2: A implementazione hè diversa altrimenti?
  A 4.2: L'installazione hè simile à una installazione HX regulare, però, u flussu di travagliu persunalizatu ùn hè micca supportatu per i SED. Questa operazione richiede credenziali UCSM ancu per i SED.
• Q 4.3: Cumu funziona a licenza cù a criptografia? Ci hè qualcosa extra chì deve esse in u locu?
  A 4.3: Hardware SED (urdinatu da a fabbrica, micca retrofit) + HXDP 2.5 + UCSM (3.1(3x)) sò l'unicu ciò chì hè necessariu per attivà a criptografia cù a gestione di chjave. Ùn ci hè micca una licenza supplementaria fora di l'abbonamentu HXDP di basa necessariu in a versione 2.5.
• Q 4.4: Chì succede quandu aghju un sistema SED chì hà unità chì ùn sò più dispunibili? Cumu possu espansione stu cluster?
  A 4.4: Ogni volta chì avemu un PID chì hè a fine di a vita da i nostri fornituri, avemu un PID di sustituzione chì hè cumpatibile cù u vechju PID. Stu PID di sustituzione pò esse usatu per RMA, espansione in un node, è espansione di cluster (cù novi nodi). Tutti i metudi sò tutti supportati, però, ponu esse bisognu di l'aghjurnamentu à una versione specifica chì hè ancu identificata in e note di liberazione di transizione.

Gestione Chjave

• Q 5.1: Chì ghjè a gestione chjave?
  A 5.1: A gestione di e chjave hè i travaglii implicati cù a prutezzione, l'almacenamiento, a copia di salvezza è l'urganizazione di e chjave di criptografia. HX implementa questu in una pulitica centrata in UCSM.
• Q 5.2: Chì mecanismu furnisce supportu per a cunfigurazione chjave?
  A 5.2: UCSM furnisce supportu per cunfigurà e chjave di sicurezza.
• Q 5.3: Chì tipu di gestione chjave hè dispunibule?
  A 5.3: A gestione lucale di e chjave hè supportata, inseme cù a gestione di chjave remota di classe impresa cù servitori di gestione di chjave di terzu partitu.
• Q 5.4: Quale sò i partenarii di gestione chjave remoti?
  A 5.4: Attualmente supportemu Vormetric è Gemalto (Safenet) è include alta dispunibilità (HA). HyTrust hè in prova.
• Q 5.5: Cumu hè implementata a gestione chjave remota?
  A 5.5: A gestione di chjave remota hè gestita via KMIP 1.1.
• Q 5.6: Cumu hè cunfigurata a gestione lucale?
  A 5.6: A chjave di sicurità (KEK) hè cunfigurata in HX Connect, direttamente da l'utilizatore.
• Q 5.7: Cumu hè cunfigurata a gestione remota?
  A 5.7: L'infurmazione di l'indirizzu di u servitore di gestione di chjave remota (KMIP) cù e credenziali di login hè cunfigurata in HX Connect da l'utilizatore.
• Q 5.8: Chì parte di HX cumunicà cù u servitore KMIP per a cunfigurazione?
  A 5.8: U CIMC nantu à ogni node usa questa informazione per cunnette à u servitore KMIP è ricuperà a chjave di sicurità (KEK) da ellu.
  
• Q 5.9: Chì tipi di Certificati sò supportati in u prucessu di generazione / ricuperazione / aghjurnamentu di chjave?
  A 5.9: I certificati firmati da CA è autofirmati sò tramindui supportati.
  
• Q 5.10: Chì flussi di travagliu sò supportati cù u prucessu di criptografia?
  A 5.10: Prutegge / sprotette cù una password persunalizata hè supportata inseme cù a cunversione di a gestione di chjave locale à remota. L'operazioni di re-key sò supportate. L'operazione di cancellazione sicura di u discu sò ancu supportate.
  

U flussu di travagliu di l'utilizatori: Locale

• Q 6.1: In HX Connect, induve aghju stabilitu a gestione di chjave locale?
  A 6.1: In u dashboard di criptografia selezziunate u buttone di cunfigurazione è seguite l'assistente.
• Q 6.2: Chì aghju bisognu à avè prontu per andà per inizià questu?
  A 6.2: Avete bisognu di furnisce una passphrase di sicurezza di 32 caratteri.
• Q 6.3: Chì succede se aghju bisognu di inserisce un novu SED?
  A 6.3: In UCSM avete bisognu di edità a pulitica di sicurità lucale è stabilisce a chjave implementata à a chjave di node esistenti.
• Q 6.4: Chì succede quandu inserisci u novu discu?
  A 6.4: Se a chjave di sicurità nantu à u discu currisponde à quella di u servitore (node) si sblocca automaticamente. Se i chjavi di sicurità sò diffirenti, u discu vi mostrarà cum'è "Locked". Pudete sia sguassate u discu per sguassà tutte e dati o sbloccare da furnisce a chjave curretta. Questu hè un bonu tempu per impegnà TAC.

U flussu di travagliu di l'utilizatori: Remote

• Q 7.1: Chì sò e cose ch'e aghju bisognu di guardà cù a cunfigurazione di a gestione di chjave remota?
  A 7.1: A cumunicazione trà u cluster è u servitore (s) KMIP passa nantu à u CIMC in ogni nodu. Questu significa chì u nome d'ospitu pò esse usatu per u servitore KMIP solu se l'indirizzu IP Inband è DNS sò cunfigurati nantu à a gestione CIMC.
• Q 7.2: Chì succede se aghju bisognu di rimpiazzà o inserisce un novu SED?
  A 7.2: U cluster hà da leghje l'identificatore da u discu è pruvate à sbloccà automaticamente. Se u sbloccare automaticu falla, u discu vene cum'è "bloccatu" è l'utilizatore hà da sbloccare u discu manualmente. Avete da copià i certificati à u servitore (s) KMIP per u scambiu di credenziali.
• Q 7.3: Cumu copià i certificati da u cluster à u servore (s) KMIP?
  A 7.3: Ci hè duie manere di fà questu. Pudete copià u certificatu da u BMC à u servitore KMIP direttamente o pudete aduprà u CSR per uttene un certificatu firmatu da CA è copià u certificatu firmatu da CA à u BMC utilizendu cumandamenti UCSM.
• Q 7.4: Chì considerazioni ci sò per aghjunghje nodi criptati à un cluster chì usa a gestione di chjave remota?
  A 7.4: Quandu aghjunghjenu novi ospiti à u servore (s) KMIP, u nome di l'ospitu utilizatu deve esse u numeru di serie di u servitore. Per uttene u certificatu di u servore KMIP, pudete aduprà un navigatore per uttene u certificatu radice di u servore KMIP.

U flussu di travagliu di l'utilizatori: Generale

• Q 8.1: Cumu sguassà un discu?
  A 8.1: In u dashboard HX Connect, selezziunate l'infurmazioni di u sistema view. Da quì pudete selezziunà i dischi individuali per sguassà in modu sicuru.
• Q 8.2: E se aghju sguassatu un discu per accidenti?
  A 8.2: Quandu si usa a cancellazione sicura, i dati sò distrutti permanentemente
• Q 8.3: Ciò chì succede quandu vogliu disattivà un node o dissociate un serviziu profile?
  A 8.3: Nisuna di queste azzioni ùn eliminerà a criptografia di u discu / controller.
• Q 8.4: Cumu a criptografia hè disattivata?
  A 8.4: L'utilizatore hà da disattivà esplicitamente a criptografia in HX Connect. Se l'utilizatore prova di sguassà una pulitica di sicurezza in UCSM quandu u servitore assuciatu hè statu assicuratu, UCSM mostrarà un fallimentu di cunfigurazione è disattivarà l'azzione. A pulitica di sicurità deve esse disattivata prima.

U flussu di travagliu di l'utilizatori: Gestione di certificati

• Q 9.1: Cumu sò trattati i certificati durante a cunfigurazione di a gestione remota?
  A 9.1: I certificati sò creati cù HX Connect è u servitore (s) KMIP remoti. I certificati una volta creati ùn saranu quasi mai sguassati.
• Q 9.2: Chì tipu di certificati possu aduprà?
  A 9.2: Pudete aduprà certificati autofirmati o certificati CA. Avete da sceglie durante a stallazione. Per i certificati firmati da CA, genererete un inseme di richieste di firma di certificati (CSR). I certificati firmati sò caricati à u servore (s) KMIP.
• Q 9.3: Quale hostname deve aduprà quandu generà i certificati?
  A 9.3: U nome d'ospitu utilizatu per generà u certificatu deve esse u Numeru Serial di u servitore.

Actualizazioni di firmware

• Q 10.1: Ci sò alcune restrizioni à l'aghjurnamentu di u firmware di u discu?
  A 10.1: Se si rileva una unità capace di criptografia, qualsiasi cambiamentu di firmware di discu ùn serà micca permessu per quellu discu.
• Q 10.2: Ci sò restrizioni à l'aghjurnamentu di u firmware UCSM?
  A 10.2: U downgrade di UCSM/CIMC à pre-UCSM 3.1(3x) hè limitatu s'ellu ci hè un controller chì hè in u statu sicuru.

Secure Erase Details

• Q 11.1: Cosa hè Secure Erase?
  A 11.1: L'eliminazione sicura hè a cancellazione istantanea di dati nantu à u discu (sguassate a chjave di criptografia di discu). Questu significa chì un cumandamentu autentificatu simplice pò esse mandatu à l'unità per cambià a chjave di criptografia di 256 bit almacenata in u drive. Questu assicura chì l'unità hè pulita è ùn ci hè micca dati chì restanu. Ancu u sistema d'ospiti originale ùn pò micca leghje i dati per quessa ùn serà micca leghjite da qualsiasi altru sistema. L'operazione dura solu un paru di sicondi, in uppusizione à i parechji minuti o ancu ore chì ci vole à fà una operazione analogica nantu à un discu micca criptatu è evita u costu di l'equipaggiu o servizii di degaussing caru.
• Q 11.2: Cumu hè realizatu a cancellazione sicura?
  A 11.2: Questa hè una operazione GUI chì hè realizata una unità à una volta.
• Q 11.3: Quandu hè generalmente eseguitu a cancellazione sicura?
  A 11.3: A cancellazione sicura iniziata da l'utilizatori di un discu unicu hè una operazione rara. Questu hè soprattuttu fattu quandu vulete caccià fisicamente u discu per u rimpiazzamentu, trasfirìulu à un altru node, o evite u fallimentu vicinu à u futuru.
• Q 11.4: Chì restrizioni ci sò nantu à a cancellazione sicura?
  A 11.4: L'operazione di cancellazione sicura pò esse realizatu solu se u cluster hè sanu per assicurà chì a resistenza di difetti di u cluster ùn hè micca impactata.
• Q 11.5: Chì succede se aghju bisognu di sguassà un nodu tutale?
  A 11.5: Ci sò flussi di travagliu di eliminazione di nodi è di rimpiazzamentu di nodi per sustene a cancellazione sicura di tutte e unità. Vede a guida di l'amministratore per i dettagli o cunsultate Cisco TAC.
• Q 11.6: Un discu sguassatu in modu sicuru pò esse riutilizatu?
  A 11.6: Un discu chì hè statu sguassatu in modu sicuru pò esse riutilizatu solu in un cluster differente. L'eliminazione sicura di u SED hè fatta sguassendu a chjave di criptografia di discu (DEK). I dati in u discu ùn ponu esse decriptati senza DEK. Questu permette di riutilizà o decommission u discu senza alcunu cumprumissu di e dati.
• Q 11.7: Chì succede se u discu chì vogliu sguassà cuntene l'ultima copia primaria di dati di cluster?
  A 11.7: I dati nantu à u discu deve avè altre copie in u cluster per evità a perdita di dati. In ogni casu, se l'eliminazione sicura hè dumandata nantu à un discu chì hè l'ultima copia primaria, allora sta operazione serà rifiutata finu à chì ci hè almenu una copia più dispunibule. Rebalance deve esse fà sta copia in u fondu.
• Q 11.8: Aghju veramente bisognu di sguassà in modu sicuru un discu, ma u cluster ùn hè micca sanu. Cumu possu fà?
  A 11.8: A linea di cumanda (STCLI / HXCLI) permetterà un sguassatu sicuru quandu u cluster ùn hè micca sanu è u discu ùn cuntene l'ultima copia primaria, altrimenti ùn hè micca permessa.
• Q 11.9: Cumu possu sguassà in modu sicuru un nodu tutale?
  A 11.9: Questu hè un scenariu raru. L'eliminazione sicura di tutti i discu in un node hè fatta quandu unu vole piglià u node fora di u cluster. L'intenzione hè sia di implementà u node in un cluster differente, sia di decommission the node. Pudemu classificà a rimozione di nodi in questu scenariu in dui modi diffirenti:
  1. Cancella sicura tutti i dischi senza disattivà a criptografia
  2. Secure sguassà tutti i dischi seguitu da disattivà a criptografia per quellu node (è dischi). Per piacè cuntattate Cisco TAC per assistenza.

Espansione sicura di un cluster

• Q 12.1: Cù quale tipu di nodu possu espansione un cluster criptatu?
  A 12.1: Solu i nodi capaci di SED ponu esse aghjuntu à un Cluster HX cù SED.
• Q 12.2: Cumu hè trattatu l'espansione cù a gestione di chjave locale?
  A 12.2: L'espansione di chjave locale hè una operazione senza saldatura senza cunfigurazione esterna necessaria.
• Q 12.3: Cumu hè trattatu l'espansione cù a gestione di chjave remota?
  A 12.3: L'espansione di chjave remota richiede un lockstep cù certificati / infrastruttura di gestione di chjave:
  • I certificati sò richiesti per aghjunghje un novu nodu in modu sicuru
  • L'implementazione mostrarà un avvisu cù i passi per procederà, cumprese un ligame per u scaricamentu di u certificatu
  • L'utilizatore seguita i passi per carica u certificatu (s) è poi riprova a implementazione

Documenti di sustegnu

Micron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Lista di algoritmi di criptu appruvati per FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Prughjettu: CSC.nuova Product: ucs-blade-server Componente: ucsm

Specificazioni Funzionali SED:

• EDCS: 1574090

Specificazioni SED CIMC:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Mailing Lists:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Documenti / Risorse

Piattaforma di dati CISCO HyperFlex HX [pdf] Istruzzioni HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platform

Referenze

• Manuale d'usu