Πλατφόρμα δεδομένων CISCO HyperFlex HX

Πληροφορίες προϊόντος

• Όνομα προϊόντος: HX Security Encryption
• Εκδοχή: HXDP 5.01b
• Λύση κρυπτογράφησης: Λύση που βασίζεται σε λογισμικό χρησιμοποιώντας το Intersight Key Manager
• Τύπος κρυπτογράφησης: Αυτοκρυπτογραφούμενες μονάδες δίσκου (SED)
• Υποστηριζόμενοι τύποι μονάδας δίσκου: HDD και SSD SED από τη Micron
• Πρότυπα συμμόρφωσης: FIPS 140-2 επίπεδο 2 (κατασκευαστές μονάδων δίσκου) και FIPS 140-2 επίπεδο 1 (πλατφόρμα)
• Κρυπτογράφηση σε επίπεδο συμπλέγματος: Η κρυπτογράφηση στο HX εφαρμόζεται σε υλικό για δεδομένα σε κατάσταση ηρεμίας μόνο με χρήση SED
• Ατομική κρυπτογράφηση VM: Χειρίζεται από λογισμικό τρίτων, όπως η Hytrust ή ο διαφανής πελάτης της Vormetric
• VMware Native VM Encryption: Υποστηρίζεται από το HX για χρήση με κρυπτογράφηση SED
• Βασική διαχείριση: Το κλειδί κρυπτογράφησης μέσων (MEK) και το κλειδί κρυπτογράφησης κλειδιού (KEK) χρησιμοποιούνται για κάθε SED
• Χρήση μνήμης: Τα κλειδιά κρυπτογράφησης δεν υπάρχουν ποτέ στη μνήμη κόμβων
• Αντίκτυπος στην απόδοση: Η κρυπτογράφηση/αποκρυπτογράφηση δίσκου γίνεται στο υλικό της μονάδας δίσκου, η συνολική απόδοση του συστήματος δεν επηρεάζεται
• Πρόσθετα πλεονεκτήματα των SED:
  • Στιγμιαία διαγραφή κρυπτογράφησης για μειωμένο κόστος απόσυρσης και αναδιάταξης μονάδας δίσκου
  • Συμμόρφωση με κυβερνητικούς ή βιομηχανικούς κανονισμούς για το απόρρητο των δεδομένων
  • Μειωμένος κίνδυνος κλοπής δίσκου και κλοπής κόμβου καθώς τα δεδομένα γίνονται δυσανάγνωστα μόλις αφαιρεθεί το υλικό

Οδηγίες χρήσης προϊόντος

Για να χρησιμοποιήσετε το HX Security Encryption, ακολουθήστε αυτές τις οδηγίες:

1. Βεβαιωθείτε ότι το σύστημά σας υποστηρίζει κρυπτογράφηση βάσει υλικού ή ότι προτιμάτε τη λύση που βασίζεται σε λογισμικό χρησιμοποιώντας το Intersight Key Manager.
2. Ανατρέξτε στα έγγραφα διαχείρισης ή στη λευκή βίβλο για πληροφορίες σχετικά με την κρυπτογράφηση που βασίζεται σε λογισμικό.
3. Εάν επιλέξετε να χρησιμοποιήσετε κρυπτογράφηση βάσει υλικού με SED, βεβαιωθείτε ότι το σύμπλεγμα HX αποτελείται από ομοιόμορφους κόμβους (SED ή μη SED).
4. Για τα SED, κατανοήστε ότι υπάρχουν δύο κλειδιά σε χρήση: το κλειδί κρυπτογράφησης μέσων (MEK) και το κλειδί κρυπτογράφησης κλειδιού (KEK).
5. Το MEK ελέγχει την κρυπτογράφηση και την αποκρυπτογράφηση των δεδομένων στο δίσκο και είναι ασφαλής και διαχειρίζεται σε υλικό.
6. Το ΚΕΚ ασφαλίζει το ΜΕΚ/ΔΕΚ και διατηρείται είτε σε τοπικό είτε σε απομακρυσμένο χώρο αποθήκευσης κλειδιών.
7. Μην ανησυχείτε για τα κλειδιά που υπάρχουν στη μνήμη του κόμβου, καθώς τα κλειδιά κρυπτογράφησης δεν αποθηκεύονται ποτέ εκεί.
8. Λάβετε υπόψη ότι η κρυπτογράφηση/αποκρυπτογράφηση δίσκου γίνεται στο υλικό της μονάδας, διασφαλίζοντας ότι δεν επηρεάζεται η συνολική απόδοση του συστήματος.
9. Εάν έχετε συγκεκριμένες απαιτήσεις για πρότυπα συμμόρφωσης, να γνωρίζετε ότι οι κρυπτογραφημένες μονάδες δίσκου HX SED πληρούν τα πρότυπα FIPS 140-2 επιπέδου 2 από τους κατασκευαστές μονάδων δίσκου, ενώ η κρυπτογράφηση HX στην πλατφόρμα πληροί τα πρότυπα FIPS 140-2 επιπέδου 1.
10. Εάν χρειάζεται να κρυπτογραφήσετε μεμονωμένα VM, εξετάστε το ενδεχόμενο να χρησιμοποιήσετε λογισμικό τρίτων, όπως το Hytrust ή το διαφανές πρόγραμμα-πελάτη της Vormetric. Εναλλακτικά, μπορείτε να χρησιμοποιήσετε την εγγενή κρυπτογράφηση VM του VMware που εισήχθη στο vSphere 3.
11. Λάβετε υπόψη ότι η χρήση ενός προγράμματος-πελάτη κρυπτογράφησης VM πάνω από την κρυπτογράφηση που βασίζεται σε HX SED θα έχει ως αποτέλεσμα διπλή κρυπτογράφηση των δεδομένων.
12. Βεβαιωθείτε ότι το σύμπλεγμα HX είναι συνδεδεμένο μέσω αξιόπιστων δικτύων ή κρυπτογραφημένων σηράγγων για ασφαλή αναπαραγωγή, καθώς η αναπαραγωγή HX δεν είναι κρυπτογραφημένη.

Συχνές ερωτήσεις κρυπτογράφησης HX Security

Από το HXDP 5.01b, το HyperFlex προσφέρει μια λύση που βασίζεται σε λογισμικό χρησιμοποιώντας το Intersight Key Manager για συστήματα που είτε δεν υποστηρίζουν κρυπτογράφηση βασισμένη σε υλικό είτε για χρήστες που επιθυμούν αυτή τη λειτουργία έναντι λύσεων υλικού. Αυτό το FAQ εστιάζει μόνο σε λύσεις υλικού που βασίζονται σε SED για κρυπτογράφηση HX. Ανατρέξτε στα έγγραφα διαχείρισης ή στη λευκή βίβλο για πληροφορίες σχετικά με την κρυπτογράφηση που βασίζεται σε λογισμικό.

Δήλωση μεροληψίας
Το σύνολο τεκμηρίωσης για αυτό το προϊόν προσπαθεί να χρησιμοποιεί γλώσσα χωρίς προκατάληψη. Για τους σκοπούς αυτού του συνόλου τεκμηρίωσης, η απαλλαγμένη από μεροληψία ορίζεται ως η γλώσσα που δεν συνεπάγεται διακρίσεις λόγω ηλικίας, αναπηρίας, φύλου, φυλετικής ταυτότητας, εθνοτικής ταυτότητας, σεξουαλικού προσανατολισμού, κοινωνικοοικονομικής κατάστασης και διακλαδικότητας. Ενδέχεται να υπάρχουν εξαιρέσεις στην τεκμηρίωση λόγω γλώσσας που είναι κωδικοποιημένη στις διεπαφές χρήστη του λογισμικού του προϊόντος, γλώσσας που χρησιμοποιείται με βάση την τεκμηρίωση προτύπων ή γλώσσας που χρησιμοποιείται από ένα αναφερόμενο προϊόν τρίτου κατασκευαστή.

Γιατί Cisco for Security και HX Encryption 

• Ε 1.1: Ποιες διαδικασίες υπάρχουν για ασφαλή ανάπτυξη;
  Α 1.1: Οι διακομιστές Cisco συμμορφώνονται με τον κύκλο ζωής ασφαλούς ανάπτυξης της Cisco (CSDL):
  • Η Cisco παρέχει διαδικασίες, μεθοδολογίες, πλαίσια για την ανάπτυξη ενσωματωμένης ασφάλειας σε διακομιστές Cisco, όχι απλώς μια επικάλυψη
  • Ειδική ομάδα Cisco για μοντελοποίηση απειλών/στατική ανάλυση στο χαρτοφυλάκιο προϊόντων UCS
  • Η Cisco Advanced Security Initiative Group (ASIG) εκτελεί προληπτικές δοκιμές διείσδυσης για να κατανοήσει πώς εισέρχονται οι απειλές και να διορθώσει προβλήματα βελτιώνοντας το HW & SW μέσω CDETS και μηχανικής
  • Αφιερωμένη ομάδα της Cisco για τη δοκιμή και τη διαχείριση εξερχόμενων ευπάθειας και την επικοινωνία ως σύμβουλοι ασφαλείας με τους πελάτες
  • Όλα τα υποκείμενα προϊόντα πληρούν τις βασικές απαιτήσεις ασφάλειας προϊόντων (PSB) που διέπουν τα πρότυπα ασφαλείας για τα προϊόντα Cisco
  • Η Cisco εκτελεί δοκιμές ευπάθειας/ευρωστίας πρωτοκόλλου σε όλες τις εκδόσεις UCS
• Ε 1.2: Γιατί είναι σημαντικά τα SED;
  Α 1.2: Τα SED χρησιμοποιούνται για κρυπτογράφηση δεδομένων σε κατάσταση ηρεμίας και αποτελούν απαίτηση για πολλά, αν όχι όλα, ομοσπονδιακά, ιατρικά και χρηματοπιστωτικά ιδρύματα.

Γενικές Πληροφορίες Πάνωview

• Ε 2.1: Τι είναι τα SED;
  Α 2.1: Το SED (Self-Encrypting Drives) διαθέτει ειδικό υλικό που κρυπτογραφεί τα εισερχόμενα δεδομένα και αποκρυπτογραφεί τα εξερχόμενα δεδομένα σε πραγματικό χρόνο.
• Ε 2.2: Ποιο είναι το εύρος της κρυπτογράφησης στο HX;
  Α 2.2: Η κρυπτογράφηση στο HX εφαρμόζεται επί του παρόντος σε υλικό για δεδομένα σε κατάσταση ηρεμίας μόνο χρησιμοποιώντας κρυπτογραφημένες μονάδες δίσκου (SED). Η κρυπτογράφηση HX είναι σε επίπεδο συμπλέγματος. Η κρυπτογράφηση μεμονωμένων VM γίνεται από λογισμικό τρίτων, όπως το Hytrust ή το διαφανές πρόγραμμα-πελάτη της Vormetric και είναι εκτός του πεδίου των αρμοδιοτήτων του HX. Το HX υποστηρίζει επίσης τη χρήση της εγγενούς κρυπτογράφησης VM του VMware που εισήχθη στο vSphere 3. Η χρήση ενός προγράμματος-πελάτη κρυπτογράφησης VM πάνω από την κρυπτογράφηση που βασίζεται σε HX SED θα έχει ως αποτέλεσμα διπλή κρυπτογράφηση των δεδομένων. Η αναπαραγωγή HX δεν είναι κρυπτογραφημένη και βασίζεται σε αξιόπιστα δίκτυα ή κρυπτογραφημένες σήραγγες που αναπτύσσονται από τον τελικό χρήστη.
• Ε 2.3: Ποια πρότυπα συμμόρφωσης πληρούνται με την κρυπτογράφηση HX;
  Α 2.3: Οι κρυπτογραφημένες μονάδες δίσκου HX SED πληρούν τα πρότυπα FIPS 140-2 επιπέδου 2 από τους κατασκευαστές μονάδων δίσκου. Η κρυπτογράφηση HX στην πλατφόρμα πληροί τα πρότυπα FIPS 140-2 επιπέδου 1.
• Ε 2.4: Υποστηρίζουμε τόσο HDD όσο και SSD για κρυπτογράφηση;
  Α 2.4: Ναι, υποστηρίζουμε και HDD και SSD SED από τη Micron.
• Ε 2.5: Μπορεί ένα σύμπλεγμα HX να έχει κρυπτογραφημένες και μη κρυπτογραφημένες μονάδες δίσκου ταυτόχρονα;
  Α 2.5: Όλοι οι κόμβοι στο σύμπλεγμα πρέπει να είναι ομοιόμορφοι (SED ή μη SED)
• Ε 2.6: Ποια κλειδιά χρησιμοποιούνται για ένα SED και πώς χρησιμοποιούνται;
  Α 2.6: Υπάρχουν δύο κλειδιά σε χρήση για κάθε SED. Το κλειδί κρυπτογράφησης πολυμέσων (MEK) που ονομάζεται επίσης Κλειδί κρυπτογράφησης δίσκου (DEK), ελέγχει την κρυπτογράφηση και την αποκρυπτογράφηση των δεδομένων στο δίσκο και είναι ασφαλές και διαχειρίζεται σε υλικό. Το κλειδί κρυπτογράφησης κλειδιού (KEK) ασφαλίζει το DEK/MEK και διατηρείται είτε σε τοπικό είτε σε απομακρυσμένο χώρο αποθήκευσης κλειδιών.
• Ε 2.7: Υπάρχουν ποτέ τα κλειδιά στη μνήμη;
  Α 2.7: Τα κλειδιά κρυπτογράφησης δεν υπάρχουν ποτέ στη μνήμη κόμβων
• Ε 2.8: Πώς επηρεάζεται η απόδοση από τη διαδικασία κρυπτογράφησης/αποκρυπτογράφησης;
  Α 2.8: Η κρυπτογράφηση/αποκρυπτογράφηση δίσκου γίνεται στο υλικό της μονάδας. Η συνολική απόδοση του συστήματος δεν επηρεάζεται και δεν υπόκειται σε επιθέσεις που στοχεύουν άλλα στοιχεία του συστήματος
• Ε 2.9: Εκτός από την κρυπτογράφηση σε κατάσταση ηρεμίας, ποιοι είναι άλλοι λόγοι για τη χρήση των SED;
  Α 2.9: Τα SED μπορούν να μειώσουν το κόστος συνταξιοδότησης και αναδιάταξης της μονάδας μέσω της στιγμιαίας διαγραφής κρυπτογράφησης. Χρησιμεύουν επίσης για τη συμμόρφωση με κυβερνητικούς ή βιομηχανικούς κανονισμούς για το απόρρητο των δεδομένων. Άλλο ένα πλεονέκτημαtagΤο e είναι ο μειωμένος κίνδυνος κλοπής δίσκου και κλοπής κόμβου, καθώς τα δεδομένα, μόλις αφαιρεθεί το υλικό από το οικοσύστημα, δεν είναι αναγνώσιμα.
• Ε2.10: Τι συμβαίνει με την αποδιπλασιασμό και τη συμπίεση με τα SED; Τι συμβαίνει με την κρυπτογράφηση που βασίζεται σε λογισμικό τρίτων;
  A2.10: Η αντιγραφή και η συμπίεση με SED στο HX διατηρείται καθώς η κρυπτογράφηση δεδομένων σε κατάσταση ηρεμίας λαμβάνει χώρα ως το τελευταίο βήμα στη διαδικασία εγγραφής. Η αποδιπλασιασμός και η συμπίεση έχουν ήδη πραγματοποιηθεί. Με προϊόντα κρυπτογράφησης που βασίζονται σε λογισμικό τρίτου κατασκευαστή, τα VM διαχειρίζονται την κρυπτογράφηση τους και περνούν κρυπτογραφημένες εγγραφές στον hypervisor και στη συνέχεια στο HX. Δεδομένου ότι αυτές οι εγγραφές είναι ήδη κρυπτογραφημένες, δεν αφαιρούνται ή συμπιέζονται. Η κρυπτογράφηση βάσει λογισμικού HX (στη γραμμή κώδικα 3.x) θα είναι μια λύση κρυπτογράφησης λογισμικού που υλοποιείται στη στοίβα μετά την πραγματοποίηση βελτιστοποιήσεων εγγραφής (αποδιπλασιασμός και συμπίεση), οπότε το όφελος θα διατηρηθεί σε αυτήν την περίπτωση.

Το παρακάτω σχήμα είναι ένα τέλοςview της εφαρμογής ΣΕΔ με ΥΧ.

Λεπτομέρειες οδήγησης 

• Ε 3.1: Ποιος κατασκευάζει τις κρυπτογραφημένες μονάδες δίσκου που χρησιμοποιούνται στο HX;
  Α 3.1: Το HX χρησιμοποιεί μονάδες δίσκου που κατασκευάζονται από τη Micron: Τα έγγραφα που αφορούν ειδικά τη Micron είναι συνδεδεμένα στην ενότητα υποστηρικτικών εγγράφων σε αυτές τις Συνήθεις Ερωτήσεις.
• Ε 3.2: Υποστηρίζουμε SED που δεν είναι συμβατοί με FIPS;
  Α 3.2: Υποστηρίζουμε επίσης ορισμένες μονάδες που δεν είναι FIPS, αλλά υποστηρίζουν SED (TCGE).
• Ε 3.3: Τι είναι το TCG;
  Α 3.3: Η TCG είναι η Trusted Computing Group, η οποία δημιουργεί και διαχειρίζεται το πρότυπο προδιαγραφών για κρυπτογραφημένη αποθήκευση δεδομένων
• Ε 3.4: Τι θεωρείται ασφάλεια εταιρικής κλάσης όταν πρόκειται για SAS SSD για το κέντρο δεδομένων; Ποια συγκεκριμένα χαρακτηριστικά διαθέτουν αυτές οι μονάδες δίσκου που εξασφαλίζουν ασφάλεια και προστατεύουν από επίθεση;
  Α 3.4: Αυτή η λίστα συνοψίζει τα χαρακτηριστικά εταιρικής κλάσης των SED που χρησιμοποιούνται στο HX και πώς σχετίζονται με το πρότυπο TCG.
  1. Οι μονάδες αυτοκρυπτογράφησης (SED) παρέχουν ισχυρή ασφάλεια για τα δεδομένα σε κατάσταση ηρεμίας στο SED σας, αποτρέποντας τη μη εξουσιοδοτημένη πρόσβαση στα δεδομένα. Η Trusted Computing Group (TCG) έχει αναπτύξει μια λίστα με τα χαρακτηριστικά και τα πλεονεκτήματα των μονάδων αυτοκρυπτογράφησης τόσο για HDD όσο και για SSD. Το TCG παρέχει ένα πρότυπο που ονομάζεται TCG Enterprise SSC (Security Subsystem Class) και εστιάζει σε δεδομένα σε κατάσταση ηρεμίας. Αυτή είναι μια απαίτηση για όλα τα SED. Η προδιαγραφή ισχύει για συσκευές αποθήκευσης δεδομένων και ελεγκτές που λειτουργούν σε εταιρική αποθήκευση. Η λίστα περιλαμβάνει:
     • Διαφάνεια: Δεν απαιτούνται τροποποιήσεις συστήματος ή εφαρμογής. κλειδί κρυπτογράφησης που δημιουργείται από την ίδια τη μονάδα δίσκου, χρησιμοποιώντας μια ενσωματωμένη γεννήτρια πραγματικών τυχαίων αριθμών. Η μονάδα δίσκου κρυπτογραφεί πάντα.
     • Ευκολία διαχείρισης: Δεν υπάρχει κλειδί κρυπτογράφησης για διαχείριση. Οι προμηθευτές λογισμικού εκμεταλλεύονται την τυποποιημένη διεπαφή για τη διαχείριση των SED, συμπεριλαμβανομένης της απομακρυσμένης διαχείρισης, του ελέγχου ταυτότητας πριν από την εκκίνηση και της ανάκτησης κωδικού πρόσβασης
     • Κόστος διάθεσης ή επαναχρησιμοποίησης: Με ένα SED, διαγράψτε το ενσωματωμένο κλειδί κρυπτογράφησης
     • Εκ νέου κρυπτογράφηση: Με το SED, δεν χρειάζεται ποτέ να κρυπτογραφήσετε ξανά τα δεδομένα
     • Εκτέλεση: Καμία υποβάθμιση στην απόδοση του SED. βασισμένο σε υλικό
     • Τυποποίηση: Ολόκληρη η βιομηχανία κίνησης βασίζεται στις Προδιαγραφές TCG/SED
     • Απλοποιημένο: Καμία παρέμβαση σε διαδικασίες ανάντη
  2. Οι SSD SED παρέχουν τη δυνατότητα κρυπτογραφικής διαγραφής της μονάδας. Αυτό σημαίνει ότι μια απλή επαληθευμένη εντολή μπορεί να σταλεί στη μονάδα δίσκου για την αλλαγή του κλειδιού κρυπτογράφησης 256-bit που είναι αποθηκευμένο στη μονάδα δίσκου. Αυτό διασφαλίζει ότι η μονάδα δίσκου καθαρίζεται και δεν υπάρχουν δεδομένα. Ακόμη και το αρχικό σύστημα κεντρικού υπολογιστή δεν μπορεί να διαβάσει τα δεδομένα, επομένως δεν θα είναι απολύτως αναγνώσιμο από οποιοδήποτε άλλο σύστημα. Η λειτουργία διαρκεί μόνο μερικά δευτερόλεπτα, σε αντίθεση με τα πολλά λεπτά ή ακόμα και ώρες που απαιτούνται για την εκτέλεση μιας ανάλογης λειτουργίας σε έναν μη κρυπτογραφημένο σκληρό δίσκο και αποφεύγεται το κόστος του ακριβού εξοπλισμού ή υπηρεσιών απομάκρυνσης του σκληρού δίσκου.
  3. Το FIPS (Ομοσπονδιακό Πρότυπο Επεξεργασίας Πληροφοριών) 140-2 είναι ένα κυβερνητικό πρότυπο των ΗΠΑ που περιγράφει την κρυπτογράφηση και τις σχετικές απαιτήσεις ασφαλείας που πρέπει να πληρούν τα προϊόντα πληροφορικής για ευαίσθητη, αλλά μη ταξινομημένη χρήση. Αυτό είναι συχνά μια απαίτηση για κρατικούς φορείς και εταιρείες στους κλάδους χρηματοοικονομικών υπηρεσιών και υγειονομικής περίθαλψης επίσης. Ένας SSD που είναι επικυρωμένος FIPS-140-2 χρησιμοποιεί ισχυρές πρακτικές ασφαλείας, συμπεριλαμβανομένων εγκεκριμένων αλγορίθμων κρυπτογράφησης. Καθορίζει επίσης τον τρόπο με τον οποίο πρέπει να εξουσιοδοτούνται μεμονωμένα άτομα ή άλλες διεργασίες προκειμένου να χρησιμοποιούν το προϊόν και πώς οι μονάδες ή τα στοιχεία πρέπει να σχεδιάζονται ώστε να αλληλεπιδρούν με ασφάλεια με άλλα συστήματα. Στην πραγματικότητα, μία από τις απαιτήσεις μιας επικυρωμένης μονάδας SSD με FIPS-140-2 είναι να είναι SED. Λάβετε υπόψη ότι παρόλο που το TCG δεν είναι ο μόνος τρόπος για να αποκτήσετε μια πιστοποιημένη κρυπτογραφημένη μονάδα δίσκου, οι προδιαγραφές TCG Opal και Enterprise SSC μας παρέχουν ένα σκαλοπάτι για την επικύρωση FIPS. 4. Ένα άλλο βασικό χαρακτηριστικό είναι οι Ασφαλείς λήψεις και διαγνωστικά. Αυτή η δυνατότητα υλικολογισμικού προστατεύει τη μονάδα δίσκου από επιθέσεις λογισμικού μέσω μιας ψηφιακής υπογραφής που είναι ενσωματωμένη στο υλικολογισμικό. Όταν απαιτούνται λήψεις, η ψηφιακή υπογραφή αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση στη μονάδα δίσκου, αποτρέποντας τη φόρτωση πλαστού υλικολογισμικού στη μονάδα.

Εγκατάσταση Hyperflex με SED

• Ε 4.1: Πώς χειρίζεται το πρόγραμμα εγκατάστασης μια ανάπτυξη SED; Υπάρχουν ειδικοί έλεγχοι;
  Α 4.1: Το πρόγραμμα εγκατάστασης επικοινωνεί με το UCSM και διασφαλίζει ότι το υλικολογισμικό του συστήματος είναι σωστό και υποστηρίζεται για το υλικό που εντοπίστηκε. Η συμβατότητα κρυπτογράφησης ελέγχεται και επιβάλλεται (π.χ. δεν υπάρχει ανάμειξη SED και μη SED).
• Ε 4.2: Διαφέρει διαφορετικά η ανάπτυξη;
  Α 4.2: Η εγκατάσταση είναι παρόμοια με μια κανονική εγκατάσταση HX, ωστόσο, η προσαρμοσμένη ροή εργασίας δεν υποστηρίζεται για SED. Αυτή η λειτουργία απαιτεί επίσης διαπιστευτήρια UCSM για τα SED.
• Ε 4.3: Πώς λειτουργεί η αδειοδότηση με την κρυπτογράφηση; Υπάρχει κάτι επιπλέον που πρέπει να τοποθετηθεί;
  Α 4.3: Το υλικό SED (παραγγελία από το εργοστάσιο, όχι εκ των υστέρων) + HXDP 2.5 + UCSM (3.1(3x)) είναι τα μόνα πράγματα που χρειάζονται για να ενεργοποιηθεί η κρυπτογράφηση με τη διαχείριση κλειδιών. Δεν απαιτείται πρόσθετη άδεια χρήσης εκτός της βασικής συνδρομής HXDP που απαιτείται στην έκδοση 2.5.
• Ε 4.4: Τι συμβαίνει όταν έχω ένα σύστημα SED που έχει μονάδες που δεν είναι πλέον διαθέσιμες; Πώς μπορώ να επεκτείνω αυτό το σύμπλεγμα;
  Α 4.4: Κάθε φορά που διαθέτουμε οποιοδήποτε PID που είναι στο τέλος του κύκλου ζωής του από τους προμηθευτές μας, έχουμε ένα PID αντικατάστασης που είναι συμβατό με το παλιό PID. Αυτό το PID αντικατάστασης μπορεί να χρησιμοποιηθεί για RMA, επέκταση εντός κόμβου και επέκταση συμπλέγματος (με νέους κόμβους). Όλες οι μέθοδοι υποστηρίζονται όλες, ωστόσο, ενδέχεται να απαιτούν αναβάθμιση σε μια συγκεκριμένη έκδοση που προσδιορίζεται επίσης στις σημειώσεις έκδοσης μετάβασης.

Διαχείριση κλειδιών

• Ε 5.1: Τι είναι η Διαχείριση Κλειδιών;
  Α 5.1: Η διαχείριση κλειδιών είναι οι εργασίες που σχετίζονται με την προστασία, την αποθήκευση, τη δημιουργία αντιγράφων ασφαλείας και την οργάνωση κλειδιών κρυπτογράφησης. Το HX το εφαρμόζει σε μια πολιτική που επικεντρώνεται στο UCSM.
• Ε 5.2: Ποιος μηχανισμός παρέχει υποστήριξη για τη διαμόρφωση κλειδιού;
  Α 5.2: Το UCSM παρέχει υποστήριξη για τη διαμόρφωση κλειδιών ασφαλείας.
• Ε 5.3: Τι τύπος διαχείρισης κλειδιών είναι διαθέσιμος;
  Α 5.3: Υποστηρίζεται η τοπική διαχείριση κλειδιών, μαζί με την απομακρυσμένη διαχείριση κλειδιών εταιρικής κλάσης με διακομιστές διαχείρισης κλειδιών τρίτου κατασκευαστή.
• Ε 5.4: Ποιοι είναι οι συνεργάτες απομακρυσμένης διαχείρισης κλειδιών;
  Α 5.4: Αυτήν τη στιγμή υποστηρίζουμε Vormetric και Gemalto (Safenet) και περιλαμβάνει υψηλή διαθεσιμότητα (HA). Η HyTrust βρίσκεται σε δοκιμή.
• Ε 5.5: Πώς εφαρμόζεται η απομακρυσμένη διαχείριση κλειδιών;
  Α 5.5: Ο χειρισμός της απομακρυσμένης διαχείρισης κλειδιών γίνεται μέσω του KMIP 1.1.
• Ε 5.6: Πώς διαμορφώνεται η τοπική διαχείριση;
  Α 5.6: Το κλειδί ασφαλείας (KEK) διαμορφώνεται στο HX Connect, απευθείας από τον χρήστη.
• Ε 5.7: Πώς ρυθμίζεται η απομακρυσμένη διαχείριση;
  Α 5.7: Οι πληροφορίες διεύθυνσης διακομιστή απομακρυσμένης διαχείρισης κλειδιών (KMIP) μαζί με τα διαπιστευτήρια σύνδεσης διαμορφώνονται στο HX Connect από τον χρήστη.
• Ε 5.8: Ποιο τμήμα του HX επικοινωνεί με τον διακομιστή KMIP για διαμόρφωση;
  Α 5.8: Το CIMC σε κάθε κόμβο χρησιμοποιεί αυτές τις πληροφορίες για να συνδεθεί με τον διακομιστή KMIP και να ανακτήσει το κλειδί ασφαλείας (KEK) από αυτόν.
  
• Ε 5.9: Ποιοι τύποι Πιστοποιητικών υποστηρίζονται στη διαδικασία δημιουργίας/ανάκτησης/ενημέρωσης κλειδιών;
  Α 5.9: Υποστηρίζονται και τα δύο πιστοποιητικά με υπογραφή CA και αυτουπογεγραμμένα.
  
• Ε 5.10: Ποιες ροές εργασίας υποστηρίζονται με τη διαδικασία κρυπτογράφησης;
  Α 5.10: Η προστασία/κατάργηση προστασίας με χρήση προσαρμοσμένου κωδικού πρόσβασης υποστηρίζεται μαζί με τη μετατροπή τοπικής σε απομακρυσμένη διαχείριση κλειδιών. Υποστηρίζονται οι λειτουργίες επαναφοράς κλειδιών. Υποστηρίζεται επίσης η ασφαλής λειτουργία διαγραφής δίσκου.
  

Ροή εργασίας χρήστη: Τοπική

• Ε 6.1: Στο HX Connect, πού μπορώ να ρυθμίσω τη διαχείριση τοπικών κλειδιών;
  Α 6.1: Στον πίνακα εργαλείων κρυπτογράφησης επιλέξτε το κουμπί διαμόρφωσης και ακολουθήστε τον οδηγό.
• Ε 6.2: Τι πρέπει να έχω έτοιμο για να ξεκινήσω;
  Α 6.2: Θα χρειαστεί να δώσετε μια φράση πρόσβασης ασφαλείας 32 χαρακτήρων.
• Ε 6.3: Τι συμβαίνει εάν χρειαστεί να εισαγάγω ένα νέο SED;
  Το 6.3: Στο UCSM θα χρειαστεί να επεξεργαστείτε την τοπική πολιτική ασφαλείας και να ορίσετε το αναπτυγμένο κλειδί στο υπάρχον κλειδί κόμβου.
• Ε 6.4: Τι συμβαίνει όταν εισάγω το νέο δίσκο;
  Α 6.4: Εάν το κλειδί ασφαλείας στο δίσκο ταιριάζει με αυτό του διακομιστή (κόμβος), ξεκλειδώνεται αυτόματα. Εάν τα κλειδιά ασφαλείας είναι διαφορετικά, ο δίσκος θα εμφανίζεται ως "Κλειδωμένος". Μπορείτε είτε να διαγράψετε το δίσκο για να διαγράψετε όλα τα δεδομένα είτε να τον ξεκλειδώσετε παρέχοντας το σωστό κλειδί. Αυτή είναι μια καλή στιγμή για να δεσμεύσετε το TAC.

Ροή εργασίας χρήστη: Απομακρυσμένη

• Ε 7.1: Ποια είναι μερικά πράγματα που πρέπει να προσέξω με τη διαμόρφωση απομακρυσμένης διαχείρισης κλειδιών;
  Α 7.1: Η επικοινωνία μεταξύ του συμπλέγματος και του διακομιστή(ων) KMIP πραγματοποιείται μέσω του CIMC σε κάθε κόμβο. Αυτό σημαίνει ότι το όνομα κεντρικού υπολογιστή μπορεί να χρησιμοποιηθεί για διακομιστή KMIP μόνο εάν η διεύθυνση IP και το DNS Inband έχουν ρυθμιστεί στη διαχείριση CIMC
• Ε 7.2: Τι συμβαίνει εάν χρειαστεί να αντικαταστήσω ή να τοποθετήσω ένα νέο SED;
  Α 7.2: Το σύμπλεγμα θα διαβάσει το αναγνωριστικό από το δίσκο και θα προσπαθήσει να το ξεκλειδώσει αυτόματα. Εάν το αυτόματο ξεκλείδωμα αποτύχει, ο δίσκος εμφανίζεται ως "κλειδωμένος" και ο χρήστης πρέπει να ξεκλειδώσει τον δίσκο χειροκίνητα. Θα πρέπει να αντιγράψετε τα πιστοποιητικά σε διακομιστές KMIP για ανταλλαγή διαπιστευτηρίων.
• Ε 7.3: Πώς μπορώ να αντιγράψω πιστοποιητικά από το σύμπλεγμα στους διακομιστές KMIP;
  Α 7.3: Υπάρχουν δύο τρόποι για να γίνει αυτό. Μπορείτε να αντιγράψετε το πιστοποιητικό από το BMC στον διακομιστή KMIP απευθείας ή μπορείτε να χρησιμοποιήσετε το CSR για να λάβετε ένα πιστοποιητικό με υπογραφή CA και να αντιγράψετε το πιστοποιητικό με την υπογραφή CA στο BMC χρησιμοποιώντας εντολές UCSM.
• Ε 7.4: Ποιες είναι οι σκέψεις που υπάρχουν για την προσθήκη κρυπτογραφημένων κόμβων σε ένα σύμπλεγμα που χρησιμοποιεί απομακρυσμένη διαχείριση κλειδιών;
  Α 7.4: Κατά την προσθήκη νέων κεντρικών υπολογιστών στους διακομιστές KMIP, το όνομα κεντρικού υπολογιστή που χρησιμοποιείται πρέπει να είναι ο σειριακός αριθμός του διακομιστή. Για να λάβετε το πιστοποιητικό του διακομιστή KMIP, μπορείτε να χρησιμοποιήσετε ένα πρόγραμμα περιήγησης για να λάβετε το ριζικό πιστοποιητικό των διακομιστών KMIP.

Ροή εργασίας χρήστη: Γενικά

• Ε 8.1: Πώς μπορώ να σβήσω έναν δίσκο;
  Α 8.1: Στον πίνακα εργαλείων HX Connect, επιλέξτε τις πληροφορίες συστήματος view. Από εκεί μπορείτε να επιλέξετε μεμονωμένους δίσκους για ασφαλή διαγραφή.
• Ε 8.2: Τι γίνεται αν έσβησα έναν δίσκο κατά λάθος;
  Α 8.2: Όταν χρησιμοποιείται ασφαλής διαγραφή, τα δεδομένα καταστρέφονται οριστικά
• Ε 8.3: Τι συμβαίνει όταν θέλω να παροπλίσω έναν κόμβο ή να αποσυνδέσω έναν επαγγελματία υπηρεσίαςfile?
  Α 8.3: Καμία από αυτές τις ενέργειες δεν θα καταργήσει την κρυπτογράφηση στο δίσκο/τον ελεγκτή.
• Ε 8.4: Πώς απενεργοποιείται η κρυπτογράφηση;
  Α 8.4: Ο χρήστης πρέπει να απενεργοποιήσει ρητά την κρυπτογράφηση στο HX Connect. Εάν ο χρήστης προσπαθήσει να διαγράψει μια πολιτική ασφαλείας στο UCSM όταν ο συσχετισμένος διακομιστής έχει ασφαλιστεί, το UCSM θα εμφανίσει μια αποτυχία διαμόρφωσης και θα απαγορεύσει την ενέργεια. Η πολιτική ασφαλείας πρέπει πρώτα να απενεργοποιηθεί.

Ροή εργασίας χρήστη: Διαχείριση πιστοποιητικών

• Ε 9.1: Πώς γίνεται ο χειρισμός των πιστοποιητικών κατά τη ρύθμιση της απομακρυσμένης διαχείρισης;
  Α 9.1: Τα πιστοποιητικά δημιουργούνται χρησιμοποιώντας το HX Connect και τους απομακρυσμένους διακομιστές KMIP. Τα πιστοποιητικά μόλις δημιουργηθούν δεν θα διαγραφούν σχεδόν ποτέ.
• Ε 9.2: Τι είδους πιστοποιητικά μπορώ να χρησιμοποιήσω;
  Α 9.2: Μπορείτε να χρησιμοποιήσετε είτε αυτο-υπογεγραμμένα πιστοποιητικά είτε πιστοποιητικά ΑΠ. Πρέπει να επιλέξετε κατά την εγκατάσταση. Για πιστοποιητικά υπογεγραμμένα CA, θα δημιουργήσετε ένα σύνολο Αιτημάτων Υπογραφής Πιστοποιητικού (CSR). Τα υπογεγραμμένα πιστοποιητικά μεταφορτώνονται στους διακομιστές KMIP.
• Ε 9.3: Ποιο όνομα κεντρικού υπολογιστή πρέπει να χρησιμοποιήσω κατά τη δημιουργία των πιστοποιητικών;
  Α 9.3: Το όνομα κεντρικού υπολογιστή που χρησιμοποιείται για τη δημιουργία του πιστοποιητικού πρέπει να είναι ο σειριακός αριθμός του διακομιστή.

Ενημερώσεις υλικολογισμικού

• Ε 10.1: Υπάρχουν περιορισμοί στην αναβάθμιση του υλικολογισμικού του δίσκου;
  Α 10.1: Εάν εντοπιστεί μονάδα δίσκου με δυνατότητα κρυπτογράφησης, δεν θα επιτρέπονται αλλαγές υλικολογισμικού δίσκου για αυτόν τον δίσκο.
• Ε 10.2: Υπάρχουν περιορισμοί στην αναβάθμιση του υλικολογισμικού UCSM;
  Α 10.2: Η υποβάθμιση του UCSM/CIMC σε προ-UCSM 3.1(3x) περιορίζεται εάν υπάρχει ελεγκτής που βρίσκεται σε ασφαλή κατάσταση.

Ασφαλής διαγραφή λεπτομερειών

• Ε 11.1: Τι είναι η Ασφαλής Διαγραφή;
  Α 11.1: Η ασφαλής διαγραφή είναι η άμεση διαγραφή δεδομένων στη μονάδα δίσκου (διαγραφή του κλειδιού κρυπτογράφησης του δίσκου). Αυτό σημαίνει ότι μια απλή επαληθευμένη εντολή μπορεί να σταλεί στη μονάδα δίσκου για την αλλαγή του κλειδιού κρυπτογράφησης 256-bit που είναι αποθηκευμένο στη μονάδα δίσκου. Αυτό διασφαλίζει ότι η μονάδα δίσκου καθαρίζεται και δεν υπάρχουν δεδομένα. Ακόμη και το αρχικό σύστημα κεντρικού υπολογιστή δεν μπορεί να διαβάσει τα δεδομένα, επομένως δεν θα είναι αναγνώσιμα από οποιοδήποτε άλλο σύστημα. Η λειτουργία διαρκεί μόνο μερικά δευτερόλεπτα, σε αντίθεση με τα πολλά λεπτά ή ακόμα και ώρες που απαιτούνται για την εκτέλεση μιας ανάλογης λειτουργίας σε έναν μη κρυπτογραφημένο δίσκο και αποφεύγεται το κόστος του ακριβού εξοπλισμού ή υπηρεσιών απομαγνητισμού.
• Ε 11.2: Πώς γίνεται η ασφαλής διαγραφή;
  Α 11.2: Αυτή είναι μια λειτουργία GUI που εκτελείται μία μονάδα δίσκου τη φορά.
• Ε 11.3: Πότε εκτελείται συνήθως η ασφαλής διαγραφή;
  Α 11.3: Η ασφαλής διαγραφή ενός δίσκου από τον χρήστη είναι μια σπάνια λειτουργία. Αυτό γίνεται κυρίως όταν θέλετε να αφαιρέσετε φυσικά τον δίσκο για αντικατάσταση, να τον μεταφέρετε σε άλλον κόμβο ή να αποφύγετε την κοντινή αποτυχία.
• Ε 11.4: Ποιοι περιορισμοί υπάρχουν στην ασφαλή διαγραφή;
  Α 11.4: Οι λειτουργίες ασφαλούς διαγραφής μπορούν να εκτελεστούν μόνο εάν το σύμπλεγμα είναι υγιές για να διασφαλιστεί ότι δεν επηρεάζεται η ελαστικότητα σφάλματος του συμπλέγματος.
• Ε 11.5: Τι συμβαίνει εάν χρειαστεί να αφαιρέσω έναν ολόκληρο κόμβο;
  Α 11.5: Υπάρχουν ροές εργασίας αφαίρεσης και αντικατάστασης κόμβων για την υποστήριξη της ασφαλούς διαγραφής όλων των μονάδων δίσκου. Δείτε τον οδηγό διαχειριστή για λεπτομέρειες ή συμβουλευτείτε το Cisco TAC.
• Ε 11.6: Μπορεί ένας δίσκος που έχει διαγραφεί με ασφάλεια να επαναχρησιμοποιηθεί;
  Α 11.6: Ένας δίσκος που έχει διαγραφεί με ασφάλεια μπορεί να επαναχρησιμοποιηθεί μόνο σε διαφορετικό σύμπλεγμα. Η ασφαλής διαγραφή του SED γίνεται σκουπίζοντας το κλειδί κρυπτογράφησης δίσκου (DEK). Τα δεδομένα στο δίσκο δεν μπορούν να αποκρυπτογραφηθούν χωρίς DEK. Αυτό σας επιτρέπει να επαναχρησιμοποιήσετε ή να παροπλίσετε το δίσκο χωρίς κανένα συμβιβασμό των δεδομένων.
• Ε 11.7: Τι συμβαίνει εάν ο δίσκος που θέλω να διαγράψω περιέχει το τελευταίο πρωτεύον αντίγραφο δεδομένων συμπλέγματος;
  Α 11.7: Τα δεδομένα στο δίσκο θα πρέπει να έχουν άλλα αντίγραφα στο σύμπλεγμα για να αποφευχθεί η απώλεια δεδομένων. Ωστόσο, εάν ζητηθεί ασφαλής διαγραφή σε δίσκο που είναι το τελευταίο πρωτεύον αντίγραφο, τότε αυτή η λειτουργία θα απορριφθεί μέχρι να υπάρξει τουλάχιστον ένα ακόμη διαθέσιμο αντίγραφο. Το Rebalance θα πρέπει να δημιουργεί αυτό το αντίγραφο στο παρασκήνιο.
• Ε 11.8: Πρέπει πραγματικά να διαγράψω με ασφάλεια έναν δίσκο, αλλά το σύμπλεγμα δεν είναι υγιές. Πώς μπορώ να το κάνω;
  Α 11.8: Η γραμμή εντολών (STCLI/HXCLI) θα επιτρέψει την ασφαλή διαγραφή όταν το σύμπλεγμα δεν είναι υγιές και ο δίσκος δεν περιέχει το τελευταίο πρωτεύον αντίγραφο, διαφορετικά δεν επιτρέπεται.
• Ε 11.9: Πώς μπορώ να διαγράψω με ασφάλεια έναν ολόκληρο κόμβο;
  Α 11.9: Αυτό είναι ένα σπάνιο σενάριο. Η ασφαλής διαγραφή όλων των δίσκων σε έναν κόμβο γίνεται όταν κάποιος θέλει να βγάλει τον κόμβο από το σύμπλεγμα. Η πρόθεση είναι είτε να αναπτυχθεί ο κόμβος σε διαφορετικό σύμπλεγμα είτε να παροπλιστεί ο κόμβος. Μπορούμε να ταξινομήσουμε την αφαίρεση κόμβου σε αυτό το σενάριο με δύο διαφορετικούς τρόπους:
  1. Διαγράψτε με ασφάλεια όλους τους δίσκους χωρίς να απενεργοποιήσετε την κρυπτογράφηση
  2. Ασφαλής διαγραφή όλων των δίσκων ακολουθούμενη από απενεργοποίηση της κρυπτογράφησης για αυτόν τον κόμβο (και τους δίσκους). Επικοινωνήστε με το Cisco TAC για βοήθεια.

Ασφαλής επέκταση ενός συμπλέγματος

• Ε 12.1: Με τι είδους κόμβο μπορώ να επεκτείνω ένα κρυπτογραφημένο σύμπλεγμα;
  Α 12.1: Μόνο κόμβοι με δυνατότητα SED μπορούν να προστεθούν σε ένα σύμπλεγμα HX με SED.
• Ε 12.2: Πώς αντιμετωπίζεται η επέκταση με τοπική διαχείριση κλειδιών;
  Α 12.2: Η επέκταση τοπικού κλειδιού είναι μια απρόσκοπτη λειτουργία χωρίς εξωτερική διαμόρφωση.
• Ε 12.3: Πώς αντιμετωπίζεται η επέκταση με απομακρυσμένη διαχείριση κλειδιών;
  Α 12.3: Η απομακρυσμένη επέκταση κλειδιού απαιτεί lockstep με πιστοποιητικά/υποδομή διαχείρισης κλειδιών:
  • Απαιτούνται πιστοποιητικά για την ασφαλή προσθήκη νέου κόμβου
  • Η Ανάπτυξη θα εμφανίσει μια προειδοποίηση με βήματα που πρέπει να προχωρήσετε, συμπεριλαμβανομένου ενός συνδέσμου για λήψη πιστοποιητικού
  • Ο χρήστης ακολουθεί τα βήματα για τη μεταφόρτωση πιστοποιητικών και, στη συνέχεια, επαναλαμβάνει την ανάπτυξη

Δικαιολογητικά

Μικρόν:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Λίστα αλγορίθμων κρυπτογράφησης που έχουν εγκριθεί για το FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Σχέδιο: CSC.nuova Προϊόν: ucs-blade-server Συστατικό: ucsm

Λειτουργική προδιαγραφή SED:

• EDCS: 1574090

Προδιαγραφή SED CIMC:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Λίστες αλληλογραφίας:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Έγγραφα / Πόροι

Πλατφόρμα δεδομένων CISCO HyperFlex HX [pdf] Οδηγίες HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platform

Αναφορές

• Εγχειρίδιο χρήστη