CISCO HyperFlex HX տվյալների հարթակ

Ապրանքի մասին տեղեկատվություն

• Ապրանքի անվանումը: HX անվտանգության գաղտնագրում
• Տարբերակ: HXDP 5.01b
• Գաղտնագրման լուծում. Ծրագրային ապահովման վրա հիմնված լուծում՝ օգտագործելով Intersight Key Manager
• Կոդավորման տեսակը. Ինքնակոդավորվող կրիչներ (SED)
• Աջակցվող սկավառակի տեսակները. HDD և SSD SED-ներ Micron-ից
• Համապատասխանության ստանդարտներ. FIPS 140-2 մակարդակ 2 (drive արտադրողներ) և FIPS 140-2 մակարդակ 1 (հարթակ)
• Կլաստերի լայնածավալ գաղտնագրում. HX-ի վրա գաղտնագրումն իրականացվում է ապարատում հանգստի վիճակում գտնվող տվյալների համար միայն SED-ների միջոցով
• Անհատական ​​VM կոդավորումը. Կառավարվում է երրորդ կողմի ծրագրային ապահովմամբ, ինչպիսիք են Hytrust-ը կամ Vormetric-ի թափանցիկ հաճախորդը
• VMware Native VM կոդավորումը. Աջակցվում է HX-ի կողմից՝ SED կոդավորման հետ օգտագործելու համար
• Բանալիների կառավարում. Մեդիա կոդավորման բանալի (MEK) և հիմնական գաղտնագրման բանալի (KEK) օգտագործվում են յուրաքանչյուր SED-ի համար
• Հիշողության օգտագործում. Գաղտնագրման բանալիները երբեք չեն լինում հանգույցների հիշողության մեջ
• Կատարման ազդեցությունը. Սկավառակի գաղտնագրումը/գաղտնազերծումն իրականացվում է սկավառակի սարքաշարում, ընդհանուր համակարգի աշխատանքի վրա չի ազդում
• SED-ների լրացուցիչ առավելությունները.
  • Կրիպտոգրաֆիկ ակնթարթային ջնջում սկավառակի թոշակի անցնելու և վերաբաշխման ծախսերի կրճատման համար
  • Համապատասխանություն կառավարության կամ ոլորտի կանոնակարգերին տվյալների գաղտնիության համար
  • Սկավառակի գողության և հանգույցների գողության ռիսկը նվազում է, քանի որ ապարատը հեռացնելուց հետո տվյալները դառնում են անընթեռնելի

Ապրանքի օգտագործման հրահանգներ

HX Security Encryption-ը օգտագործելու համար հետևեք հետևյալ հրահանգներին.

1. Համոզվեք, որ ձեր համակարգն աջակցում է ապարատային վրա հիմնված գաղտնագրմանը կամ նախընտրում եք ծրագրային ապահովման վրա հիմնված լուծումը՝ օգտագործելով Intersight Key Manager:
2. Ծրագրային ապահովման վրա հիմնված գաղտնագրման մասին տեղեկությունների համար դիմեք ադմինիստրացիայի փաստաթղթերին կամ սպիտակ թուղթ(ներին):
3. Եթե ​​որոշեք օգտագործել ապարատային վրա հիմնված կոդավորումը SED-ների հետ, համոզվեք, որ ձեր HX կլաստերը բաղկացած է միատեսակ հանգույցներից (SED կամ ոչ SED):
4. SED-ների համար հասկացեք, որ երկու բանալի է օգտագործվում՝ Մեդիա կոդավորման բանալի (MEK) և Բանալին գաղտնագրման բանալի (KEK):
5. MEK-ը վերահսկում է տվյալների կոդավորումն ու վերծանումը սկավառակի վրա և ապահովված և կառավարվում է սարքաշարում:
6. KEK-ն ապահովում է MEK/DEK-ը և պահվում է տեղական կամ հեռավոր բանալիների պահեստում:
7. Մի անհանգստացեք, որ բանալիները առկա են հանգույցի հիշողության մեջ, քանի որ գաղտնագրման բանալիները երբեք այնտեղ չեն պահվում:
8. Նկատի ունեցեք, որ սկավառակի գաղտնագրումը/գաղտնազերծումն իրականացվում է սկավառակի սարքաշարում՝ ապահովելով, որ համակարգի ընդհանուր կատարողականությունը չի ազդի:
9. Եթե ​​դուք ունեք համապատասխանության չափանիշների հատուկ պահանջներ, ապա տեղյակ եղեք, որ HX SED գաղտնագրված կրիչները համապատասխանում են սկավառակի արտադրողների FIPS 140-2 մակարդակի 2 ստանդարտներին, մինչդեռ հարթակում HX ծածկագրումը համապատասխանում է FIPS 140-2 մակարդակի 1 ստանդարտներին:
10. Եթե ​​Ձեզ անհրաժեշտ է գաղտնագրել առանձին VM-ները, մտածեք երրորդ կողմի ծրագրային ապահովման մասին, ինչպիսիք են Hytrust-ը կամ Vormetric-ի թափանցիկ հաճախորդը: Որպես այլընտրանք, դուք կարող եք օգտագործել VMware-ի բնիկ VM կոդավորումը, որը ներկայացված է vSphere 3-ում:
11. Հիշեք, որ HX SED-ի վրա հիմնված գաղտնագրման վրա VM կոդավորման հաճախորդի օգտագործումը կհանգեցնի տվյալների կրկնակի կոդավորման:
12. Համոզվեք, որ ձեր HX կլաստերը միացված է վստահելի ցանցերի կամ գաղտնագրված թունելների միջոցով՝ անվտանգ վերարտադրության համար, քանի որ HX կրկնօրինակումը գաղտնագրված չէ:

HX Security ծածկագրման ՀՏՀ

HXDP 5.01b-ի դրությամբ HyperFlex-ն առաջարկում է ծրագրային ապահովման վրա հիմնված լուծում՝ օգտագործելով Intersight Key Manager համակարգերի համար, որոնք կամ չեն աջակցում ապարատային վրա հիմնված կոդավորումը, կամ այն ​​օգտվողների համար, ովքեր ցանկանում են այս գործառույթը ապարատային լուծումների փոխարեն: Այս ՀՏՀ-ն կենտրոնանում է միայն SED-ի վրա հիմնված ապարատային լուծումների վրա՝ HX կոդավորման համար: Ծրագրային ապահովման վրա հիմնված գաղտնագրման մասին տեղեկությունների համար տե՛ս վարչակազմի փաստաթղթերը կամ սպիտակ թուղթ(ները):

Կողմնակալության հայտարարություն
Այս արտադրանքի համար սահմանված փաստաթղթերը ձգտում են օգտագործել առանց կողմնակալության լեզու: Այս փաստաթղթերի հավաքածուի նպատակների համար անկողմնակալությունը սահմանվում է որպես լեզու, որը չի ենթադրում խտրականություն՝ հիմնված տարիքի, հաշմանդամության, սեռի, ռասայական ինքնության, էթնիկական ինքնության, սեռական կողմնորոշման, սոցիալ-տնտեսական կարգավիճակի և փոխհարաբերությունների վրա: Փաստաթղթերում կարող են լինել բացառություններ՝ կապված այն լեզվի հետ, որը կոշտ կոդավորված է արտադրանքի ծրագրային ապահովման ինտերֆեյսներում, ստանդարտ փաստաթղթերի հիման վրա օգտագործվող լեզվի կամ երրորդ կողմի վկայակոչված արտադրանքի կողմից օգտագործվող լեզվի պատճառով:

Ինչու Cisco անվտանգության և HX կոդավորման համար 

• Հարց 1.1. Ի՞նչ գործընթացներ կան ապահով զարգացման համար:
  A 1.1: Cisco սերվերները հավատարիմ են Cisco Secure Development Lifecycle-ին (CSDL).
  • Cisco-ն ապահովում է գործընթացներ, մեթոդոլոգիաներ, շրջանակներ՝ Cisco սերվերների վրա ներկառուցված անվտանգությունը զարգացնելու համար, այլ ոչ միայն ծածկույթ:
  • Cisco-ի հատուկ թիմ՝ UCS արտադրանքի պորտֆելի վրա սպառնալիքների մոդելավորման/ստատիկ վերլուծության համար
  • Cisco Advanced Security Initiative Group (ASIG) իրականացնում է ներթափանցման պրոակտիվ թեստավորում՝ հասկանալու, թե ինչպես են հայտնվում սպառնալիքները և շտկում խնդիրները՝ բարելավելով HW & SW-ը ​​CDETS-ի և ճարտարագիտության միջոցով:
  • Cisco-ի նվիրված թիմը՝ փորձարկելու և կարգավորելու ելքային խոցելիությունը և հաղորդակցվելու որպես անվտանգության խորհրդատու հաճախորդների հետ
  • Բոլոր հիմքում ընկած ապրանքներն անցնում են արտադրանքի անվտանգության բազային պահանջներին (PSB), որոնք կարգավորում են Cisco-ի արտադրանքի անվտանգության ստանդարտները
  • Cisco-ն իրականացնում է խոցելիության/արձանագրության ամրության փորձարկում UCS-ի բոլոր թողարկումներում
• Q 1.2. Ինչու՞ են SED-ները կարևոր:
  A 1.2: SED-ներն օգտագործվում են տվյալների հանգստի ժամանակ գաղտնագրման համար և պահանջ են շատ, եթե ոչ բոլոր, դաշնային, բժշկական և ֆինանսական հաստատությունների համար:

Ընդհանուր տեղեկություններ Ավարտվեցview

• Q 2.1. Ի՞նչ են SED-ները:
  A 2.1: SED-ը (Self-Encrypting Drives) ունի հատուկ սարքավորում, որը կոդավորում է մուտքային տվյալները և վերծանում ելքային տվյալները իրական ժամանակում:
• Q 2.2. Ո՞րն է գաղտնագրման շրջանակը HX-ում:
  A 2.2: HX-ի վրա գաղտնագրումը ներկայումս իրականացվում է ապարատում միայն գաղտնագրված կրիչներ (SED) օգտագործող տվյալների համար հանգստի վիճակում: HX գաղտնագրումը կլաստերային է: Անհատական ​​VM-ի գաղտնագրումն իրականացվում է երրորդ կողմի ծրագրային ապահովման միջոցով, ինչպիսիք են Hytrust-ը կամ Vormetric-ի թափանցիկ հաճախորդը և դուրս է HX-ի պարտականությունների շրջանակից: HX-ն աջակցում է նաև vSphere 3-ում ներդրված VMware-ի բնիկ VM կոդավորման օգտագործումը: VM գաղտնագրման հաճախորդի օգտագործումը HX SED-ի վրա հիմնված գաղտնագրման վրա կհանգեցնի տվյալների կրկնակի կոդավորման: HX կրկնօրինակումը գաղտնագրված չէ և հիմնված է վստահելի ցանցերի կամ գաղտնագրված թունելների վրա, որոնք տեղակայված են վերջնական օգտագործողի կողմից:
• Q 2.3. Համապատասխանության ո՞ր չափանիշներն են համապատասխանում HX կոդավորմանը:
  A 2.3: HX SED գաղտնագրված կրիչներ համապատասխանում են FIPS 140-2 մակարդակի 2 ստանդարտներին սկավառակների արտադրողների կողմից: HX կոդավորումը հարթակում համապատասխանում է FIPS 140-2 մակարդակի 1 ստանդարտներին:
• Q 2.4. Մենք աջակցո՞ւմ ենք ինչպես HDD-ին, այնպես էլ SSD-ին գաղտնագրման համար:
  A 2.4: Այո, մենք աջակցում ենք ինչպես HDD, այնպես էլ SSD SED-ներ Micron-ից:
• Q 2.5. Կարո՞ղ է HX կլաստերը միաժամանակ ունենալ կոդավորված և չգաղտնագրված կրիչներ:
  A 2.5: Կլաստերի բոլոր հանգույցները պետք է լինեն միատեսակ (SED կամ ոչ SED)
• Q 2.6. Ի՞նչ բանալիներ են օգտագործվում SED-ի համար և ինչպե՞ս են դրանք օգտագործվում:
  A 2.6: Յուրաքանչյուր SED-ի համար օգտագործվում է երկու բանալի: Մեդիա կոդավորման բանալին (MEK), որը նաև կոչվում է Սկավառակի գաղտնագրման բանալի (DEK), վերահսկում է տվյալների կոդավորումն ու վերծանումը սկավառակի վրա և ապահովված և կառավարվում է սարքաշարում: Բանալինների գաղտնագրման բանալին (KEK) ապահովում է DEK/MEK-ը և պահվում է տեղական կամ հեռավոր բանալիների պահեստում:
• Q 2.7. Արդյո՞ք բանալիները երբևէ առկա են հիշողության մեջ:
  A 2.7: Գաղտնագրման բանալիները երբեք չեն լինում հանգույցների հիշողության մեջ
• Q 2.8. Ինչպե՞ս է արդյունավետության վրա ազդում գաղտնագրման/գաղտնագրման գործընթացը:
  A 2.8: Սկավառակի կոդավորումը/գաղտնագրումը կատարվում է սկավառակի սարքաշարում: Համակարգի ընդհանուր կատարողականությունը չի ազդում և ենթակա չէ համակարգի այլ բաղադրիչների վրա ուղղված հարձակումների
• Q 2.9. Բացառությամբ գաղտնագրման հանգստի, որո՞նք են այլ պատճառներ SED-ներ օգտագործելու համար:
  A 2.9: SED-ները կարող են նվազեցնել շարժիչի կենսաթոշակի և վերաբաշխման ծախսերը՝ ակնթարթային գաղտնագրման ջնջման միջոցով: Դրանք նաև ծառայում են տվյալների գաղտնիության համար կառավարության կամ ոլորտի կանոնակարգերին համապատասխանելու համար: Մեկ այլ առավելությունtage-ը սկավառակի գողության և հանգույցների գողության նվազեցված ռիսկն է, քանի որ տվյալները, երբ սարքավորումը հեռացվում է էկոհամակարգից, անընթեռնելի են:
• Q2.10. Ի՞նչ է տեղի ունենում SED-ների հետ կրկնօրինակման և սեղմման դեպքում: Ի՞նչ է տեղի ունենում երրորդ կողմի ծրագրային ապահովման վրա հիմնված գաղտնագրման հետ:
  A2.10: Կրկնօրինակումը և սեղմումը SED-ներով HX-ով պահպանվում են, քանի որ հանգստի վիճակում գտնվող տվյալների կոդավորումը տեղի է ունենում որպես գրելու գործընթացի վերջին քայլ: Deduplication-ը և սեղմումը արդեն տեղի են ունեցել: Երրորդ կողմի ծրագրային ապահովման վրա հիմնված գաղտնագրման արտադրանքների միջոցով VM-ները կառավարում են իրենց գաղտնագրումը և գաղտնագրված գրություններ փոխանցում հիպերվիզորին և հետագայում՝ HX-ին: Քանի որ այս գրառումներն արդեն գաղտնագրված են, դրանք չեն կրկնօրինակվում կամ սեղմվում: HX Software Based Encryption-ը (3.x կոդի տողում) կլինի ծրագրային գաղտնագրման լուծում, որը ներդրվում է փաթեթում գրելու օպտիմալացումներից հետո (կրկնօրինակում և սեղմում), այնպես որ այդ դեպքում օգուտը կպահպանվի:

Ստորև բերված նկարը ավարտված էview SED-ի իրականացման HX-ով:

Drive Մանրամասն 

• Q 3.1. Ո՞վ է արտադրում HX-ում օգտագործվող կոդավորված կրիչներ:
  A 3.1: HX-ն օգտագործում է Micron-ի կողմից արտադրված կրիչներ. Micron-ին հատուկ փաստաթղթերը կցված են այս ՀՏՀ-ի օժանդակ փաստաթղթերի բաժնում:
• Q 3.2. Մենք աջակցո՞ւմ ենք որևէ SED-ի, որը չի համապատասխանում FIPS:
  A 3.2: Մենք նաև աջակցում ենք որոշ կրիչներ, որոնք ոչ FIPS են, բայց աջակցում են SED (TCGE):
• Q 3.3. Ի՞նչ է TCG-ն:
  A 3.3: TCG-ն վստահելի հաշվողական խումբ է, որը ստեղծում և կառավարում է գաղտնագրված տվյալների պահպանման տեխնիկական ստանդարտները:
• Q 3.4. Ի՞նչն է համարվում ձեռնարկության կարգի անվտանգություն, երբ խոսքը վերաբերում է տվյալների կենտրոնի SAS SSD-ներին: Ի՞նչ հատուկ առանձնահատկություններ ունեն այս կրիչները, որոնք ապահովում են անվտանգությունը և պաշտպանում հարձակումներից:
  A 3.4: Այս ցանկն ամփոփում է HX-ում օգտագործվող SED-ների ձեռնարկության կարգի առանձնահատկությունները և ինչպես են դրանք առնչվում TCG ստանդարտին:
  1. Ինքնագաղտնագրող կրիչներ (SED) ապահովում են ուժեղ անվտանգություն ձեր SED-ի վրա հանգստի վիճակում գտնվող տվյալների համար՝ կանխելով տվյալների չարտոնված մուտքը: Trusted Computing Group-ը (TCG) մշակել է ինքնագաղտնագրող կրիչների առանձնահատկությունների և առավելությունների ցանկը ինչպես HDD-ների, այնպես էլ SSD-ների համար: TCG-ն ապահովում է ստանդարտ, որը կոչվում է TCG Enterprise SSC (Անվտանգության ենթահամակարգի դաս) և կենտրոնացած է տվյալների վրա հանգստի վիճակում: Սա պահանջ է բոլոր SED-ների համար: Հատկանիշը վերաբերում է տվյալների պահպանման սարքերին և կարգավորիչներին, որոնք գործում են ձեռնարկության պահեստում: Ցանկը ներառում է.
     • Թափանցիկություն: Համակարգի կամ հավելվածի փոփոխություններ չեն պահանջվում; գաղտնագրման բանալի, որը ստեղծվել է հենց սկավառակի կողմից՝ օգտագործելով ներկառուցված իրական պատահական թվերի գեներատոր. սկավառակը միշտ գաղտնագրում է:
     • Կառավարման հեշտություն. Կառավարման համար գաղտնագրման բանալի չկա; Ծրագրային ապահովման վաճառողները օգտագործում են ստանդարտացված ինտերֆեյս SED-ները կառավարելու համար, ներառյալ հեռակառավարումը, նախնական բեռնման իսկությունը և գաղտնաբառի վերականգնումը:
     • Հեռացման կամ վերագործարկման արժեքը. SED-ի միջոցով ջնջեք գաղտնագրման բանալին
     • Վերականգնում. SED-ի դեպքում անհրաժեշտություն չկա երբևէ վերակոդավորել տվյալները
     • Կատարումը: SED կատարողականի դեգրադացիա չկա; ապարատային վրա հիմնված
     • Ստանդարտացում: Ողջ շարժիչ արդյունաբերությունը հիմնված է TCG/SED Տեխնիկական պայմանների վրա
     • Պարզեցված: Ոչ մի միջամտություն վերընթաց գործընթացներին
  2. SSD SED-ները ապահովում են սկավառակը կրիպտոգրաֆիկորեն ջնջելու հնարավորություն: Սա նշանակում է, որ պարզ վավերացված հրաման կարող է ուղարկվել սկավառակ՝ սկավառակի վրա պահվող 256-բիթանոց գաղտնագրման բանալին փոխելու համար: Սա ապահովում է, որ սկավառակը մաքրվի, և տվյալներ չմնան: Նույնիսկ սկզբնական հյուրընկալող համակարգը չի կարող կարդալ տվյալները, ուստի դրանք բացարձակապես անընթեռնելի կլինեն որևէ այլ համակարգի կողմից: Գործողությունը տևում է ընդամենը մի քանի վայրկյան՝ ի տարբերություն այն բազմաթիվ րոպեների կամ նույնիսկ ժամերի, որոնք տևում են չգաղտնագրված HDD-ի վրա անալոգային գործողություն իրականացնելու համար և խուսափում են թանկարժեք HDD-ից մաքրող սարքավորումների կամ ծառայությունների ծախսերից:
  3. FIPS (Տեղեկատվության մշակման դաշնային ստանդարտ) 140-2-ը ԱՄՆ կառավարության ստանդարտ է, որը նկարագրում է գաղտնագրման և համապատասխան անվտանգության պահանջները, որոնք ՏՏ արտադրանքները պետք է բավարարեն զգայուն, բայց չդասակարգված օգտագործման համար: Սա հաճախ պահանջ է նաև ֆինանսական ծառայությունների և առողջապահական ոլորտների պետական ​​կառույցների և ընկերությունների համար: SSD-ը, որը վավերացված է FIPS-140-2-ում, օգտագործում է ուժեղ անվտանգության պրակտիկաներ, ներառյալ հաստատված կոդավորման ալգորիթմները: Այն նաև սահմանում է, թե ինչպես պետք է թույլատրվեն անհատները կամ այլ գործընթացները՝ արտադրանքն օգտագործելու համար, և ինչպես պետք է նախագծված լինեն մոդուլները կամ բաղադրիչները՝ այլ համակարգերի հետ ապահով փոխազդեցության համար: Փաստորեն, FIPS-140-2 վավերացված SSD սկավառակի պահանջներից մեկն այն է, որ այն SED է: Հիշեք, որ թեև TCG-ն հավաստագրված գաղտնագրված սկավառակ ստանալու միակ միջոցը չէ, TCG Opal-ը և Enterprise SSC-ի բնութագրերը մեզ տալիս են որպես FIPS վավերացման քայլ: 4. Մեկ այլ կարևոր հատկանիշ է Անվտանգ ներբեռնումները և ախտորոշումը: Ծրագրաշարի այս հատկությունը պաշտպանում է սկավառակը ծրագրաշարի հարձակումներից թվային ստորագրության միջոցով, որը ներկառուցված է որոնվածի մեջ: Երբ ներբեռնումներ են անհրաժեշտ, թվային ստորագրությունը կանխում է չարտոնված մուտքը դեպի սկավառակ՝ կանխելով կեղծ որոնվածը սկավառակի վրա բեռնելը:

Hyperflex տեղադրում SED-ներով

• Q 4.1. Ինչպե՞ս է տեղադրողը կառավարում SED-ի տեղակայումը: Կա՞ն հատուկ ստուգումներ:
  A 4.1: Տեղադրողը շփվում է UCSM-ի հետ և ապահովում, որ համակարգի որոնվածը ճիշտ է և ապահովված է հայտնաբերված սարքաշարի համար: Գաղտնագրման համատեղելիությունը ստուգվում և ուժի մեջ է մտնում (օրինակ՝ SED-ի և SED-ի ոչ միախառնման բացակայություն):
• Q 4.2. Արդյո՞ք տեղակայումն այլ կերպ է տարբերվում:
  A 4.2: Տեղադրումը նման է սովորական HX տեղադրմանը, սակայն հատուկ աշխատանքային հոսքը չի աջակցվում SED-ների համար: Այս գործողությունը պահանջում է UCSM հավատարմագրեր նաև SED-ների համար:
• Q 4.3. Ինչպե՞ս է լիցենզավորումն աշխատում գաղտնագրման հետ: Կա՞ որևէ լրացուցիչ բան, որը պետք է տեղում լինի:
  A 4.3: SED սարքավորումը (պատվիրված է գործարանից, ոչ վերազինման) + HXDP 2.5 + UCSM (3.1 (3x)) միակ բաներն են, որոնք անհրաժեշտ են բանալիների կառավարման միջոցով գաղտնագրումը միացնելու համար: 2.5 թողարկումում պահանջվող HXDP բազային բաժանորդագրությունից դուրս լրացուցիչ լիցենզավորում չկա:
• Հարց 4.4. Ի՞նչ է պատահում, երբ ես ունեմ SED համակարգ, որն ունի կրիչներ, որոնք այլևս հասանելի չեն: Ինչպե՞ս կարող եմ ընդլայնել այս կլաստերը:
  A 4.4: Ամեն անգամ, երբ մենք ունենք որևէ PID, որը սպառվում է մեր մատակարարներից, մենք ունենք փոխարինող PID, որը համատեղելի է հին PID-ի հետ: Այս փոխարինող PID-ը կարող է օգտագործվել RMA-ի, հանգույցի ներսում ընդլայնման և կլաստերի ընդլայնման համար (նոր հանգույցներով): Բոլոր մեթոդները բոլորն էլ աջակցվում են, այնուամենայնիվ, դրանք կարող են պահանջել թարմացում մինչև հատուկ թողարկում, որը նույնպես նշված է անցումային թողարկման նշումներում:

Հիմնական կառավարում

• Q 5.1. Ի՞նչ է հիմնական կառավարումը:
  A 5.1: Բանալների կառավարումը գաղտնագրման բանալիների պաշտպանության, պահպանման, պահուստավորման և կազմակերպման հետ կապված խնդիրներն են: HX-ն դա իրականացնում է UCSM-կենտրոնացված քաղաքականության մեջ:
• Q 5.2. Ի՞նչ մեխանիզմ է ապահովում բանալիների կազմաձևումը:
  A 5.2: UCSM-ն ապահովում է անվտանգության բանալիների կազմաձևման աջակցություն:
• Q 5.3. Հիմնական կառավարման ի՞նչ տեսակ կա:
  A 5.3: Աջակցվում է ստեղների տեղական կառավարումը, ինչպես նաև ձեռնարկության կարգի հեռակառավարման բանալիների կառավարման երրորդ կողմի բանալիների կառավարման սերվերները:
• Q 5.4. Ովքե՞ր են հեռահար կառավարման հիմնական գործընկերները:
  A 5.4: Մենք ներկայումս աջակցում ենք Vormetric-ին և Gemalto-ին (Safenet) և ներառում է բարձր հասանելիություն (HA): HyTrust-ը փորձարկման փուլում է:
• Q 5.5. Ինչպե՞ս է իրականացվում հեռակառավարման բանալիների կառավարումը:
  A 5.5: Բանալների հեռակառավարումը կատարվում է KMIP 1.1-ի միջոցով:
• Q 5.6. Ինչպե՞ս է կազմաձևված տեղական կառավարումը:
  A 5.6: Անվտանգության բանալին (KEK) կազմաձևված է HX Connect-ում՝ անմիջապես օգտագործողի կողմից:
• Q 5.7. Ինչպե՞ս է կազմաձևվում հեռակառավարումը:
  A 5.7: Հեռակա բանալիների կառավարման (KMIP) սերվերի հասցեի տեղեկատվությունը մուտքի հավատարմագրերի հետ միասին կազմաձևված է HX Connect-ում օգտագործողի կողմից:
• Q 5.8. HX-ի ո՞ր մասն է շփվում KMIP սերվերի հետ կազմաձևման համար:
  A 5.8: Յուրաքանչյուր հանգույցի CIMC-ն օգտագործում է այս տեղեկատվությունը KMIP սերվերին միանալու և դրանից անվտանգության բանալին (KEK) ստանալու համար:
  
• Հ 5.9. Վկայականների ի՞նչ տեսակներ են աջակցվում բանալիների ստեղծման/վերբերման/թարմացման գործընթացում:
  A 5.9: CA-ով ստորագրված և ինքնաստորագրված վկայագրերը երկուսն էլ աջակցվում են:
  
• Q 5.10. Ի՞նչ աշխատանքային հոսքեր են ապահովվում գաղտնագրման գործընթացում:
  A 5.10: Պաշտպանել/չպաշտպանել՝ օգտագործելով հատուկ գաղտնաբառ, աջակցվում է բանալու կառավարման տեղայինից հեռավոր փոխակերպման հետ մեկտեղ: Նոր բանալիների գործողությունները աջակցվում են: Ապահովված է նաև սկավառակի ջնջման անվտանգ գործողությունը:
  

Օգտագործողի աշխատանքային հոսք՝ տեղական

• Q 6.1. HX Connect-ում որտեղի՞ց կարգավորեմ տեղական բանալիների կառավարումը:
  A 6.1: Գաղտնագրման վահանակում ընտրեք կազմաձևման կոճակը և հետևեք հրաշագործին:
• Հարց 6.2. Ի՞նչ պետք է պատրաստ լինեմ, որպեսզի սկսեմ դա:
  A 6.2: Դուք պետք է տրամադրեք 32 նիշից բաղկացած անվտանգության անցաբառ:
• Q 6.3. Ի՞նչ է պատահում, եթե ինձ անհրաժեշտ լինի տեղադրել նոր SED:
  Ա 6.3UCSM-ում ձեզ հարկավոր է խմբագրել տեղական անվտանգության քաղաքականությունը և սահմանել տեղակայված բանալին գոյություն ունեցող հանգույցի բանալուն:
• Q 6.4: Ինչ է տեղի ունենում, երբ ես տեղադրում եմ նոր սկավառակը:
  A 6.4: Եթե ​​սկավառակի անվտանգության բանալին համընկնում է սերվերի (հանգույցի) հետ, այն ավտոմատ կերպով ապակողպվում է: Եթե ​​անվտանգության բանալիները տարբեր են, ապա սկավառակը կցուցադրվի որպես «Կողպված»: Դուք կարող եք կա՛մ մաքրել սկավառակը՝ բոլոր տվյալները ջնջելու համար, կա՛մ ապակողպել այն՝ տրամադրելով ճիշտ բանալին: Սա լավ ժամանակ է TAC-ին ներգրավելու համար:

Օգտագործողի աշխատանքային հոսք՝ հեռակառավարում

• Q 7.1. Որո՞նք են որոշ բաներ, որոնցից ես պետք է ուշադրություն դարձնեմ հեռակառավարման բանալիների կառավարման կազմաձևման հետ:
  A 7.1: Կլաստերի և KMIP սերվեր(ների) միջև հաղորդակցությունը տեղի է ունենում յուրաքանչյուր հանգույցի CIMC-ի միջոցով: Սա նշանակում է, որ հոսթի անունը կարող է օգտագործվել KMIP սերվերի համար միայն այն դեպքում, եթե Inband IP հասցեն և DNS-ը կազմաձևված են CIMC կառավարման վրա:
• Q 7.2. Ի՞նչ է պատահում, եթե ես պետք է փոխարինեմ կամ տեղադրեմ նոր SED:
  A 7.2: Կլաստերը կկարդա նույնացուցիչը սկավառակից և կփորձի այն ինքնաբերաբար բացել: Եթե ​​ավտոմատ ապակողպումը ձախողվի, սկավառակը հայտնվում է որպես «կողպված», և օգտագործողը պետք է ձեռքով ապակողպի սկավառակը: Դուք պետք է պատճենեք վկայականները KMIP սերվեր(ներ)ում՝ հավատարմագրերի փոխանակման համար:
• Q 7.3. Ինչպե՞ս պատճենել վկայագրերը կլաստերից դեպի KMIP սերվեր(ներ):
  A 7.3: Դա անելու երկու եղանակ կա: Դուք կարող եք պատճենել վկայագիրը BMC-ից ուղղակիորեն KMIP սերվերին կամ կարող եք օգտագործել CSR՝ CA-ով ստորագրված վկայական ստանալու համար և պատճենել CA-ով ստորագրված վկայագիրը BMC-ում՝ օգտագործելով UCSM հրամանները:
• Q 7.4. Ի՞նչ նկատառումներ կան գաղտնագրված հանգույցներ ավելացնելու համար այն կլաստերին, որն օգտագործում է բանալիների հեռակառավարումը:
  A 7.4: KMIP սերվեր(ներ)ին նոր հոստեր ավելացնելիս օգտագործվող հոսթի անունը պետք է լինի սերվերի սերիական համարը: KMIP սերվերի վկայականը ստանալու համար կարող եք օգտագործել դիտարկիչ՝ KMIP սերվերի (սերվերների) արմատային վկայականը ստանալու համար:

Օգտագործողի աշխատանքային հոսք. Ընդհանուր

• Q 8.1. Ինչպե՞ս ջնջել սկավառակը:
  A 8.1: HX Connect-ի վահանակում ընտրեք համակարգի տվյալները view. Այնտեղից դուք կարող եք ընտրել առանձին սկավառակներ անվտանգ ջնջման համար:
• Հարց 8.2. Ի՞նչ կլիներ, եթե ես պատահաբար ջնջեի սկավառակը:
  A 8.2: Երբ օգտագործվում է անվտանգ ջնջում, տվյալները ընդմիշտ ոչնչացվում են
• Q 8.3. Ինչ է տեղի ունենում, երբ ես ուզում եմ անջատել հանգույցը կամ անջատել ծառայության մասնագետըfile?
  A 8.3: Այս գործողություններից ոչ մեկը չի վերացնի գաղտնագրումը սկավառակի/կարգավորիչի վրա:
• Q 8.4. Ինչպե՞ս է գաղտնագրումն անջատվում:
  A 8.4: Օգտագործողը պետք է հստակորեն անջատի գաղտնագրումը HX Connect-ում: Եթե ​​օգտագործողը փորձի ջնջել անվտանգության քաղաքականությունը UCSM-ում, երբ հարակից սերվերն ապահովված է, UCSM-ը կցուցադրի կազմաձևման ձախողում և թույլ չի տա գործողությունը: Անվտանգության քաղաքականությունը նախ պետք է անջատել:

Օգտագործողի աշխատանքային հոսք. Վկայագրի կառավարում

• Q 9.1. Ինչպե՞ս են վկայագրերը մշակվում հեռակառավարման կարգավորումների ժամանակ:
  A 9.1: Վկայականները ստեղծվում են HX Connect-ի և հեռավոր KMIP սերվերի (սերվերների) միջոցով: Ստեղծված վկայականները գրեթե երբեք չեն ջնջվի:
• Q 9.2. Ինչպիսի՞ վկայագրեր կարող եմ օգտագործել:
  A 9.2: Դուք կարող եք օգտագործել կամ ինքնուրույն ստորագրված վկայագրեր, կամ CA վկայագրեր: Կարգավորման ընթացքում դուք պետք է ընտրեք: CA ստորագրված վկայագրերի համար դուք կստեղծեք Վկայագրի ստորագրման հարցումների (CSR) մի շարք: Ստորագրված վկայականները վերբեռնվում են KMIP սերվեր(ներ):
• Q 9.3. Ի՞նչ հոսթի անունը պետք է օգտագործեմ վկայագրերը ստեղծելիս:
  A 9.3: Հոսթի անունը, որն օգտագործվում է վկայագրի ստեղծման համար, պետք է լինի սերվերի սերիական համարը:

Ներկառուցված ծրագրի թարմացումները

• Q 10.1. Կա՞ն սահմանափակումներ սկավառակի որոնվածը թարմացնելու հարցում:
  A 10.1: Եթե ​​հայտնաբերվի գաղտնագրման հնարավորություն ունեցող սկավառակ, սկավառակի որոնվածի որևէ փոփոխություն չի թույլատրվի այդ սկավառակի համար:
• Q 10.2. Կա՞ն սահմանափակումներ UCSM որոնվածը թարմացնելու հարցում:
  A 10.2: UCSM/CIMC-ի իջեցումը մինչ UCSM 3.1 (3x)-ի սահմանափակվում է, եթե կա վերահսկիչ, որն ապահով վիճակում է:

Ապահով ջնջել մանրամասները

• Q 11.1. Ի՞նչ է անվտանգ ջնջումը:
  A 11.1: Անվտանգ ջնջումը սկավառակի տվյալների ակնթարթային ջնջումն է (սկավառակի գաղտնագրման բանալին ջնջելը): Սա նշանակում է, որ պարզ վավերացված հրաման կարող է ուղարկվել սկավառակ՝ սկավառակի վրա պահվող 256-բիթանոց գաղտնագրման բանալին փոխելու համար: Սա ապահովում է, որ սկավառակը մաքրվի, և տվյալներ չմնան: Նույնիսկ սկզբնական հյուրընկալող համակարգը չի կարող կարդալ տվյալները, ուստի այն անընթեռնելի կլինի որևէ այլ համակարգի կողմից: Գործողությունը տևում է ընդամենը մի քանի վայրկյան՝ ի տարբերություն բազմաթիվ րոպեների կամ նույնիսկ ժամերի, որոնք տևում են չգաղտնագրված սկավառակի վրա անալոգային գործողություն իրականացնելու համար և խուսափում են թանկարժեք մաքրազերծման սարքավորումների կամ ծառայությունների ծախսերից:
• Q 11.2. Ինչպե՞ս է իրականացվում անվտանգ ջնջումը:
  A 11.2: Սա GUI գործողություն է, որն իրականացվում է մեկ դրայվով:
• Հ 11.3. Ե՞րբ է սովորաբար կատարվում անվտանգ ջնջումը:
  A 11.3: Օգտատիրոջ նախաձեռնած մեկ սկավառակի անվտանգ ջնջումը հազվադեպ գործողություն է: Սա հիմնականում արվում է, երբ ցանկանում եք ֆիզիկապես հեռացնել սկավառակը փոխարինելու համար, այն տեղափոխել մեկ այլ հանգույց կամ խուսափել մոտ ապագայում ձախողումից:
• Q 11.4. Ի՞նչ սահմանափակումներ կան անվտանգ ջնջման համար:
  A 11.4: Անվտանգ ջնջման գործողությունները կարող են իրականացվել միայն այն դեպքում, եթե կլաստերը առողջ է, որպեսզի ապահովվի, որ կլաստերի անսարքության ճկունությունը չի ազդի:
• Q 11.5. Ի՞նչ է պատահում, եթե ինձ անհրաժեշտ լինի հեռացնել մի ամբողջ հանգույց:
  A 11.5: Կան հանգույցների հեռացման և փոխարինման աշխատանքային հոսքեր՝ բոլոր կրիչների անվտանգ ջնջմանը աջակցելու համար: Մանրամասների համար տես ադմինիստրատորի ուղեցույցը կամ խորհրդակցեք Cisco TAC-ի հետ:
• Q 11.6. Կարո՞ղ է անվտանգ ջնջված սկավառակը նորից օգտագործվել:
  A 11.6: Ապահով ջնջված սկավառակը կարող է կրկին օգտագործվել միայն այլ կլաստերում: SED-ի անվտանգ ջնջումը կատարվում է սկավառակի կոդավորման բանալին (DEK) սրբելով: Սկավառակի տվյալները չեն կարող վերծանվել առանց DEK-ի: Սա թույլ է տալիս նորից օգտագործել կամ ապամոնտաժել սկավառակը՝ առանց տվյալների որևէ փոխզիջման:
• Q 11.7. Ի՞նչ կլինի, եթե սկավառակը, որը ես ուզում եմ ջնջել, պարունակում է կլաստերի տվյալների վերջին հիմնական պատճենը:
  A 11.7: Սկավառակի տվյալները պետք է այլ պատճեններ ունենան կլաստերում՝ տվյալների կորստից խուսափելու համար: Այնուամենայնիվ, եթե ապահով ջնջում պահանջվի սկավառակի վրա, որը վերջին հիմնական օրինակն է, ապա այս գործողությունը կմերժվի այնքան ժամանակ, քանի դեռ կա առնվազն ևս մեկ օրինակ: Rebalance-ը պետք է կատարի այս պատճենը հետին պլանում:
• Q 11.8. Ես իսկապես պետք է ապահով կերպով ջնջեմ սկավառակը, բայց կլաստերը առողջ չէ: Ինչպե՞ս կարող եմ դա անել:
  A 11.8: Հրամանի տողը (STCLI/HXCLI) թույլ կտա անվտանգ ջնջել, երբ կլաստերը առողջ չէ, և սկավառակը չի պարունակում վերջին հիմնական պատճենը, հակառակ դեպքում այն ​​արգելված է:
• Q 11.9: Ինչպե՞ս կարող եմ ապահով կերպով ջնջել մի ամբողջ հանգույց:
  A 11.9: Սա հազվագյուտ սցենար է։ Հանգույցի բոլոր սկավառակների անվտանգ ջնջումը կատարվում է, երբ ցանկանում եք հանգույցը դուրս բերել կլաստերից: Մտադրությունն այն է, որ կա՛մ տեղակայվի հանգույցը մեկ այլ կլաստերի մեջ, կա՛մ անջատվի հանգույցը: Այս սցենարում մենք կարող ենք դասակարգել հանգույցների հեռացումը երկու տարբեր եղանակներով.
  1. Ապահով ջնջեք բոլոր սկավառակները՝ առանց կոդավորումն անջատելու
  2. Ապահով ջնջեք բոլոր սկավառակները, որին հաջորդում է այդ հանգույցի (և սկավառակների) գաղտնագրումն անջատելը: Օգնության համար դիմեք Cisco TAC-ին:

Կլաստերի անվտանգ ընդլայնում

• Q 12.1. Ինչպիսի՞ հանգույցով կարող եմ ընդլայնել կոդավորված կլաստերը:
  A 12.1: Միայն SED-ունակ հանգույցները կարող են ավելացվել SED-ներով HX կլաստերին:
• Q 12.2. Ինչպե՞ս է կառավարվում ընդլայնումը տեղական բանալիների կառավարման միջոցով:
  A 12.2: Տեղական բանալիների ընդլայնումը անխափան գործողություն է, առանց արտաքին կոնֆիգուրացիայի պահանջի:
• Q 12.3. Ինչպե՞ս է կառավարվում ընդլայնումը հեռակառավարման միջոցով:
  A 12.3: Հեռավոր բանալիների ընդլայնումը պահանջում է կողպեքի քայլ սերտիֆիկատներով/բանալինների կառավարման ենթակառուցվածքով.
  • Նոր հանգույց ապահով կերպով ավելացնելու համար պահանջվում են վկայագրեր
  • Տեղակայումը ցույց կտա նախազգուշացում՝ շարունակելու քայլերով, ներառյալ վկայագրի ներբեռնման հղումը
  • Օգտագործողը հետևում է քայլերին՝ վկայական(ներ) վերբեռնելու համար, այնուհետև նորից փորձում է տեղակայումը

Աջակցող փաստաթղթեր

Միկրոն:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Ծպտյալ ալգորիթմների ցանկը, որը հաստատվել է FIPS 140-2-ի համար. https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Նախագիծ: CSC.nuova Ապրանք՝ ucs-blade-server Բաղադրիչ՝ ucsm

SED ֆունկցիոնալ ճշգրտում.

• EDCS՝ 1574090

SED CIMC ճշգրտում.

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Փոստային ցուցակներ.

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Փաստաթղթեր / ռեսուրսներ

CISCO HyperFlex HX տվյալների հարթակ [pdfՀրահանգներ HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platform

Հղումներ

• Օգտագործողի ձեռնարկ