CISCO HyperFlex HX podatkovna platforma

Informacije o proizvodu

• Naziv proizvoda: HX sigurnosna enkripcija
• Verzija: HXDP 5.01b
• Rješenje za šifriranje: Softversko rješenje koje koristi Intersight Key Manager
• Vrsta šifriranja: Samošifrirajući pogoni (SED)
• Podržane vrste pogona: HDD i SSD SED iz Microna
• Standardi sukladnosti: FIPS 140-2 razina 2 (proizvođači pogona) i FIPS 140-2 razina 1 (platforma)
• Enkripcija na razini klastera: Enkripcija na HX implementirana je u hardver za podatke u mirovanju samo pomoću SED-ova
• Individualna VM enkripcija: Upravlja softver treće strane kao što je Hytrust ili Vormetricov transparentni klijent
• VMware izvorna VM enkripcija: Podržava HX za korištenje sa SED enkripcijom
• Upravljanje ključevima: Ključ za šifriranje medija (MEK) i ključ za šifriranje ključa (KEK) koriste se za svaki SED
• Upotreba memorije: Ključevi za šifriranje nikada nisu prisutni u memoriji čvora
• Utjecaj na izvedbu: Šifriranje/dešifriranje diska obavlja se u hardveru pogona, to ne utječe na ukupnu izvedbu sustava
• Dodatne prednosti SED-a:
  • Trenutačno kriptografsko brisanje za smanjene troškove povlačenja pogona iz pogona i ponovnog postavljanja
  • Usklađenost s državnim ili industrijskim propisima za privatnost podataka
  • Smanjeni rizik od krađe diska i čvora jer podaci postaju nečitljivi nakon uklanjanja hardvera

Upute za uporabu proizvoda

Za korištenje HX sigurnosne enkripcije slijedite ove upute:

1. Provjerite podržava li vaš sustav šifriranje temeljeno na hardveru ili preferirate rješenje temeljeno na softveru pomoću Intersight Key Managera.
2. Za informacije o enkripciji temeljenoj na softveru, pogledajte administracijske dokumente ili bijele knjige.
3. Ako odlučite koristiti šifriranje temeljeno na hardveru sa SED-ovima, provjerite sastoji li se vaš HX klaster od uniformnih čvorova (SED-ova ili ne-SED-ova).
4. Za SED-ove imajte na umu da se koriste dva ključa: ključ za šifriranje medija (MEK) i ključ za šifriranje ključa (KEK).
5. MEK kontrolira enkripciju i dešifriranje podataka na disku te je osiguran i upravljan hardverom.
6. KEK osigurava MEK/DEK i održava se u lokalnom ili udaljenom spremištu ključeva.
7. Ne brinite o tome da su ključevi prisutni u memoriji čvora jer se ključevi za šifriranje tamo nikada ne pohranjuju.
8. Imajte na umu da se šifriranjem/dešifriranjem diska upravlja u hardveru pogona, čime se osigurava da to ne utječe na ukupne performanse sustava.
9. Ako imate posebne zahtjeve za standardima usklađenosti, imajte na umu da HX SED kriptirani diskovi zadovoljavaju standarde FIPS 140-2 razine 2 proizvođača pogona, dok HX šifriranje na platformi zadovoljava standarde FIPS 140-2 razine 1.
10. Ako trebate šifrirati pojedinačne VM-ove, razmislite o korištenju softvera treće strane kao što je Hytrust ili Vormetricov transparentni klijent. Alternativno, možete koristiti VMware-ovu izvornu VM enkripciju uvedenu u vSphere 3.
11. Imajte na umu da će korištenje VM klijenta za enkripciju povrh HX SED enkripcije rezultirati dvostrukom enkripcijom podataka.
12. Osigurajte da je vaš HX klaster povezan putem pouzdanih mreža ili šifriranih tunela za sigurnu replikaciju, jer HX replikacija nije šifrirana.

Često postavljana pitanja o HX sigurnosnoj enkripciji

Od HXDP 5.01b, HyperFlex nudi softversko rješenje koje koristi Intersight Key Manager za sustave koji ne podržavaju šifriranje temeljeno na hardveru ili za korisnike koji žele ovu funkcionalnost umjesto hardverskih rješenja. Ovaj FAQ fokusira se samo na hardverska rješenja temeljena na SED-u za HX enkripciju. Pogledajte administracijske dokumente ili dokument(e) za informacije o softverskoj enkripciji.

Izjava o pristranosti
Skup dokumentacije za ovaj proizvod nastoji koristiti nepristrani jezik. Za potrebe ovog skupa dokumentacije, nepristranost se definira kao jezik koji ne implicira diskriminaciju na temelju dobi, invaliditeta, spola, rasnog identiteta, etničkog identiteta, seksualne orijentacije, socioekonomskog statusa i intersekcionalnosti. Iznimke mogu biti prisutne u dokumentaciji zbog jezika koji je tvrdo kodiran u korisničkim sučeljima softvera proizvoda, jezika koji se koristi na temelju standardne dokumentacije ili jezika koji koristi navedeni proizvod treće strane.

Zašto Cisco za sigurnost i HX enkripciju 

• P 1.1: Koji procesi postoje za siguran razvoj?
  A 1.1: Cisco poslužitelji pridržavaju se Cisco Secure Development Lifecycle (CSDL):
  • Cisco pruža procese, metodologije, okvire za razvoj ugrađene sigurnosti na Cisco poslužiteljima, a ne samo sloj
  • Namjenski Cisco tim za modeliranje prijetnji/statičku analizu UCS portfelja proizvoda
  • Cisco Advanced Security Initiative Group (ASIG) provodi proaktivno testiranje penetracije kako bi razumio kako prijetnje dolaze i riješio probleme poboljšavajući HW & SW kroz CDETS i inženjering
  • Namjenski Cisco tim za testiranje i rukovanje izlaznom ranjivošću i komunikaciju s klijentima kao sigurnosni savjetnici
  • Svi osnovni proizvodi prolaze kroz temeljne sigurnosne zahtjeve proizvoda (PSB) koji upravljaju sigurnosnim standardima za Cisco proizvode
  • Cisco provodi testiranje otpornosti ranjivosti/protokola na svim UCS izdanjima
• P 1.2: Zašto su SED-ovi važni?
  A 1.2: SED-ovi se koriste za enkripciju podataka u mirovanju i preduvjet su za mnoge, ako ne i sve, savezne, medicinske i financijske institucije.

Opće informacije završeneview

• P 2.1: Što su SED-ovi?
  A 2.1: SED (Self-Encrypting Drives) ima poseban hardver koji šifrira dolazne podatke i dekriptira odlazne podatke u stvarnom vremenu.
• P 2.2: Koji je opseg enkripcije na HX?
  A 2.2: Enkripcija na HX-u trenutačno je implementirana u hardver za podatke u mirovanju samo pomoću šifriranih pogona (SED). HX enkripcija je na razini klastera. Individualnim VM šifriranjem upravlja softver treće strane kao što je Hytrust ili Vormetricov transparentni klijent i izvan je opsega odgovornosti HX-a. HX također podržava korištenje VMware-ove izvorne VM enkripcije uvedene u vSphere 3. Korištenje VM klijenta za enkripciju povrh HX SED enkripcije će rezultirati dvostrukom enkripcijom podataka. HX replikacija nije šifrirana i oslanja se na pouzdane mreže ili šifrirane tunele koje postavlja krajnji korisnik.
• P 2.3: Koji su standardi usklađenosti zadovoljeni s HX enkripcijom?
  A 2.3: Pogoni šifrirani HX SED zadovoljavaju standarde FIPS 140-2 razine 2 proizvođača pogona. HX šifriranje na platformi zadovoljava standarde FIPS 140-2 razine 1.
• P 2.4: Podržavamo li i HDD i SSD za šifriranje?
  A 2.4: Da, podržavamo i HDD i SSD SED-ove tvrtke Micron.
• P 2.5: Može li HX klaster imati šifrirane i nekriptirane pogone u isto vrijeme?
  A 2.5: Svi čvorovi u klasteru moraju biti uniformni (SED ili ne-SED)
• P 2.6: Koji se ključevi koriste za SED i kako se koriste?
  A 2.6: Za svaki SED koriste se dva ključa. Ključ za šifriranje medija (MEK) koji se naziva i ključ za šifriranje diska (DEK), kontrolira enkripciju i dešifriranje podataka na disku te je osiguran i njime se upravlja u hardveru. Ključ za šifriranje ključa (KEK) osigurava DEK/MEK i održava se u lokalnom ili udaljenom spremištu ključeva.
• P 2.7: Jesu li ključevi ikada prisutni u memoriji?
  A 2.7: Ključevi za šifriranje nikada nisu prisutni u memoriji čvora
• P 2.8: Kako proces šifriranja/dešifriranja utječe na performanse?
  A 2.8: Šifriranje/dešifriranje diska obavlja se u hardveru pogona. Ukupna izvedba sustava nije pogođena i nije predmet napada usmjerenih na druge komponente sustava
• P 2.9: Osim šifriranja u mirovanju, koji su drugi razlozi za korištenje SED-ova?
  A 2.9: SED-ovi mogu smanjiti troškove povlačenja pogona iz pogona i ponovnog postavljanja trenutnim kriptografskim brisanjem. Oni također služe za usklađivanje s državnim ili industrijskim propisima o privatnosti podataka. Još jedan advantage je smanjeni rizik od krađe diska i čvora jer su podaci nečitljivi nakon što se hardver ukloni iz ekosustava.
• P2.10: Što se događa s deduplikacijom i kompresijom sa SED-ovima? Što se događa s enkripcijom temeljenom na softveru treće strane?
  A2.10: Deduplikacija i kompresija sa SED-ovima na HX-u se održavaju jer se enkripcija podataka u mirovanju odvija kao zadnji korak u procesu pisanja. Deduplikacija i kompresija su već izvršene. S proizvodima za šifriranje temeljenim na softveru treće strane, VM-ovi upravljaju svojom enkripcijom i prosljeđuju šifrirana pisanja hipervizoru, a potom i HX-u. Budući da su ti zapisi već šifrirani, ne uklanjaju se duplikati niti komprimiraju. HX Software Based Encryption (u 3.x kodnoj liniji) bit će softversko rješenje za šifriranje koje se implementira u stog nakon što se dogodi optimizacija pisanja (deduplikacija i kompresija), tako da će prednost biti zadržana u tom slučaju.

Donja slika je overview implementacije SED-a s HX.

Pojedinosti pogona 

• P 3.1: Tko proizvodi šifrirane pogone koji se koriste u HX-u?
  A 3.1: HX koristi pogone koje proizvodi Micron: dokumenti specifični za Micron povezani su u odjeljku s pratećim dokumentima ovog FAQ-a.
• P 3.2: Podržavamo li sve SED-ove koji nisu kompatibilni sa FIPS-om?
  A 3.2: Također podržavamo neke diskove koji nisu-FIPS, ali podržavaju SED (TCGE).
• P 3.3: Što je TCG?
  A 3.3: TCG je Trusted Computing Group, koja stvara i upravlja standardom specifikacija za šifrirano pohranjivanje podataka
• P 3.4: Što se smatra sigurnošću poslovne klase kada je riječ o SAS SSD-ovima za podatkovni centar? Koje posebne značajke imaju ovi pogoni koji osiguravaju sigurnost i štite od napada?
  A 3.4: Ovaj popis sažima značajke poslovne klase SED-ova koji se koriste u HX-u i njihov odnos prema TCG standardu.
  1. Pogoni koji se sami šifriraju (SED) pružaju jaku sigurnost za podatke koji miruju na vašem SED-u, sprječavajući neovlašteni pristup podacima. Trusted Computing Group (TCG) razvila je popis značajki i prednosti samokriptirajućih pogona za HDD i SSD. TCG pruža standard koji se naziva TCG Enterprise SSC (Security Subsystem Class) i fokusiran je na podatke u mirovanju. Ovo je uvjet za sve SED-ove. Specifikacija se odnosi na uređaje za pohranu podataka i kontrolere koji rade u poslovnoj pohrani. Popis uključuje:
     • Transparentnost: Nisu potrebne modifikacije sustava ili aplikacije; ključ za šifriranje kojeg generira sam pogon, pomoću ugrađenog generatora slučajnih brojeva; pogon uvijek šifrira.
     • Lakoća upravljanja: Nema ključa za šifriranje za upravljanje; dobavljači softvera iskorištavaju standardizirano sučelje za upravljanje SED-ovima, uključujući daljinsko upravljanje, provjeru autentičnosti prije pokretanja i oporavak lozinke
     • Trošak zbrinjavanja ili prenamjene: Pomoću SED-a izbrišite ugrađeni ključ za šifriranje
     • Ponovno šifriranje: Sa SED-om nema potrebe za ponovnim šifriranjem podataka
     • Performanse: Nema degradacije u performansama SED-a; temeljen na hardveru
     • Standardizacija: Cijela industrija pogona gradi prema TCG/SED specifikacijama
     • Pojednostavljeno: Nema smetnji s prethodnim procesima
  2. SSD SED-ovi pružaju mogućnost kriptografskog brisanja pogona. To znači da se pogonu može poslati jednostavna autentificirana naredba za promjenu 256-bitnog ključa za šifriranje pohranjenog na disku. To osigurava da je pogon obrisan i da nema preostalih podataka. Čak ni originalni glavni sustav ne može čitati podatke, tako da će biti nečitljivi bilo kojem drugom sustavu. Operacija traje samo nekoliko sekundi, za razliku od mnogih minuta ili čak sati koji su potrebni za izvođenje analogne operacije na nešifriranom HDD-u i izbjegava troškove skupe opreme ili usluga za degausiranje HDD-a.
  3. FIPS (Federalni standard za obradu informacija) 140-2 je standard američke vlade koji opisuje šifriranje i srodne sigurnosne zahtjeve koje IT proizvodi trebaju ispuniti za osjetljivu, ali neklasificiranu upotrebu. Ovo je također često uvjet za vladine agencije i tvrtke u industriji financijskih usluga i zdravstva. SSD koji je potvrđen prema FIPS-140-2 koristi jake sigurnosne prakse uključujući odobrene algoritme šifriranja. Također navodi kako pojedinci ili drugi procesi moraju biti ovlašteni za korištenje proizvoda i kako moduli ili komponente moraju biti dizajnirani za sigurnu interakciju s drugim sustavima. Zapravo, jedan od zahtjeva za FIPS-140-2 validirani SSD pogon je da je SED. Imajte na umu da, iako TCG nije jedini način da dobijete certificirani šifrirani pogon, specifikacije TCG Opal i Enterprise SSC pružaju nam odskočnu dasku prema FIPS validaciji. 4. Još jedna bitna značajka su sigurna preuzimanja i dijagnostika. Ova značajka firmvera štiti pogon od softverskih napada putem digitalnog potpisa koji je ugrađen u firmver. Kada su potrebna preuzimanja, digitalni potpis sprječava neovlašteni pristup pogonu, sprječavajući učitavanje krivotvorenog firmvera na pogon.

Hyperflex instalacija sa SED-ovima

• P 4.1: Kako instalacijski program rukuje implementacijom SED-a? Postoje li posebne provjere?
  A 4.1: Instalacijski program komunicira s UCSM-om i osigurava da je firmware sustava ispravan i podržan za otkriveni hardver. Kompatibilnost šifriranja se provjerava i provodi (npr. nema miješanja SED i ne-SED).
• P 4.2: Je li implementacija drukčija?
  A 4.2: Instalacija je slična običnoj HX instalaciji, međutim, prilagođeni tijek rada nije podržan za SED-ove. Ova operacija također zahtijeva UCSM vjerodajnice za SED-ove.
• P 4.3: Kako licenciranje funkcionira s enkripcijom? Postoji li nešto dodatno što treba biti postavljeno?
  A 4.3: SED hardver (naručen iz tvornice, ne naknadno) + HXDP 2.5 + UCSM (3.1(3x)) jedine su stvari potrebne za omogućavanje enkripcije s upravljanjem ključem. Nema dodatnog licenciranja izvan osnovne HXDP pretplate koja je potrebna u izdanju 2.5.
• P 4.4: Što se događa kada imam SED sustav koji ima diskove koji više nisu dostupni? Kako mogu proširiti ovaj klaster?
  A 4.4: Kad god od naših dobavljača imamo PID koji je istekao, imamo zamjenski PID koji je kompatibilan sa starim PID-om. Ovaj zamjenski PID može se koristiti za RMA, proširenje unutar čvora i proširenje klastera (s novim čvorovima). Sve su metode podržane, no možda će zahtijevati nadogradnju na određeno izdanje koje je također navedeno u bilješkama o prijelaznom izdanju.

Upravljanje ključevima

• P 5.1: Što je upravljanje ključevima?
  A 5.1: Upravljanje ključem zadaci su uključeni u zaštitu, pohranjivanje, sigurnosno kopiranje i organiziranje ključeva za šifriranje. HX ovo implementira u politici usmjerenoj na UCSM.
• P 5.2: Koji mehanizam pruža podršku za konfiguraciju ključa?
  A 5.2: UCSM pruža podršku za konfiguriranje sigurnosnih ključeva.
• P 5.3: Koja je vrsta upravljanja ključevima dostupna?
  A 5.3: Podržano je lokalno upravljanje ključevima, zajedno s daljinskim upravljanjem ključevima poslovne klase s poslužiteljima za upravljanje ključevima treće strane.
• P 5.4: Tko su partneri za daljinsko upravljanje ključevima?
  A 5.4: Trenutno podržavamo Vormetric i Gemalto (Safenet) i uključuje visoku dostupnost (HA). HyTrust je u fazi testiranja.
• P 5.5: Kako se implementira daljinsko upravljanje ključem?
  A 5.5: Udaljenim upravljanjem ključem upravlja se putem KMIP 1.1.
• P 5.6: Kako je konfigurirano lokalno upravljanje?
  A 5.6: Sigurnosni ključ (KEK) konfigurira se u HX Connectu, izravno od strane korisnika.
• P 5.7: Kako se konfigurira daljinsko upravljanje?
  A 5.7: Informacije o adresi poslužitelja za daljinsko upravljanje ključem (KMIP) zajedno s vjerodajnicama za prijavu korisnik konfigurira u HX Connectu.
• P 5.8: Koji dio HX-a komunicira s KMIP poslužiteljem radi konfiguracije?
  A 5.8: CIMC na svakom čvoru koristi ove informacije za povezivanje s KMIP poslužiteljem i dohvaćanje sigurnosnog ključa (KEK) s njega.
  
• P 5.9: Koje su vrste certifikata podržane u procesu generiranja/dohvaćanja/ažuriranja ključeva?
  A 5.9: Podržani su i CA-potpisani i samopotpisani certifikati.
  
• P 5.10: Koji su tokovi rada podržani s procesom šifriranja?
  A 5.10: Podržana je zaštita/ukidanje zaštite korištenjem prilagođene lozinke zajedno s pretvorbom lokalnog u udaljeno upravljanje ključem. Podržane su operacije ponovnog ključa. Podržane su i operacije sigurnog brisanja diska.
  

Tijek rada korisnika: lokalno

• P 6.1: Gdje u HX Connectu postavljam lokalno upravljanje ključem?
  A 6.1: Na nadzornoj ploči za šifriranje odaberite gumb za konfiguriranje i slijedite čarobnjaka.
• P 6.2: Što trebam imati spremno da ovo započnem?
  A 6.2: Morat ćete unijeti sigurnosnu šifru od 32 znaka.
• P 6.3: Što se događa ako trebam umetnuti novi SED?
  A 6.3: U UCSM-u morat ćete urediti lokalnu sigurnosnu politiku i postaviti postavljeni ključ na postojeći ključ čvora.
• P 6.4: Što se događa kada umetnem novi disk?
  A 6.4: Ako sigurnosni ključ na disku odgovara ključu poslužitelja (čvora), automatski se otključava. Ako su sigurnosni ključevi drugačiji, disk će se prikazati kao "Zaključano". Možete ili očistiti disk da biste izbrisali sve podatke ili ga otključati unosom ispravnog ključa. Ovo je dobro vrijeme za uključivanje TAC-a.

Tijek rada korisnika: Daljinski

• P 7.1: Na koje stvari moram paziti kod konfiguracije daljinskog upravljanja ključevima?
  A 7.1: Komunikacija između klastera i KMIP poslužitelja odvija se preko CIMC-a na svakom čvoru. To znači da se naziv glavnog računala može koristiti za KMIP poslužitelj samo ako su Inband IP adresa i DNS konfigurirani na CIMC managementu
• P 7.2: Što se događa ako trebam zamijeniti ili umetnuti novi SED?
  A 7.2: Klaster će pročitati identifikator s diska i pokušati ga automatski otključati. Ako automatsko otključavanje ne uspije, disk se pojavljuje kao "zaključan" i korisnik ga mora otključati ručno. Morat ćete kopirati certifikate na KMIP poslužitelj(e) za razmjenu vjerodajnica.
• P 7.3: Kako mogu kopirati certifikate iz klastera na KMIP poslužitelj(e)?
  A 7.3: Postoje dva načina za to. Možete izravno kopirati certifikat s BMC-a na KMIP poslužitelj ili možete koristiti CSR za dobivanje CA-potpisanog certifikata i kopirati CA-potpisani certifikat na BMC pomoću UCSM naredbi.
• P 7.4: Koja razmatranja postoje za dodavanje šifriranih čvorova u klaster koji koristi daljinsko upravljanje ključem?
  A 7.4: Prilikom dodavanja novih hostova na KMIP poslužitelj(e), korišteni naziv hosta trebao bi biti serijski broj poslužitelja. Da biste dobili certifikat KMIP poslužitelja, možete koristiti preglednik za dobivanje korijenskog certifikata KMIP poslužitelja.

Tijek rada korisnika: Općenito

• P 8.1: Kako da izbrišem disk?
  A 8.1: Na nadzornoj ploči HX Connect odaberite informacije o sustavu view. Odatle možete odabrati pojedinačne diskove za sigurno brisanje.
• P 8.2: Što ako sam slučajno izbrisao disk?
  A 8.2: Kada se koristi sigurno brisanje, podaci se trajno uništavaju
• P 8.3: Što se događa kada želim deaktivirati čvor ili odvojiti servis profile?
  A 8.3: Nijedna od ovih radnji neće ukloniti enkripciju na disku/kontroleru.
• P 8.4: Kako se enkripcija onemogućuje?
  A 8.4: Korisnik mora eksplicitno onemogućiti enkripciju u HX Connectu. Ako korisnik pokuša izbrisati sigurnosnu politiku u UCSM-u kada je pridruženi poslužitelj osiguran, UCSM će prikazati pogrešku konfiguracije i onemogućiti radnju. Prvo se mora onemogućiti sigurnosna politika.

Tijek rada korisnika: Upravljanje certifikatima

• P 9.1: Kako se postupa s certifikatima tijekom postavljanja daljinskog upravljanja?
  A 9.1: Certifikati se izrađuju pomoću HX Connecta i udaljenog KMIP poslužitelja. Jednom stvoreni certifikati gotovo nikada neće biti izbrisani.
• P 9.2: Koju vrstu certifikata mogu koristiti?
  A 9.2: Možete koristiti samopotpisane certifikate ili CA certifikate. Morate odabrati tijekom postavljanja. Za CA potpisane certifikate generirat ćete skup zahtjeva za potpisivanje certifikata (CSR). Potpisani certifikati učitavaju se na KMIP poslužitelj(e).
• P 9.3: Koje ime hosta trebam koristiti prilikom generiranja certifikata?
  A 9.3: Naziv glavnog računala koji se koristi za generiranje certifikata trebao bi biti serijski broj poslužitelja.

Ažuriranja firmvera

• P 10.1: Postoje li ograničenja za nadogradnju firmvera diska?
  A 10.1: Ako se otkrije disk koji ima mogućnost enkripcije, nikakve promjene firmvera diska neće biti dopuštene za taj disk.
• P 10.2: Postoje li ograničenja za nadogradnju UCSM firmvera?
  A 10.2: Vraćanje UCSM/CIMC-a na pre-UCSM 3.1(3x) ograničeno je ako postoji kontroler koji je u sigurnom stanju.

Pojedinosti o sigurnom brisanju

• P 11.1: Što je sigurno brisanje?
  A 11.1: Sigurno brisanje trenutno je brisanje podataka na disku (brisanje ključa za šifriranje diska). To znači da se pogonu može poslati jednostavna autentificirana naredba za promjenu 256-bitnog ključa za šifriranje pohranjenog na disku. To osigurava da je pogon obrisan i da nema preostalih podataka. Čak ni originalni host sustav ne može čitati podatke tako da oni neće biti čitljivi bilo kojem drugom sustavu. Operacija traje samo nekoliko sekundi, za razliku od mnogih minuta ili čak sati koji su potrebni za izvođenje analogne operacije na nešifriranom disku i izbjegava troškove skupe opreme ili usluga za demagnetiziranje.
• P 11.2: Kako se izvodi sigurno brisanje?
  A 11.2: Ovo je GUI operacija koja se izvodi jedan po jedan pogon.
• P 11.3: Kada se obično izvodi sigurno brisanje?
  A 11.3: Sigurno brisanje jednog diska koje pokreće korisnik rijetka je operacija. To se uglavnom radi kada želite fizički ukloniti disk radi zamjene, prenijeti ga na drugi čvor ili izbjeći kvar u bliskoj budućnosti.
• P 11.4: Koja ograničenja postoje za sigurno brisanje?
  A 11.4: Operacije sigurnog brisanja mogu se izvesti samo ako je klaster zdrav kako bi se osiguralo da otpornost klastera na kvarove nije ugrožena.
• P 11.5: Što se događa ako trebam ukloniti cijeli čvor?
  A 11.5: Postoje tijekovi rada za uklanjanje i zamjenu čvorova koji podržavaju sigurno brisanje svih pogona. Pojedinosti potražite u vodiču za administratore ili se obratite Cisco TAC-u.
• P 11.6: Može li se ponovno upotrijebiti sigurno izbrisani disk?
  A 11.6: Disk koji je sigurno izbrisan može se ponovno koristiti samo u drugom klasteru. Sigurno brisanje SED-a vrši se brisanjem ključa za šifriranje diska (DEK). Podaci na disku ne mogu se dešifrirati bez DEK-a. To vam omogućuje ponovnu upotrebu ili isključivanje diska bez ugrožavanja podataka.
• P 11.7: Što se događa ako disk koji želim obrisati sadrži posljednju primarnu kopiju podataka klastera?
  A 11.7: Podaci na disku trebaju imati druge kopije u klasteru kako bi se izbjegao gubitak podataka. Međutim, ako se sigurno brisanje zatraži na disku koji je posljednja primarna kopija, tada će ova operacija biti odbijena dok ne bude dostupna barem još jedna kopija. Rebalans bi trebao izrađivati ​​ovu kopiju u pozadini.
• P 11.8: Stvarno trebam sigurno obrisati disk, ali klaster nije zdrav. Kako to mogu učiniti?
  A 11.8: Naredbeni redak (STCLI/HXCLI) omogućit će sigurno brisanje kada klaster nije zdrav i disk ne sadrži posljednju primarnu kopiju, inače je nedopušteno.
• P 11.9: Kako mogu sigurno izbrisati cijeli čvor?
  A 11.9: Ovo je rijedak scenarij. Sigurno brisanje svih diskova u čvoru vrši se kada se čvor želi izvaditi iz klastera. Namjera je ili implementirati čvor u drugom klasteru ili isključiti čvor. Uklanjanje čvora u ovom scenariju možemo klasificirati na dva različita načina:
  1. Sigurno brisanje svih diskova bez onemogućavanja enkripcije
  2. Sigurno brisanje svih diskova nakon čega slijedi onemogućavanje enkripcije za taj čvor (i diskove). Za pomoć kontaktirajte Cisco TAC.

Sigurno širenje klastera

• P 12.1: S kojom vrstom čvora mogu proširiti šifrirani klaster?
  A 12.1: Samo čvorovi sposobni za SED mogu se dodati u HX klaster sa SED-ovima.
• P 12.2: Kako se rješava proširenje s lokalnim upravljanjem ključevima?
  A 12.2: Proširenje lokalnog ključa besprijekorna je operacija bez potrebe za vanjskom konfiguracijom.
• P 12.3: Kako se rješava proširenje daljinskim upravljanjem ključem?
  A 12.3: Daljinsko proširenje ključeva zahtijeva lockstep s certifikatima/infrastrukturom za upravljanje ključevima:
  • Za sigurno dodavanje novog čvora potrebni su certifikati
  • Implementacija će prikazati upozorenje s koracima za nastavak uključujući vezu za preuzimanje certifikata
  • Korisnik slijedi korake za učitavanje certifikata, a zatim ponovno pokušava implementaciju

Popratni dokumenti

Mikron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Popis kripto algoritama odobrenih za FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Projekt: CSC.nuova Proizvod: ucs-blade-server Komponenta: ucsm

SED funkcionalna specifikacija:

• EDCS: 1574090

SED CIMC specifikacija:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Liste za slanje e-pošte:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Dokumenti / Resursi

CISCO HyperFlex HX podatkovna platforma [pdfUpute HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platforma

Reference

• korisnički priručnik