Llwyfan Data CISCO HyperFlex HX

Gwybodaeth Cynnyrch

• Enw Cynnyrch: Amgryptio Diogelwch HX
• Fersiwn: HXDP 5.01b
• Ateb Amgryptio: Datrysiad sy'n seiliedig ar feddalwedd gan ddefnyddio Intersight Key Manager
• Math o Amgryptio: Gyriannau Hunan-Amgryptio (SEDs)
• Mathau o Yriant a Gefnogir: SEDs HDD a SSD o Micron
• Safonau Cydymffurfio: FIPS 140-2 lefel 2 (gweithgynhyrchwyr gyriant) a FIPS 140-2 lefel 1 (llwyfan)
• Amgryptio Clwstwr-Eang: Mae amgryptio ar HX yn cael ei weithredu mewn caledwedd ar gyfer data'n ddisymud gan ddefnyddio SEDs yn unig
• Amgryptio VM Unigol: Wedi'i drin gan feddalwedd trydydd parti fel cleient tryloyw Hytrust neu Vormetric
• Amgryptio VM Brodorol VMware: Cefnogir gan HX i'w ddefnyddio gydag amgryptio SED
• Rheolaeth Allweddol: Defnyddir Allwedd Amgryptio Cyfryngau (MEK) ac Allwedd Amgryptio Allwedd (KEK) ar gyfer pob DH
• Defnydd Cof: Nid yw allweddi amgryptio byth yn bresennol yng nghof nod
• Effaith Perfformiad: Ymdrinnir ag amgryptio/dadgryptio disg yng nghaledwedd y gyriant, nid yw perfformiad cyffredinol y system yn cael ei effeithio
• Manteision Ychwanegol SEDs:
  • Dileu cryptograffig ar unwaith ar gyfer costau ymddeol ac adleoli llai o yrru
  • Cydymffurfio â rheoliadau'r llywodraeth neu'r diwydiant ar gyfer preifatrwydd data
  • Llai o risg o ddwyn disg a lladrad nodau wrth i ddata ddod yn annarllenadwy unwaith y bydd caledwedd yn cael ei dynnu

Cyfarwyddiadau Defnydd Cynnyrch

I ddefnyddio HX Security Encryption, dilynwch y cyfarwyddiadau hyn:

1. Sicrhewch fod eich system yn cefnogi amgryptio seiliedig ar galedwedd neu ei bod yn well gennych y datrysiad sy'n seiliedig ar feddalwedd gan ddefnyddio Intersight Key Manager.
2. Cyfeiriwch at y dogfennau gweinyddol neu'r papur(au) gwyn am wybodaeth am amgryptio seiliedig ar feddalwedd.
3. Os dewiswch ddefnyddio amgryptio seiliedig ar galedwedd gyda SEDs, gwnewch yn siŵr bod eich clwstwr HX yn cynnwys nodau unffurf (SEDs neu non-SEDs).
4. Ar gyfer SEDs, deallwch fod dwy allwedd yn cael eu defnyddio: yr Allwedd Amgryptio Cyfryngau (MEK) a'r Allwedd Amgryptio Allwedd (KEK).
5. Mae'r MEK yn rheoli amgryptio a dadgryptio'r data i'r ddisg ac yn cael ei ddiogelu a'i reoli mewn caledwedd.
6. Mae'r KEK yn sicrhau'r MEK/DEK ac yn cael ei gynnal naill ai mewn storfa allweddi leol neu anghysbell.
7. Peidiwch â phoeni am fod yr allweddi yn bresennol yng nghof nod, gan nad yw allweddi amgryptio byth yn cael eu storio yno.
8. Sylwch fod amgryptio/dadgryptio disg yn cael ei drin yng nghaledwedd y gyriant, gan sicrhau nad yw perfformiad cyffredinol y system yn cael ei effeithio.
9. Os oes gennych ofynion penodol ar gyfer safonau cydymffurfio, byddwch yn ymwybodol bod gyriannau amgryptio HX SED yn bodloni safonau FIPS 140-2 lefel 2 gan y gwneuthurwyr gyriant, tra bod Amgryptio HX ar y platfform yn bodloni safonau lefel 140 FIPS 2-1.
10. Os oes angen i chi amgryptio VMs unigol, ystyriwch ddefnyddio meddalwedd trydydd parti fel cleient tryloyw Hytrust neu Vormetric. Fel arall, gallwch ddefnyddio amgryptio VM brodorol VMware a gyflwynwyd yn vSphere 3.
11. Cofiwch y bydd defnyddio cleient amgryptio VM ar ben amgryptio HX SED yn arwain at amgryptio data ddwywaith.
12. Sicrhewch fod eich clwstwr HX wedi'i gysylltu trwy rwydweithiau dibynadwy neu dwneli wedi'u hamgryptio ar gyfer atgynhyrchu diogel, gan nad yw atgynhyrchu HX wedi'i amgryptio.

Cwestiynau Cyffredin Amgryptio Diogelwch HX

O HXDP 5.01b, mae HyperFlex yn cynnig datrysiad sy'n seiliedig ar feddalwedd gan ddefnyddio Intersight Key Manager ar gyfer systemau nad ydynt naill ai'n cefnogi amgryptio ar sail caledwedd neu ar gyfer defnyddwyr sy'n dymuno'r swyddogaeth hon dros atebion caledwedd. Mae'r Cwestiynau Cyffredin hwn yn canolbwyntio ar atebion caledwedd SED ar gyfer amgryptio HX yn unig. Gweler y dogfennau gweinyddol neu bapur(au) gwyn am wybodaeth am amgryptio seiliedig ar feddalwedd.

Datganiad Tuedd
Mae'r ddogfennaeth a osodwyd ar gyfer y cynnyrch hwn yn ymdrechu i ddefnyddio iaith ddiduedd. At ddibenion y set ddogfennaeth hon, diffinnir di-duedd fel iaith nad yw'n awgrymu gwahaniaethu ar sail oedran, anabledd, rhyw, hunaniaeth hiliol, hunaniaeth ethnig, cyfeiriadedd rhywiol, statws economaidd-gymdeithasol, a chroestoriadedd. Gall eithriadau fod yn bresennol yn y ddogfennaeth oherwydd iaith sydd wedi'i chodio'n galed yn rhyngwynebau defnyddwyr meddalwedd y cynnyrch, yr iaith a ddefnyddir yn seiliedig ar ddogfennaeth safonau, neu'r iaith a ddefnyddir gan gynnyrch trydydd parti y cyfeirir ato.

Pam Cisco ar gyfer Diogelwch ac Amgryptio HX 

• C 1.1: Pa brosesau sydd ar waith ar gyfer datblygiad diogel?
  A 1.1: Mae Gweinyddwyr Cisco yn cadw at Gylch Bywyd Datblygu Diogel Cisco (CSDL):
  • Mae Cisco yn darparu prosesau, methodolegau, fframweithiau i ddatblygu diogelwch wedi'i fewnosod ar weinyddion Cisco, nid troshaen yn unig
  • Tîm Cisco ymroddedig ar gyfer modelu bygythiadau/dadansoddi statig ar Bortffolio Cynnyrch UCS
  • Mae Cisco Advanced Security Enterprise Group (ASIG) yn cynnal profion treiddiad rhagweithiol i ddeall sut mae bygythiadau'n dod i mewn a datrys problemau trwy wella HW & SW trwy CDETS a pheirianneg
  • Tîm Cisco ymroddedig i brofi ac ymdrin â bregusrwydd allanol a chyfathrebu fel cynghorwyr diogelwch i gwsmeriaid
  • Mae'r holl gynhyrchion sylfaenol yn mynd trwy ofynion sylfaenol diogelwch cynnyrch (PSB) sy'n llywodraethu safonau diogelwch ar gyfer cynhyrchion Cisco
  • Mae Cisco yn cynnal profion Gwendid/Protocol ar bob datganiad UCS
• C 1.2: Pam mae SEDs yn bwysig?
  A 1.2: Defnyddir SEDs ar gyfer amgryptio data wrth orffwys ac maent yn ofynnol i lawer, os nad pob un, o sefydliadau ffederal, meddygol ac ariannol.

Gwybodaeth Gyffredinol Drosview

• C 2.1: Beth yw SEDs?
  A 2.1: Mae gan SED (Gyriannau Hunan-Amgryptio) galedwedd arbennig sy'n amgryptio data sy'n dod i mewn ac yn dadgryptio data sy'n mynd allan mewn amser real.
• C 2.2: Beth yw cwmpas amgryptio ar HX?
  A 2.2: Mae amgryptio ar HX yn cael ei weithredu ar hyn o bryd mewn caledwedd ar gyfer data'n ddisymud gan ddefnyddio gyriannau wedi'u hamgryptio (SEDs) yn unig. Mae amgryptio HX ar draws y clwstwr. Mae amgryptio VM unigol yn cael ei drin gan feddalwedd trydydd parti fel Hytrust neu gleient tryloyw Vormetric ac mae y tu allan i gwmpas cyfrifoldebau HX. Mae HX hefyd yn cefnogi'r defnydd o amgryptio VM brodorol VMware a gyflwynwyd yn vSphere 3. Bydd defnyddio cleient amgryptio VM ar ben amgryptio seiliedig ar HX SED yn arwain at amgryptio'r data ddwywaith. Nid yw atgynhyrchu HX wedi'i amgryptio ac mae'n dibynnu ar rwydweithiau dibynadwy neu dwneli wedi'u hamgryptio a ddefnyddir gan y defnyddiwr terfynol.
• C 2.3: Pa safonau cydymffurfio sy'n cael eu bodloni ag amgryptio HX?
  A 2.3: Mae gyriannau amgryptio HX SED yn bodloni safonau FIPS 140-2 lefel 2 gan y gwneuthurwyr gyriant. Mae amgryptio HX ar y platfform yn cwrdd â safonau lefel 140 FIPS 2-1.
• C 2.4: A ydym yn cefnogi HDD ac SSD ar gyfer amgryptio?
  A 2.4: Ydym, rydym yn cefnogi SEDs HDD ac SSD gan Micron.
• C 2.5: A all clwstwr HX fod â gyriannau wedi'u hamgryptio a heb eu hamgryptio ar yr un pryd?
  A 2.5: Rhaid i bob nod yn y clwstwr fod yn unffurf (SEDs neu non-SEDs)
• C 2.6: Pa allweddi sy'n cael eu defnyddio ar gyfer DHW a sut maen nhw'n cael eu defnyddio?
  A 2.6: Mae dwy allwedd yn cael eu defnyddio ar gyfer pob DH. Mae'r Allwedd Amgryptio Cyfryngau (MEK) a elwir hefyd yn Allwedd Amgryptio Disg (DEK), yn rheoli amgryptio a dadgryptio'r data i'r ddisg ac yn cael ei ddiogelu a'i reoli mewn caledwedd. Mae'r Allwedd Amgryptio Allwedd (KEK) yn sicrhau'r DEK/MEK ac yn cael ei chynnal naill ai mewn storfa allweddi leol neu anghysbell.
• C 2.7: A yw'r allweddi byth yn bresennol yn y cof?
  A 2.7: Nid yw allweddi amgryptio byth yn bresennol yng nghof nod
• C 2.8: Sut mae perfformiad yn cael ei effeithio gan y broses amgryptio/dadgryptio?
  A 2.8: Mae amgryptio/dadgryptio disg yn cael ei drin yng nghaledwedd y gyriant. Nid yw perfformiad cyffredinol y system yn cael ei effeithio ac nid yw'n destun ymosodiadau sy'n targedu cydrannau eraill y system
• C 2.9: Heblaw am amgryptio wrth orffwys, beth yw rhesymau eraill dros ddefnyddio SEDs?
  A 2.9: Gall SEDs leihau costau ymddeoliad gyrru ac adleoli trwy ddileu cryptograffig ar unwaith. Maent hefyd yn gwasanaethu i gydymffurfio â rheoliadau'r llywodraeth neu'r diwydiant ar gyfer preifatrwydd data. Advan aralltage yw'r risg is o ddwyn disg a lladrad nodau gan fod y data, unwaith y bydd y caledwedd yn cael ei dynnu o'r ecosystem, yn annarllenadwy.
• C2.10: Beth sy'n digwydd gyda dad-ddyblygu a chywasgu gyda SEDs? Beth sy'n digwydd gydag amgryptio 3ydd parti yn seiliedig ar feddalwedd?
  A2.10: Mae dad-ddyblygu a chywasgu gyda SEDs ar HX yn cael eu cynnal gan fod y data adeg amgryptio gorffwys yn digwydd fel cam olaf yn y broses ysgrifennu. Mae dad-ddyblygu a chywasgu eisoes wedi digwydd. Gyda chynhyrchion amgryptio sy'n seiliedig ar feddalwedd trydydd parti, mae'r VMs yn rheoli eu hamgryptio ac yn pasio ysgrifen wedi'i amgryptio i'r hypervisor ac wedyn HX. Gan fod yr ysgrifenniadau hyn eisoes wedi'u hamgryptio, nid ydynt yn cael eu dad-ddyblygu na'u cywasgu. Bydd HX Software Based Encryption (yn y codeline 3.x) yn ddatrysiad amgryptio meddalwedd a weithredir yn y pentwr ar ôl i optimeiddiadau ysgrifennu (daddyblygu a chywasgu) ddigwydd felly bydd y budd yn cael ei gadw yn yr achos hwnnw.

Mae'r ffigwr isod yn ormodview gweithredu SED gyda HX.

Manylion Drive 

• C 3.1: Pwy sy'n gweithgynhyrchu'r gyriannau wedi'u hamgryptio a ddefnyddir yn HX?
  A 3.1: Mae HX yn defnyddio gyriannau a weithgynhyrchir gan Micron: Mae dogfennau micron-benodol wedi'u cysylltu yn adran dogfennau ategol y Cwestiynau Cyffredin hwn.
• C 3.2: A ydym yn cefnogi unrhyw SEDs nad ydynt yn cydymffurfio â FIPS?
  A 3.2: Rydym hefyd yn cefnogi rhai gyriannau nad ydynt yn FIPS, ond yn cefnogi SED (TCGE).
• C 3.3: Beth yw'r TCG?
  A 3.3: TCG yw'r Grŵp Cyfrifiadura Dibynadwy, sy'n creu ac yn rheoli'r safon manylebau ar gyfer storio data wedi'i amgryptio
• C 3.4: Beth sy'n cael ei ystyried yn ddiogelwch dosbarth menter pan ddaw i SAS SSDs ar gyfer y ganolfan ddata? Pa nodweddion penodol sydd gan y gyriannau hyn sy'n sicrhau diogelwch ac yn amddiffyn rhag ymosodiad?
  A 3.4: Mae'r rhestr hon yn crynhoi nodweddion dosbarth menter y SEDs a ddefnyddir yn HX a sut maent yn berthnasol i safon TCG.
  1. Mae gyriannau hunan-amgryptio (SEDs) yn darparu diogelwch cryf ar gyfer data sy'n gorffwys ar eich SED, gan atal mynediad data heb awdurdod. Mae'r Grŵp Cyfrifiadura Ymddiried (TCG) wedi datblygu rhestr o nodweddion a buddion gyriannau hunan-amgryptio ar gyfer HDDs ac SSDs. Mae'r TCG yn darparu safon a elwir yn TCG Enterprise SSC (Dosbarth Is-system Ddiogelwch) ac mae'n canolbwyntio ar ddata wrth orffwys. Mae hyn yn ofynnol ar gyfer pob SED. Mae'r fanyleb yn berthnasol i ddyfeisiau storio data a rheolwyr sy'n gweithredu ym maes storio menter. Mae'r rhestr yn cynnwys:
     • Tryloywder: Nid oes angen addasiadau system na chymhwysiad; allwedd amgryptio a gynhyrchir gan y gyriant ei hun, gan ddefnyddio generadur rhif hap go iawn ar y bwrdd; mae gyriant bob amser yn amgryptio.
     • Rhwyddineb rheoli: Dim allwedd amgryptio i'w reoli; mae gwerthwyr meddalwedd yn manteisio ar ryngwyneb safonol i reoli SEDs, gan gynnwys rheoli o bell, dilysu cyn cychwyn, ac adfer cyfrinair
     • Cost gwaredu neu ail-bwrpasu: Gyda SED, dileu'r allwedd amgryptio ar y bwrdd
     • Ail-amgryptio: Gyda SED, nid oes angen byth ail-amgryptio'r data
     • Perfformiad: Dim diraddio mewn perfformiad SED; seiliedig ar galedwedd
     • Safoni: Mae diwydiant gyriant cyfan yn adeiladu i Fanylebau TCG/SED
     • Syml: Dim ymyrraeth â phrosesau i fyny'r afon
  2. Mae SSD SEDs yn darparu yw'r gallu i ddileu'r gyriant yn cryptograffig. Mae hyn yn golygu y gellir anfon gorchymyn dilys syml i'r gyriant i newid yr allwedd amgryptio 256-bit sydd wedi'i storio ar y gyriant. Mae hyn yn sicrhau bod y gyriant yn cael ei sychu'n lân ac nad oes unrhyw ddata ar ôl. Ni all hyd yn oed y system westeiwr wreiddiol ddarllen y data, felly bydd yn gwbl annarllenadwy gan unrhyw system arall. Dim ond cwpl o eiliadau y mae'r llawdriniaeth yn ei gymryd, yn wahanol i'r munudau neu hyd yn oed oriau lawer y mae'n eu cymryd i berfformio gweithrediad tebyg ar HDD heb ei amgryptio ac mae'n osgoi cost offer neu wasanaethau dad-fesur HDD drud.
  3. FIPS (Safon Prosesu Gwybodaeth Ffederal) Mae 140-2 yn safon llywodraeth yr UD sy'n disgrifio'r gofynion amgryptio a diogelwch cysylltiedig y dylai cynhyrchion TG eu bodloni ar gyfer defnydd sensitif, ond annosbarthedig. Mae hyn yn aml yn ofyniad ar asiantaethau'r llywodraeth a chwmnïau yn y diwydiannau gwasanaethau ariannol a gofal iechyd hefyd. Mae SSD sydd wedi'i ddilysu gan FIPS-140-2 yn defnyddio arferion diogelwch cryf gan gynnwys algorithmau amgryptio cymeradwy. Mae hefyd yn nodi sut y mae'n rhaid awdurdodi unigolion neu brosesau eraill er mwyn defnyddio'r cynnyrch, a sut y mae'n rhaid dylunio modiwlau neu gydrannau i ryngweithio'n ddiogel â systemau eraill. Mewn gwirionedd, un o ofynion gyriant SSD dilysedig FIPS-140-2 yw ei fod yn SED. Cofiwch, er nad TCG yw'r unig ffordd i gael gyriant wedi'i amgryptio ardystiedig, mae manylebau TCG Opal a Enterprise SSC yn darparu carreg gamu i ddilysu FIPS. 4. Nodwedd hanfodol arall yw Dadlwythiadau Diogel a Diagnosteg. Mae'r nodwedd firmware hon yn amddiffyn y gyriant rhag ymosodiadau meddalwedd trwy lofnod digidol sydd wedi'i ymgorffori yn y firmware. Pan fydd angen lawrlwythiadau, mae'r llofnod digidol yn atal mynediad anawdurdodedig i'r gyriant, gan atal firmware ffug rhag cael ei lwytho i'r gyriant.

Gosod Hyperflex gyda SEDs

• C 4.1: Sut mae'r gosodwr yn trin gosodiad SED? A oes unrhyw wiriadau arbennig?
  A 4.1: Mae'r gosodwr yn cyfathrebu ag UCSM ac yn sicrhau bod firmware system yn gywir ac yn cael ei gefnogi ar gyfer y caledwedd a ganfuwyd. Mae cydnawsedd amgryptio yn cael ei wirio a'i orfodi (ee, dim cymysgu SED a di-SED).
• C 4.2: A yw'r lleoliad yn wahanol fel arall?
  A 4.2: Mae'r gosodiad yn debyg i osodiad HX rheolaidd, fodd bynnag, ni chefnogir llif gwaith arferol ar gyfer SEDs. Mae'r gweithrediad hwn yn gofyn am gymwysterau UCSM ar gyfer y SEDs hefyd.
• C 4.3: Sut mae trwyddedu yn gweithio gydag amgryptio? A oes angen unrhyw beth ychwanegol?
  A 4.3: Caledwedd SED (wedi'i archebu o ffatri, nid ôl-ffitio) + HXDP 2.5 + UCSM (3.1(3x)) yw'r unig bethau sydd eu hangen i alluogi amgryptio gyda rheolaeth allweddol. Nid oes angen trwyddedu ychwanegol y tu allan i'r tanysgrifiad HXDP sylfaenol yn y datganiad 2.5.
• C 4.4: Beth sy'n digwydd pan fydd gennyf system SED sydd â gyriannau nad ydynt ar gael mwyach? Sut gallaf ehangu'r clwstwr hwn?
  A 4.4: Pryd bynnag y bydd gennym unrhyw PID diwedd oes gan ein cyflenwyr, mae gennym PID newydd sy'n gydnaws â'r hen PID. Gellir defnyddio'r PID newydd hwn ar gyfer RMA, ehangu o fewn nod, ac ehangu clwstwr (gyda nodau newydd). Mae pob dull yn cael ei gefnogi, fodd bynnag, efallai y bydd angen eu huwchraddio i ddatganiad penodol sydd hefyd wedi'i nodi yn y nodiadau rhyddhau trosiannol.

Rheolaeth Allweddol

• C 5.1: Beth yw Rheolaeth Allweddol?
  A 5.1: Rheolaeth allweddol yw'r tasgau sy'n ymwneud â diogelu, storio, gwneud copïau wrth gefn a threfnu allweddi amgryptio. Mae HX yn gweithredu hyn mewn polisi UCSM-ganolog.
• C 5.2: Pa fecanwaith sy'n darparu cefnogaeth ar gyfer cyfluniad allweddol?
  A 5.2: Mae UCSM yn darparu cefnogaeth i ffurfweddu allweddi diogelwch.
• C 5.3: Pa fath o reolaeth allweddol sydd ar gael?
  A 5.3: Cefnogir rheolaeth leol o allweddi, ynghyd â rheolaeth allweddol o bell dosbarth menter gyda gweinyddwyr rheoli allweddol 3ydd parti.
• C 5.4: Pwy yw'r partneriaid rheoli allweddol o bell?
  A 5.4: Ar hyn o bryd rydym yn cefnogi Vormetric a Gemalto (Safenet) ac yn cynnwys argaeledd uchel (HA). Mae HyTrust wrthi'n profi.
• C 5.5: Sut mae rheolaeth allweddol o bell yn cael ei gweithredu?
  A 5.5: Ymdrinnir â rheolaeth allweddol o bell trwy KMIP 1.1.
• C 5.6: Sut mae rheolaeth leol wedi'i chyflunio?
  A 5.6: Mae'r allwedd ddiogelwch (KEK) wedi'i ffurfweddu yn HX Connect, yn uniongyrchol gan y defnyddiwr.
• C 5.7: Sut mae rheoli o bell wedi'i ffurfweddu?
  A 5.7: Mae'r wybodaeth cyfeiriad gweinydd rheoli bysell o bell (KMIP) ynghyd â manylion mewngofnodi yn cael ei ffurfweddu yn HX Connect gan y defnyddiwr.
• C 5.8: Pa ran o HX sy'n cyfathrebu â'r gweinydd KMIP ar gyfer ffurfweddu?
  A 5.8: Mae'r CIMC ar bob nod yn defnyddio'r wybodaeth hon i gysylltu â'r gweinydd KMIP ac adalw'r allwedd ddiogelwch (KEK) ohono.
  
• C 5.9: Pa fathau o Dystysgrifau a gefnogir yn y broses cynhyrchu/adalw/diweddaru allweddol?
  A 5.9: Cefnogir tystysgrifau wedi'u llofnodi gan CA a thystysgrifau hunan-lofnodedig.
  
• C 5.10: Pa lifoedd gwaith sy'n cael eu cefnogi gan y broses amgryptio?
  A 5.10: Diogelu / dad-ddiogelu gan ddefnyddio cyfrinair arfer yn cael ei gefnogi ynghyd â lleol i o bell trosi rheoli allweddol. Cefnogir gweithrediadau ail-allweddol. Cefnogir gweithrediad dileu disg diogel hefyd.
  

Llif Gwaith Defnyddiwr: Lleol

• C 6.1: Yn HX Connect, ble felly y gwnes i sefydlu rheolaeth allweddol leol?
  A 6.1: Yn y dangosfwrdd Amgryptio dewiswch y botwm ffurfweddu a dilynwch y dewin.
• C 6.2: Beth sydd angen i mi ei gael yn barod i fynd i ddechrau hyn?
  A 6.2: Bydd angen i chi ddarparu cyfrinair diogelwch 32 nod.
• C 6.3: Beth fydd yn digwydd os bydd angen i mi fewnosod DHW newydd?
  A 6.3: Yn UCSM bydd angen i chi olygu'r polisi diogelwch lleol a gosod yr allwedd defnyddio i'r allwedd nod presennol.
• C 6.4: Beth sy'n digwydd pan fyddaf yn mewnosod y ddisg newydd?
  A 6.4: Os yw'r allwedd ddiogelwch ar y ddisg yn cyfateb i allwedd y gweinydd (nôd) mae'n cael ei datgloi'n awtomatig. Os yw'r allweddi diogelwch yn wahanol, bydd y ddisg yn dangos fel "Ar Glo". Gallwch naill ai glirio'r ddisg i ddileu'r holl ddata neu ei ddatgloi trwy ddarparu'r allwedd gywir. Mae hwn yn amser da i ymgysylltu â TAC.

Llif Gwaith Defnyddiwr: Anghysbell

• C 7.1: Beth yw rhai pethau y mae angen i mi wylio amdanynt gyda chyfluniad rheoli allweddol o bell?
  A 7.1: Mae cyfathrebu rhwng y clwstwr a gweinydd(ion) KMIP yn digwydd dros y CIMC ar bob nod. Mae hyn yn golygu y gellir defnyddio'r enw gwesteiwr ar gyfer gweinydd KMIP dim ond os yw'r cyfeiriad IP Mewnband a DNS wedi'u ffurfweddu ar reolaeth CIMC
• C 7.2: Beth fydd yn digwydd os bydd angen i mi amnewid neu fewnosod DHW newydd?
  A 7.2: Bydd y clwstwr yn darllen y dynodwr o'r ddisg ac yn ceisio ei ddatgloi yn awtomatig. Os bydd datgloi awtomatig yn methu, daw'r ddisg i fyny fel "cloi" a rhaid i'r defnyddiwr ddatgloi'r ddisg â llaw. Bydd yn rhaid i chi gopïo'r tystysgrifau i weinydd(ion) KMIP ar gyfer cyfnewid tystlythyrau.
• C 7.3: Sut mae copïo tystysgrifau o'r clwstwr i weinydd(ion) KMIP?
  A 7.3: Mae dwy ffordd o wneud hyn. Gallwch gopïo'r dystysgrif o'r BMC i weinydd KMIP yn uniongyrchol neu gallwch ddefnyddio'r CSR i gael tystysgrif wedi'i llofnodi gan CA a chopïo'r dystysgrif wedi'i llofnodi gan CA i'r BMC gan ddefnyddio gorchmynion UCSM.
• C 7.4: Pa ystyriaethau sydd ar gyfer ychwanegu nodau wedi'u hamgryptio at glwstwr sy'n defnyddio rheolaeth allweddi o bell?
  A 7.4: Wrth ychwanegu gwesteiwyr newydd i'r gweinydd(ion) KMIP, dylai'r enw gwesteiwr a ddefnyddir fod yn rhif cyfresol y gweinydd. I gael tystysgrif y gweinydd KMIP, gallwch ddefnyddio porwr i gael tystysgrif gwraidd gweinydd(ion) KMIP.

Llif Gwaith Defnyddiwr: Cyffredinol

• C 8.1: Sut mae dileu disg?
  A 8.1: Yn dangosfwrdd HX Connect, dewiswch y wybodaeth system view. Oddi yno gallwch ddewis disgiau unigol i'w dileu'n ddiogel.
• C 8.2: Beth os byddaf yn dileu disg trwy ddamwain?
  A 8.2: Pan ddefnyddir dilead diogel, caiff y data ei ddinistrio'n barhaol
• C 8.3: Beth sy'n digwydd pan fyddaf am ddadgomisiynu nod neu ddatgysylltu gwasanaeth profile?
  A 8.3: Ni fydd unrhyw un o'r gweithredoedd hyn yn dileu'r amgryptio ar y ddisg / rheolydd.
• C 8.4: Sut mae amgryptio yn cael ei analluogi?
  A 8.4: Mae'n rhaid i'r defnyddiwr analluogi amgryptio yn HX Connect yn benodol. Os yw'r defnyddiwr yn ceisio dileu polisi diogelwch yn UCSM pan fydd y gweinydd cysylltiedig wedi'i ddiogelu, bydd UCSM yn dangos methiant ffurfweddu ac yn gwrthod y weithred. Rhaid analluogi'r polisi diogelwch yn gyntaf.

Llif Gwaith Defnyddwyr: Rheoli Tystysgrif

• C 9.1: Sut yr ymdrinnir â thystysgrifau yn ystod gosodiadau rheoli o bell?
  A 9.1: Mae tystysgrifau'n cael eu creu gan ddefnyddio HX Connect a'r gweinydd(ion) KMIP pell. Bydd tystysgrifau ar ôl eu creu bron byth yn cael eu dileu.
• C 9.2: Pa fath o dystysgrifau y gallaf eu defnyddio?
  A 9.2: Gallwch ddefnyddio naill ai tystysgrifau hunan-lofnodedig neu dystysgrifau CA. Mae'n rhaid i chi ddewis yn ystod setup. Ar gyfer tystysgrifau wedi'u llofnodi gan CA byddwch yn cynhyrchu set o Geisiadau Arwyddo Tystysgrif (CSRs). Mae'r tystysgrifau wedi'u llofnodi yn cael eu huwchlwytho i'r gweinydd(ion) KMIP.
• C 9.3: Pa enw gwesteiwr ddylwn i ei ddefnyddio wrth gynhyrchu'r tystysgrifau?
  A 9.3: Dylai'r enw gwesteiwr a ddefnyddir ar gyfer cynhyrchu'r dystysgrif fod yn Rhif Cyfresol y gweinydd.

Diweddariadau Cadarnwedd

• C 10.1: A oes unrhyw gyfyngiadau ar uwchraddio'r firmware disg?
  A 10.1: Os canfyddir gyriant sy'n gallu amgryptio, ni chaniateir unrhyw newidiadau cadarnwedd disg ar gyfer y ddisg honno.
• C 10.2: A oes unrhyw gyfyngiadau ar uwchraddio firmware UCSM?
  A 10.2: Mae israddio UCSM/CIMC i cyn-UCSM 3.1(3x) wedi'i gyfyngu os oes rheolydd sydd mewn cyflwr diogel.

Manylion Dileu Diogel

• C 11.1: Beth yw Dileu Diogel?
  A 11.1: Dileu diogel yw dileu data ar unwaith ar y gyriant (sychwch allwedd amgryptio'r ddisg). Mae hyn yn golygu y gellir anfon gorchymyn dilys syml i'r gyriant i newid yr allwedd amgryptio 256-bit sydd wedi'i storio ar y gyriant. Mae hyn yn sicrhau bod y gyriant yn cael ei sychu'n lân ac nad oes unrhyw ddata ar ôl. Ni all hyd yn oed y system gwesteiwr wreiddiol ddarllen y data felly ni fydd modd ei ddarllen gan unrhyw system arall. Dim ond ychydig eiliadau y mae'r llawdriniaeth yn ei gymryd, yn hytrach na'r munudau neu hyd yn oed oriau lawer y mae'n eu cymryd i berfformio gweithrediad tebyg ar ddisg heb ei amgryptio ac mae'n osgoi cost offer neu wasanaethau degaussing drud.
• C 11.2: Sut mae dileu diogel yn cael ei berfformio?
  A 11.2: Mae hwn yn weithrediad GUI sy'n cael ei berfformio un gyriant ar y tro.
• C 11.3: Pryd mae dileu diogel yn cael ei berfformio fel arfer?
  A 11.3: Mae dileu disg sengl yn ddiogel wedi'i gychwyn gan ddefnyddwyr yn weithrediad prin. Gwneir hyn yn bennaf pan fyddwch am dynnu'r ddisg yn gorfforol i'w hadnewyddu, ei throsglwyddo i nod arall, neu osgoi methiant yn y dyfodol agos.
• C 11.4: Pa gyfyngiadau sydd ar ddileu diogel?
  A 11.4: Dim ond os yw'r clwstwr yn iach y gellir cyflawni gweithrediadau dileu diogel, er mwyn sicrhau nad effeithir ar wydnwch namau'r clwstwr.
• C 11.5: Beth fydd yn digwydd os bydd angen i mi dynnu nod cyfan?
  A 11.5: Mae yna lifau gwaith tynnu nodau a nodau newydd i gefnogi dileu pob gyriant yn ddiogel. Gweler y canllaw gweinyddol am fanylion neu cysylltwch â Cisco TAC.
• C 11.6: A ellir ailddefnyddio disg sydd wedi'i dileu'n ddiogel?
  A 11.6: Dim ond mewn clwstwr gwahanol y gellir ailddefnyddio disg sydd wedi'i dileu'n ddiogel. Mae dileu diogel y SED yn cael ei wneud trwy sychu'r allwedd amgryptio disg (DEK). Ni ellir dadgryptio'r data yn y ddisg heb DEK. Mae hyn yn caniatáu ichi ailddefnyddio neu ddadgomisiynu'r ddisg heb unrhyw gyfaddawd o'r data.
• C 11.7: Beth sy'n digwydd os yw'r ddisg rwyf am ei dileu yn cynnwys y copi cynradd olaf o ddata clwstwr?
  A 11.7: Dylai'r data ar y ddisg fod â chopïau eraill yn y clwstwr er mwyn osgoi colli data. Fodd bynnag, os gofynnir am ddileu diogel ar ddisg sef y prif gopi olaf, yna caiff y weithred hon ei gwrthod nes bod o leiaf un copi arall ar gael. Dylai ail-gydbwyso fod yn gwneud y copi hwn yn y cefndir.
• C 11.8: Mae gwir angen i mi ddileu disg yn ddiogel, ond nid yw'r clwstwr yn iach. Sut alla i ei wneud?
  A 11.8: Bydd y llinell orchymyn (STCLI / HXCLI) yn caniatáu dileu diogel pan nad yw'r clwstwr yn iach ac nad yw'r ddisg yn cynnwys y copi cynradd olaf, fel arall mae'n cael ei wrthod.
• C 11.9: Sut alla i ddileu nod cyfan yn ddiogel?
  A 11.9: Mae hwn yn senario prin. Gwneir dileu diogel o'r holl ddisgiau mewn nod pan fydd rhywun eisiau tynnu'r nod allan o'r clwstwr. Y bwriad yw naill ai lleoli'r nod mewn clwstwr gwahanol neu ddatgomisiynu'r nod. Gallwn ddosbarthu tynnu nodau yn y senario hwn mewn dwy ffordd wahanol:
  1. Dilëwch yr holl ddisgiau yn ddiogel heb analluogi amgryptio
  2. Dileu'r holl ddisgiau'n ddiogel ac yna analluogi amgryptio ar gyfer y nod (a'r disgiau hynny). Cysylltwch â Cisco TAC am gymorth.

Ehangu Clwstwr yn Ddiogel

• C 12.1: Pa fath o nod y gallaf ehangu clwstwr wedi'i amgryptio ag ef?
  A 12.1: Dim ond nodau sy'n gallu SED y gellir eu hychwanegu at Glwstwr HX gyda SEDs.
• C 12.2: Sut yr ymdrinnir ag ehangu gyda rheolaeth allweddol leol?
  A 12.2: Mae ehangu allweddol lleol yn weithrediad di-dor heb unrhyw gyfluniad allanol.
• C 12.3: Sut mae ehangu gyda rheolaeth allweddol o bell yn cael ei drin?
  A 12.3: Mae ehangu allwedd o bell yn gofyn am lockstep gyda thystysgrifau / seilwaith rheoli allweddol:
  • Mae angen tystysgrifau i ychwanegu nod newydd yn ddiogel
  • Bydd y Defnydd yn dangos rhybudd gyda chamau i symud ymlaen gan gynnwys dolen ar gyfer lawrlwytho tystysgrif
  • Mae'r defnyddiwr yn dilyn camau i uwchlwytho tystysgrif(au) ac yna'n rhoi cynnig arall ar y defnydd

Dogfennau Ategol

Micron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Rhestr o algorithmau crypto a gymeradwywyd ar gyfer FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Prosiect: CSC.nuova Cynnyrch: ucs-blade-server Cydran: ucsm

Manyleb Swyddogaethol SED:

• EDCS: 1574090

Manyleb SED CIMC:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Rhestrau Postio:

• ucsm-dev@cisco.com
• gofyn-hci-tme@cisco.com
• gofyn-hci-pm@cisco.com

Dogfennau / Adnoddau

Llwyfan Data CISCO HyperFlex HX [pdfCyfarwyddiadau Llwyfan Data HyperFlex HX, HyperFlex, Llwyfan Data HX, Llwyfan Data, Llwyfan

Cyfeiriadau

• Llawlyfr Defnyddiwr