CISCO HyperFlex HX andmeplatvorm

Tooteteave

• Toote nimi: HX turvalisuse krüptimine
• Versioon: HXDP 5.01b
• Krüpteerimislahendus: Tarkvarapõhine lahendus Intersight Key Manageri abil
• Krüpteerimise tüüp: Isekrüpteerivad draivid (SED)
• Toetatud draivitüübid: HDD ja SSD SED-id firmalt Micron
• Vastavusstandardid: FIPS 140-2 tase 2 (draivitootjad) ja FIPS 140-2 tase 1 (platvorm)
• Kogu klastri krüptimine: HX-i krüptimist rakendatakse riistvaras puhkeolekus olevate andmete jaoks, kasutades SED-e
• Individuaalne VM-i krüptimine: Seda haldab kolmanda osapoole tarkvara, näiteks Hytrust või Vormetricu läbipaistev klient
• VMware Native VM krüptimine: Toetab HX kasutamiseks koos SED-krüptimisega
• Võtmehaldus: Iga SED jaoks kasutatakse meedia krüpteerimisvõtit (MEK) ja võtme krüpteerimisvõtit (KEK).
• Mälu kasutamine: Krüpteerimisvõtmed ei ole kunagi sõlme mälus
• Mõju jõudlusele: Ketta krüptimist/dekrüptimist käsitletakse draivi riistvaras, see ei mõjuta süsteemi üldist jõudlust
• SED-de täiendavad eelised:
  • Kohene krüptograafiline kustutamine vähendab draivi pensionile jäämise ja ümberpaigutamise kulusid
  • Vastavus valitsuse või valdkonna andmete privaatsust käsitlevatele eeskirjadele
  • Väheneb kettavarguste ja sõlmede varguste oht, kuna andmed muutuvad pärast riistvara eemaldamist loetamatuks

Toote kasutusjuhised

HX Security Encryptioni kasutamiseks järgige neid juhiseid.

1. Veenduge, et teie süsteem toetab riistvarapõhist krüptimist või eelistate Intersight Key Manageri abil tarkvarapõhist lahendust.
2. Tarkvarapõhise krüptimise kohta leiate teavet haldusdokumentidest või dokumentidest.
3. Kui otsustate SED-dega kasutada riistvarapõhist krüptimist, veenduge, et teie HX-klaster koosneks ühtsetest sõlmedest (SED-id või mitte-SED-id).
4. SED-de puhul pidage meeles, et kasutusel on kaks võtit: meedia krüpteerimisvõti (MEK) ja võtme krüpteerimisvõti (KEK).
5. MEK kontrollib andmete krüptimist ja dekrüpteerimist kettale ning on kaitstud ja hallatud riistvaras.
6. KEK kaitseb MEK/DEK-i ja seda hoitakse kas kohalikus või kaugvõtmehoidlas.
7. Ärge muretsege võtmete olemasolu pärast sõlme mälus, kuna krüpteerimisvõtmeid sinna kunagi ei salvestata.
8. Pange tähele, et ketta krüptimist/dekrüptimist käsitletakse draivi riistvaras, tagades, et see ei mõjuta süsteemi üldist jõudlust.
9. Kui teil on vastavusstandarditele spetsiifilised nõuded, pidage meeles, et HX SED-krüptitud draivid vastavad draivitootjate FIPS 140-2 taseme 2 standarditele, samas kui platvormil olev HX-krüptimine vastab FIPS 140-2 1. taseme standarditele.
10. Kui teil on vaja üksikuid VM-e krüpteerida, kaaluge kolmanda osapoole tarkvara, näiteks Hytrusti või Vormetricu läbipaistva kliendi kasutamist. Teise võimalusena saate kasutada VMware'i natiivset VM-i krüptimist, mis on kasutusele võetud versioonis vSphere 3.
11. Pidage meeles, et VM-i krüpteerimiskliendi kasutamine lisaks HX SED-põhisele krüptimisele toob kaasa andmete topeltkrüptimise.
12. Veenduge, et teie HX-klaster oleks turvaliseks replikatsiooniks ühendatud usaldusväärsete võrkude või krüptitud tunnelite kaudu, kuna HX-i replikatsioon pole krüptitud.

HX turvalisuse krüptimise KKK

Alates versioonist HXDP 5.01b pakub HyperFlex tarkvarapõhist lahendust, mis kasutab Intersight Key Manageri süsteemidele, mis ei toeta riistvarapõhist krüptimist, või kasutajatele, kes soovivad seda funktsiooni riistvaralahenduste asemel. See KKK keskendub ainult SED-põhistele HX-krüptimise riistvaralahendustele. Tarkvarapõhise krüptimise kohta leiate teavet haldusdokumentidest või juhendi(te)st.

Eelarvamuste avaldus
Selle toote dokumentatsioonikomplekt püüab kasutada erapoolikust keelt. Selle dokumentatsioonikomplekti tähenduses on eelarvamustevaba keel, mis ei tähenda diskrimineerimist vanuse, puude, soo, rassilise identiteedi, etnilise identiteedi, seksuaalse sättumuse, sotsiaal-majandusliku staatuse ja intersektsionaalsuse alusel. Dokumentatsioonis võib esineda erandeid, mis tulenevad toote tarkvara kasutajaliidestes kõvakodeeritud keelest, standarddokumentatsioonil põhinevast keelest või viidatud kolmanda osapoole tootes kasutatavast keelest.

Miks Cisco turvalisuse ja HX-krüptimise jaoks? 

• K 1.1: Millised protsessid on turvaliseks arendamiseks paigas?
  A 1.1: Cisco serverid järgivad Cisco turvalise arendustegevuse elutsüklit (CSDL):
  • Cisco pakub protsesse, metoodikaid ja raamistikke manustatud turvalisuse arendamiseks Cisco serverites, mitte ainult ülekatte
  • Pühendunud Cisco meeskond UCS-i tooteportfelli ohtude modelleerimiseks/staatiliseks analüüsiks
  • Cisco Advanced Security Initiative Group (ASIG) viib läbi ennetavaid läbitungimisteste, et mõista, kuidas ohud sisse tulevad, ja parandada probleeme, täiustades HW-d ja SW-d CDETS-i ja inseneritöö kaudu.
  • Pühendunud Cisco meeskond, kes testib ja käsitleb väljaminevat haavatavust ning suhtleb klientidega turvanõustajatena
  • Kõik aluseks olevad tooted läbivad tooteturbe baasnõuded (PSB), mis reguleerivad Cisco toodete turbestandardeid
  • Cisco teostab haavatavuse/protokolli töökindluse testimist kõigis UCS-i väljaannetes
• K 1.2: Miks on SED-id olulised?
  A 1.2: SED-e kasutatakse andmete puhkeolekus krüptimiseks ja see on nõue paljudele, kui mitte kõigile, föderaal-, meditsiini- ja finantsasutustele.

Üldteave Üleview

• K 2.1: Mis on SED-id?
  A 2.1: SED-il (self-Encrypting Drives) on spetsiaalne riistvara, mis krüpteerib sissetulevad andmed ja dekrüpteerib väljaminevad andmed reaalajas.
• K 2.2: milline on HX krüptimise ulatus?
  A 2.2: HX-i krüptimine on praegu riistvaras rakendatud ainult puhkeolekus olevate andmete jaoks, kasutades krüptitud draive (SED). HX-krüptimine on klastriülene. Individuaalse VM-i krüptimisega tegeleb kolmanda osapoole tarkvara, nagu Hytrust või Vormetricu läbipaistev klient, ja see ei kuulu HX-i kohustuste ulatusse. HX toetab ka VMware'i natiivse VM-krüptimise kasutamist, mis on kasutusele võetud versioonis vSphere 3. VM-i krüpteerimiskliendi kasutamine lisaks HX SED-põhisele krüptimisele toob kaasa andmete topeltkrüptimise. HX-i replikatsioon ei ole krüptitud ja tugineb usaldusväärsetele võrkudele või lõppkasutaja juurutatud krüptitud tunnelitele.
• K 2.3: Millised vastavusstandardid on HX-krüptimisega täidetud?
  A 2.3: HX SED krüptitud draivid vastavad draivitootjate FIPS 140-2 taseme 2 standarditele. Platvormi HX-krüptimine vastab FIPS 140-2 1. taseme standarditele.
• K 2.4: Kas me toetame krüptimiseks nii HDD-d kui ka SSD-d?
  A 2.4: Jah, me toetame nii Microni HDD-d kui ka SSD-sid.
• K 2.5: Kas HX-klastril võib olla korraga krüptitud ja krüpteerimata draive?
  A 2.5: Kõik klastri sõlmed peavad olema ühtsed (SED-id või mitte-SED-id)
• K 2.6: Milliseid võtmeid SED-i jaoks kasutatakse ja kuidas neid kasutatakse?
  A 2.6: Iga SED-i jaoks on kasutusel kaks võtit. Meediumikrüpteerimisvõti (MEK), mida nimetatakse ka ketta krüpteerimisvõtmeks (DEK), juhib andmete krüptimist ja dekrüpteerimist kettale ning on kaitstud ja hallatud riistvaras. Võtme krüpteerimisvõti (KEK) kaitseb DEK-i/MEK-i ja seda hoitakse kas kohalikus või kaugvõtmesalves.
• K 2.7: Kas võtmed on kunagi mälus olemas?
  A 2.7: Krüpteerimisvõtmed ei ole kunagi sõlme mälus
• K 2.8. Kuidas mõjutab krüpteerimis-/dekrüpteerimisprotsess jõudlust?
  A 2.8: Ketta krüptimist/dekrüptimist käsitletakse draivi riistvaras. Süsteemi üldist jõudlust see ei mõjuta ja seda ei saa rünnata, mis on suunatud süsteemi teistele komponentidele
• K 2.9. Millised on muud põhjused SED-ide kasutamiseks peale puhkeoleku krüptimise?
  A 2.9: SED-id võivad hetkelise krüptograafilise kustutamise kaudu vähendada juhtide pensionile jäämise ja ümberpaigutamise kulusid. Samuti järgivad need valitsuse või valdkonna andmeprivaatsust käsitlevaid eeskirju. Veel üks advantage on kettavarguste ja sõlmevarguste vähenenud risk, kuna andmed on pärast riistvara ökosüsteemist eemaldamist loetamatud.
• Q2.10: Mis juhtub dubleerimise ja SED-idega tihendamisega? Mis juhtub kolmanda osapoole tarkvarapõhise krüptimisega?
  A2.10: Deduplikatsioon ja tihendamine SED-idega HX-is säilitatakse, kuna puhkeolekus olevate andmete krüptimine toimub kirjutamisprotsessi viimase sammuna. Deduplikatsioon ja tihendamine on juba toimunud. Kolmanda osapoole tarkvarapõhiste krüpteerimistoodetega haldavad virtuaalsed masinad oma krüptimist ja edastavad krüptitud kirjutised hüperviisorile ja seejärel HX-ile. Kuna need kirjutised on juba krüptitud, ei eemaldata neid ega tihendata neid. HX tarkvarapõhine krüpteerimine (3.x koodireas) on tarkvara krüpteerimislahendus, mis rakendatakse virnas pärast kirjutamise optimeerimist (dedubleerimine ja tihendamine), nii et eelis jääb sel juhul alles.

Allolev joonis on lõppview SED-i rakendamisest HX-iga.

Sõidu üksikasjad 

• K 3.1: kes toodab HX-is kasutatavaid krüptitud draive?
  A 3.1: HX kasutab Microni toodetud draive: Micron-spetsiifilised dokumendid on lingitud selle KKK täiendavate dokumentide jaotises.
• K 3.2: Kas me toetame mõnda SED-d, mis ei ole FIPS-ühilduv?
  A 3.2: Toetame ka mõnda draivi, mis pole FIPS-i, kuid toetavad SED-i (TCGE).
• K 3.3: Mis on TCG?
  A 3.3: TCG on Trusted Computing Group, mis loob ja haldab krüpteeritud andmete salvestamise spetsifikatsioonistandardeid
• K 3.4. Mida peetakse andmekeskuse SAS-i SSD-de puhul ettevõtteklassi turvalisuseks? Millised spetsiifilised funktsioonid neil draividel on, mis tagavad turvalisuse ja kaitsevad rünnakute eest?
  A 3.4: See loend võtab kokku HX-is kasutatavate SED-ide ettevõtteklassi funktsioonid ja nende seose TCG standardiga.
  1. Isekrüpteerivad draivid (SED) pakuvad tugevat turvalisust teie SED-is seisvate andmete jaoks, vältides volitamata juurdepääsu andmetele. Trusted Computing Group (TCG) on välja töötanud nii HDD-de kui ka SSD-de isekrüpteerivate draivide funktsioonide ja eeliste loendi. TCG pakub standardit, mida nimetatakse TCG Enterprise SSC-ks (turbe alamsüsteemi klass) ja mis keskendub puhkeolekus olevatele andmetele. See on nõue kõikidele SED-dele. Spetsifikatsioon kehtib andmesalvestusseadmete ja kontrollerite kohta, mis töötavad ettevõtte salvestusruumis. Nimekiri sisaldab:
     • Läbipaistvus: Süsteemi või rakenduse muudatusi pole vaja; draivi enda loodud krüpteerimisvõti, kasutades sisseehitatud tõeliste juhuslike arvude generaatorit; draiv alati krüpteerib.
     • Haldamise lihtsus: Haldamiseks pole krüpteerimisvõtit; tarkvaramüüjad kasutavad SED-ide haldamiseks standardset liidest, sealhulgas kaughaldust, alglaadimiseelset autentimist ja parooli taastamist
     • Kõrvaldamise või taaskasutamise kulud: SED-iga kustutage pardal olev krüpteerimisvõti
     • Uuesti krüptimine: SED-iga pole vaja andmeid kunagi uuesti krüpteerida
     • Toimivus: SED jõudlus ei halvene; riistvarapõhine
     • Standardimine: Kogu ajamitööstus järgib TCG/SED spetsifikatsioone
     • Lihtsustatud: Ei sekku ülesvoolu protsessidesse
  2. SSD SED-id pakuvad võimalust draivi krüptograafiliselt kustutada. See tähendab, et draivile saab saata lihtsa autentitud käsu, et muuta draivile salvestatud 256-bitist krüpteerimisvõtit. See tagab, et draiv pühitakse puhtaks ja andmeid pole alles. Isegi algne hostsüsteem ei saa andmeid lugeda, seega on need absoluutselt loetamatud ühegi teise süsteemi jaoks. Toiming võtab vaid paar sekundit, erinevalt paljudest minutitest või isegi tundidest, mis kulub analoogse toimingu tegemiseks krüptimata HDD-l, ning väldib kallite HDD gaaside eemaldamise seadmete või teenuste kulusid.
  3. FIPS (Federal Information Processing Standard) 140-2 on USA valitsuse standard, mis kirjeldab krüptimist ja sellega seotud turbenõudeid, millele IT-tooted peavad vastama tundliku, kuid salastamata kasutuse korral. See on sageli nõue ka valitsusasutustele ning finantsteenuste ja tervishoiusektori ettevõtetele. FIPS-140-2 valideeritud SSD kasutab tugevaid turvatavasid, sealhulgas heakskiidetud krüpteerimisalgoritme. Samuti täpsustatakse, kuidas isikud või muud protsessid peavad olema toote kasutamiseks volitatud ja kuidas moodulid või komponendid peavad olema kavandatud nii, et need saaksid turvaliselt suhelda teiste süsteemidega. Tegelikult on FIPS-140-2 valideeritud SSD-draivi üks nõudeid, et see oleks SED. Pidage meeles, et kuigi TCG ei ole ainus viis sertifitseeritud krüptitud draivi hankimiseks, on TCG Opali ja Enterprise SSC spetsifikatsioonid meile sammuks FIPS valideerimisel. 4. Teine oluline funktsioon on turvalised allalaadimised ja diagnostika. See püsivara funktsioon kaitseb draivi tarkvararünnakute eest püsivarasse sisseehitatud digitaalallkirja kaudu. Kui on vaja alla laadida, takistab digitaalallkiri volitamata juurdepääsu draivile, vältides võltsitud püsivara laadimist draivi.

Hüperflexi paigaldamine koos SED-idega

• K 4.1: Kuidas installija SED-i juurutamist käsitleb? Kas on mingeid erikontrolle?
  A 4.1: Installer suhtleb UCSM-iga ja tagab, et süsteemi püsivara on õige ja tuvastatud riistvara jaoks toetatud. Krüpteerimise ühilduvust kontrollitakse ja jõustatakse (nt SED-i ja mitte-SED-i segamine).
• K 4.2: kas juurutamine erineb muidu?
  A 4.2: Installimine sarnaneb tavalise HX-installiga, kuid kohandatud töövoogu SED-de puhul ei toetata. See toiming nõuab ka SED-de jaoks UCSM-i mandaate.
• K 4.3: Kuidas toimib litsentsimine krüptimisega? Kas on midagi lisa, mis peab paigas olema?
  A 4.3: SED-riistvara (tellitud tehasest, mitte ümberehitatud) + HXDP 2.5 + UCSM (3.1(3x)) on ainsad asjad, mis on vajalikud võtmehaldusega krüptimise võimaldamiseks. Väljalaskes 2.5 ei nõuta täiendavat litsentsi väljaspool HXDP põhitellimust.
• K 4.4: Mis juhtub, kui mul on SED-süsteem, mille draivid pole enam saadaval? Kuidas ma saan seda klastrit laiendada?
  A 4.4: Kui meil on tarnijatelt mõni PID, mille kasutusiga on lõppenud, on meil asendus-PID, mis ühildub vana PID-iga. Seda asendus-PID-d saab kasutada RMA-ks, sõlmes laiendamiseks ja klastri laiendamiseks (uute sõlmedega). Kõik meetodid on toetatud, kuid need võivad vajada üleminekut konkreetsele versioonile, mis on samuti määratletud ülemineku väljalaske märkustes.

Võtmehaldus

• K 5.1: Mis on võtmehaldus?
  A 5.1: Võtmehaldus on krüpteerimisvõtmete kaitsmise, salvestamise, varundamise ja korraldamisega seotud ülesanded. HX rakendab seda UCSM-keskses poliitikas.
• K 5.2: milline mehhanism toetab võtme konfigureerimist?
  A 5.2: UCSM pakub tuge turvavõtmete konfigureerimiseks.
• K 5.3: Mis tüüpi võtmehaldus on saadaval?
  A 5.3: Toetatakse võtmete kohalikku haldamist ning ettevõtteklassi võtmete kaughaldust kolmanda osapoole võtmehaldusserveritega.
• K 5.4: Kes on võtmehalduse kaughalduse partnerid?
  A 5.4: Toetame praegu Vormetricut ja Gemaltot (Safenet) ning sisaldab kõrget kättesaadavust (HA). HyTrust on testimisel.
• K 5.5: Kuidas rakendatakse võtme kaughaldust?
  A 5.5: Võtme kaughaldus toimub KMIP 1.1 kaudu.
• K 5.6: Kuidas on kohalik haldus konfigureeritud?
  A 5.6: Turvavõti (KEK) konfigureerib HX Connectis otse kasutaja.
• K 5.7: Kuidas on kaughaldus konfigureeritud?
  A 5.7: Kasutaja konfigureerib HX Connectis kaugvõtmehalduse (KMIP) serveri aadressiteabe koos sisselogimismandaatidega.
• K 5.8: milline HX-i osa suhtleb konfigureerimiseks KMIP-serveriga?
  A 5.8: Iga sõlme CIMC kasutab seda teavet KMIP-serveriga ühenduse loomiseks ja sealt turvavõtme (KEK) hankimiseks.
  
• K 5.9: Mis tüüpi sertifikaate võtme genereerimise/otsimise/värskendamise protsessis toetatakse?
  A 5.9: Toetatud on nii CA allkirjastatud kui ka ise allkirjastatud sertifikaadid.
  
• K 5.10: Milliseid töövooge krüpteerimisprotsess toetab?
  A 5.10: Kohandatud parooliga kaitsmine/kaitse eemaldamine on toetatud koos võtmehalduse kohaliku ja kaughalduse teisendamisega. Toetatakse võtmete ümberlülitamise toiminguid. Toetatud on ka turvaline ketta kustutamine.
  

Kasutaja töövoog: kohalik

• K 6.1: Kuhu ma HX Connectis kohaliku võtmehalduse seadistan?
  A 6.1: Valige krüptimise armatuurlaual konfigureerimise nupp ja järgige viisardit.
• K 6.2: Mida ma pean selle alustamiseks valmis olema?
  A 6.2: Peate esitama 32-kohalise turvaparooli.
• K 6.3: Mis juhtub, kui mul on vaja sisestada uus SED?
  A 6.3: UCSM-is peate muutma kohalikku turbepoliitikat ja määrama juurutatud võtmeks olemasoleva sõlme võtme.
• Q 6.4: Mis juhtub, kui sisestan uue ketta?
  A 6.4: Kui kettal olev turvavõti ühtib serveri (sõlme) omaga, avatakse see automaatselt. Kui turvavõtmed on erinevad, kuvatakse ketas kui "Lukustatud". Saate ketta tühjendada, et kustutada kõik andmed, või avada see õige võtme sisestamisega. See on hea aeg TACiga tegelemiseks.

Kasutaja töövoog: kaug

• K 7.1: Milliseid asju pean võtme kaughalduse konfigureerimisel jälgima?
  A 7.1: Side klastri ja KMIP-serveri(te) vahel toimub iga sõlme CIMC kaudu. See tähendab, et hostinime saab KMIP-serveri jaoks kasutada ainult siis, kui Inbandi IP-aadress ja DNS on konfigureeritud CIMC-halduses
• K 7.2: Mis juhtub, kui mul on vaja asendada või sisestada uus SED?
  A 7.2: Klaster loeb kettalt identifikaatorit ja proovib seda automaatselt avada. Kui automaatne avamine ebaõnnestub, kuvatakse ketas lukus ja kasutaja peab ketta käsitsi avama. Mandaadi vahetamiseks peate sertifikaadid KMIP-serveri(te)sse kopeerima.
• K 7.3. Kuidas kopeerida sertifikaate klastrist KMIP-serveri(te)sse?
  A 7.3: Selleks on kaks võimalust. Saate kopeerida sertifikaadi BMC-st otse KMIP-serverisse või kasutada CSR-i CA-allkirjaga sertifikaadi hankimiseks ja kopeerida CA-ga allkirjastatud sertifikaat BMC-sse, kasutades UCSM-i käske.
• K 7.4. Milliseid kaalutlusi tuleb arvesse võtta krüptitud sõlmede lisamisel klastrisse, mis kasutab võtme kaughaldust?
  A 7.4: KMIP-serveri(te)le uute hostide lisamisel peaks kasutatav hostinimi olema serveri seerianumber. KMIP-serveri sertifikaadi hankimiseks saate KMIP-serveri(te) juursertifikaadi hankimiseks kasutada brauserit.

Kasutaja töövoog: Üldine

• K 8.1: Kuidas ketast kustutada?
  A 8.1: Valige HX Connecti armatuurlaual süsteemiteave view. Sealt saate turvaliseks kustutamiseks valida üksikud kettad.
• K 8.2: Mis siis, kui ma kustutasin ketta kogemata?
  A 8.2: Turvalise kustutamise kasutamisel hävitatakse andmed jäädavalt
• K 8.3: Mis juhtub, kui soovin sõlme dekomisjoneerida või teenuseprofi lahti ühendadafile?
  A 8.3: Ükski neist toimingutest ei eemalda ketta/kontrolleri krüptimist.
• K 8.4: Kuidas krüptimine keelatakse?
  A 8.4: Kasutaja peab HX Connectis krüptimise selgesõnaliselt keelama. Kui kasutaja üritab UCSM-is turbepoliitikat kustutada, kui seotud server on kaitstud, kuvab UCSM konfiguratsioonitõrkeid ja keelab toimingu. Esmalt tuleb turvapoliitika keelata.

Kasutaja töövoog: sertifikaatide haldus

• K 9.1: Kuidas kaughalduse seadistamise ajal sertifikaate käsitletakse?
  A 9.1: Sertifikaadid luuakse HX Connecti ja KMIP-kaugserveri(te) abil. Pärast loodud sertifikaate ei kustutata peaaegu kunagi.
• K 9.2: Milliseid sertifikaate saan kasutada?
  A 9.2: Võite kasutada kas iseallkirjastatud sertifikaate või CA sertifikaate. Seadistamise ajal peate valima. CA allkirjastatud sertifikaatide jaoks loote sertifikaadi allkirjastamise taotluste (CSR) komplekti. Allkirjastatud sertifikaadid laaditakse üles KMIP-serveri(te)sse.
• K 9.3: Millist hostinime peaksin kasutama sertifikaatide loomisel?
  A 9.3: Serdi genereerimiseks kasutatav hostinimi peaks olema serveri seerianumber.

Püsivara värskendused

• K 10.1: Kas ketta püsivara uuendamisel on mingeid piiranguid?
  A 10.1: Kui tuvastatakse krüpteerimisvõimeline draiv, ei lubata sellel kettal ketta püsivara muudatusi.
• K 10.2: Kas UCSM-i püsivara uuendamisel on mingeid piiranguid?
  A 10.2: UCSM/CIMC alandamine versioonile UCSM 3.1(3x)-eelsele versioonile on piiratud, kui kontroller on kaitstud olekus.

Turvalise kustutamise üksikasjad

• K 11.1: Mis on turvaline kustutamine?
  A 11.1: Turvaline kustutamine on draivi andmete kohene kustutamine (ketta krüpteerimisvõtme kustutamine). See tähendab, et draivile saab saata lihtsa autentitud käsu, et muuta draivile salvestatud 256-bitist krüpteerimisvõtit. See tagab, et draiv pühitakse puhtaks ja andmeid pole alles. Isegi algne hostsüsteem ei saa andmeid lugeda, nii et ükski teine ​​süsteem ei saa neid lugeda. Toiming võtab vaid paar sekundit, erinevalt paljudest minutitest või isegi tundidest, mis kulub analoogse toimingu tegemiseks krüptimata kettal ja väldib kallite degauseerimisseadmete või -teenuste kulusid.
• K 11.2: Kuidas turvalist kustutamist teostatakse?
  A 11.2: See on GUI toiming, mida tehakse üks draiv korraga.
• K 11.3: Millal turvalist kustutamist tavaliselt tehakse?
  A 11.3: Kasutaja algatatud ühe ketta turvaline kustutamine on haruldane toiming. Seda tehakse enamasti siis, kui soovite ketta asendamiseks füüsiliselt eemaldada, teise sõlme teisaldada või lähituleviku rikkeid vältida.
• K 11.4: millised piirangud on turvalisel kustutamisel?
  A 11.4: Turvalisi kustutamistoiminguid saab teha ainult siis, kui klaster on terve, et tagada klastri tõrkekindluse mittemõjutamine.
• K 11.5: Mis juhtub, kui mul on vaja terve sõlm eemaldada?
  A 11.5: Kõigi draivide turvalise kustutamise toetamiseks on olemas sõlme eemaldamise ja sõlme asendamise töövood. Vaadake üksikasju administraatori juhendist või konsulteerige Cisco TACiga.
• K 11.6: Kas turvaliselt kustutatud ketast saab uuesti kasutada?
  A 11.6: Turvaliselt kustutatud ketast saab uuesti kasutada ainult teises klastris. SED-i turvaline kustutamine toimub ketta krüpteerimisvõtme (DEK) pühkides. Kettal olevaid andmeid ei saa ilma DEK-ita dekrüpteerida. See võimaldab teil ketast uuesti kasutada või dekomisjoneerida ilma andmeid kahjustamata.
• K 11.7: Mis juhtub, kui ketas, mida tahan kustutada, sisaldab klastriandmete viimast esmast koopiat?
  A 11.7: Andmete kadumise vältimiseks peaksid kettal olevad andmed klastris sisaldama teisi koopiaid. Kui aga kettale, mis on viimane esmane koopia, taotletakse turvalist kustutamist, lükatakse see toiming tagasi, kuni saadaval on veel vähemalt üks koopia. Rebalance peaks selle koopia taustal tegema.
• K 11.8: Ma pean tõesti ketta turvaliselt kustutama, kuid klaster pole korras. Kuidas ma saan seda teha?
  A 11.8: Käsurida (STCLI/HXCLI) võimaldab turvalist kustutamist, kui klaster ei ole terve ja ketas ei sisalda viimast esmast koopiat, vastasel juhul on see keelatud.
• Q 11.9: Kuidas saan terve sõlme turvaliselt kustutada?
  A 11.9: See on haruldane stsenaarium. Kõigi sõlme ketaste turvaline kustutamine toimub siis, kui sõlm tahetakse klastrist välja võtta. Eesmärk on kas sõlm juurutada teises klastris või sõlm dekomisjoneerida. Selle stsenaariumi korral saame sõlmede eemaldamise klassifitseerida kahel erineval viisil.
  1. Kustutage kõik kettad turvaliselt ilma krüptimist keelamata
  2. Turvaline kustutage kõik kettad ja seejärel keelake selle sõlme (ja ketaste) krüpteerimine. Abi saamiseks võtke ühendust Cisco TACiga.

Klastri turvaline laiendamine

• K 12.1: Millise sõlmega saan krüptitud klastrit laiendada?
  A 12.1: SED-idega HX-klastrisse saab lisada ainult SED-toega sõlmi.
• K 12.2: Kuidas käsitletakse laiendamist kohaliku võtmehaldusega?
  A 12.2: Kohaliku võtme laiendamine on sujuv toiming ilma välise konfiguratsioonita.
• K 12.3: Kuidas käsitletakse võtme kaughaldusega laiendamist?
  A 12.3: Võtme kauglaiendus nõuab sertifikaatide/võtmehaldusinfrastruktuuriga lockstep'i:
  • Uue sõlme turvaliseks lisamiseks on vaja sertifikaate
  • Juurutamisel kuvatakse hoiatus koos toimingutega jätkamiseks, sealhulgas link sertifikaadi allalaadimiseks
  • Kasutaja järgib samme sertifikaatide üleslaadimiseks ja proovib seejärel juurutamist uuesti

Toetavad dokumendid

Mikron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• FIPS 140-2 jaoks heakskiidetud krüptoalgoritmide loend: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Projekt: CSC.nuova Toode: ucs-blade-server Komponent: ucsm

SED-i funktsionaalne spetsifikatsioon:

• EDCS: 1574090

SED CIMC spetsifikatsioon:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Meililistid:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Dokumendid / Ressursid

CISCO HyperFlex HX andmeplatvorm [pdfJuhised HyperFlex HX andmeplatvorm, HyperFlex, HX andmeplatvorm, andmeplatvorm, platvorm

Viited

• Kasutusjuhend