CISCO HyperFlex HX datu platforma

Informācija par produktu

• Produkta nosaukums: HX drošības šifrēšana
• Versija: HXDP 5.01b
• Šifrēšanas risinājums: Uz programmatūru balstīts risinājums, izmantojot Intersight Key Manager
• Šifrēšanas veids: Paššifrējošie diskdziņi (SED)
• Atbalstītie disku veidi: HDD un SSD SED no Micron
• Atbilstības standarti: FIPS 140-2 2. līmenis (disku ražotāji) un FIPS 140-2 1. līmenis (platforma)
• Klastera mēroga šifrēšana: Šifrēšana HX ir ieviesta aparatūrā miera stāvoklī esošiem datiem, tikai izmantojot SED
• Atsevišķa VM šifrēšana: To apstrādā trešās puses programmatūra, piemēram, Hytrust vai Vormetric caurspīdīgais klients
• VMware Native VM šifrēšana: Atbalsta HX lietošanai ar SED šifrēšanu
• Atslēgu pārvaldība: Katram SED tiek izmantota multivides šifrēšanas atslēga (MEK) un atslēgas šifrēšanas atslēga (KEK).
• Atmiņas lietojums: Šifrēšanas atslēgas nekad neatrodas mezgla atmiņā
• Ietekme uz veiktspēju: Diska šifrēšana/atšifrēšana tiek veikta diskdziņa aparatūrā, kopējā sistēmas veiktspēja netiek ietekmēta
• SED papildu priekšrocības:
  • Tūlītēja kriptogrāfiska dzēšana, lai samazinātu diska aiziešanas un pārdalīšanas izmaksas
  • Atbilstība valdības vai nozares noteikumiem par datu privātumu
  • Samazināts diska un mezgla zādzības risks, jo dati kļūst nelasāmi pēc aparatūras noņemšanas

Produkta lietošanas instrukcijas

Lai izmantotu HX drošības šifrēšanu, izpildiet šos norādījumus:

1. Pārliecinieties, vai jūsu sistēma atbalsta aparatūras šifrēšanu vai dodat priekšroku programmatūras risinājumam, izmantojot Intersight Key Manager.
2. Informāciju par programmatūras šifrēšanu skatiet administrācijas dokumentos vai dokumentā(-os).
3. Ja izvēlaties izmantot aparatūras šifrēšanu ar SED, pārliecinieties, vai jūsu HX klasteris sastāv no vienotiem mezgliem (SED vai ne-SED).
4. SED gadījumā ņemiet vērā, ka tiek izmantotas divas atslēgas: multivides šifrēšanas atslēga (MEK) un atslēgas šifrēšanas atslēga (KEK).
5. MEK kontrolē datu šifrēšanu un atšifrēšanu diskā, un tas ir aizsargāts un pārvaldīts aparatūrā.
6. KEK nodrošina MEK/DEK aizsardzību un tiek uzturēts vietējā vai attālā atslēgu krātuvē.
7. Neuztraucieties par to, ka atslēgas atrodas mezgla atmiņā, jo šifrēšanas atslēgas tur nekad netiek glabātas.
8. Ņemiet vērā, ka diska šifrēšana/atšifrēšana tiek veikta diskdziņa aparatūrā, nodrošinot, ka netiek ietekmēta kopējā sistēmas veiktspēja.
9. Ja jums ir noteiktas īpašas prasības atbilstības standartiem, ņemiet vērā, ka HX SED šifrētie diskdziņi atbilst FIPS 140-2 2. līmeņa standartiem no disku ražotājiem, savukārt platformas HX šifrēšana atbilst FIPS 140-2 1. līmeņa standartiem.
10. Ja nepieciešams šifrēt atsevišķas virtuālās mašīnas, apsveriet iespēju izmantot trešās puses programmatūru, piemēram, Hytrust vai Vormetric caurspīdīgo klientu. Varat arī izmantot VMware sākotnējo VM šifrēšanu, kas ieviesta versijā vSphere 3.
11. Ņemiet vērā, ka, izmantojot VM šifrēšanas klientu papildus HX SED šifrēšanai, dati tiks šifrēti dubultā.
12. Pārliecinieties, vai jūsu HX klasteris ir savienots, izmantojot uzticamus tīklus vai šifrētus tuneļus drošai replikācijai, jo HX replikācija nav šifrēta.

Bieži uzdotie jautājumi par HX drošības šifrēšanu

Sākot ar HXDP 5.01b, HyperFlex piedāvā uz programmatūras balstītu risinājumu, izmantojot Intersight Key Manager sistēmām, kas neatbalsta uz aparatūru balstītu šifrēšanu, vai lietotājiem, kuri vēlas šo funkcionalitāti, nevis aparatūras risinājumus. Šie bieži uzdotie jautājumi ir vērsti tikai uz SED balstītiem aparatūras risinājumiem HX šifrēšanai. Informāciju par programmatūras šifrēšanu skatiet administrācijas dokumentos vai dokumentā(-os).

Neobjektivitātes paziņojums
Šī produkta dokumentācijas komplekts cenšas izmantot valodu bez novirzēm. Šajā dokumentācijas komplektā neobjektivitāte ir definēta kā valoda, kas nenozīmē diskrimināciju vecuma, invaliditātes, dzimuma, rases identitātes, etniskās identitātes, seksuālās orientācijas, sociālekonomiskā statusa un intersekcionalitātes dēļ. Dokumentācijā var būt izņēmumi, jo produkta programmatūras lietotāja saskarnēs ir iekodēta valoda, valoda, kas tiek izmantota, pamatojoties uz standartu dokumentāciju, vai valoda, kuru izmanto atsauces trešās puses produkts.

Kāpēc Cisco drošībai un HX šifrēšanai 

• 1.1. jautājums: Kādi procesi tiek īstenoti drošai attīstībai?
  A 1.1: Cisco serveri ievēro Cisco Secure Development Lifecycle (CSDL):
  • Cisco nodrošina procesus, metodoloģijas un ietvarus, lai izstrādātu iegulto drošību Cisco serveros, nevis tikai pārklājumu
  • Īpaša Cisco komanda draudu modelēšanai/statiskai analīzei UCS produktu portfelī
  • Cisco Advanced Security Initiative Group (ASIG) veic proaktīvu iespiešanās testēšanu, lai saprastu, kā rodas draudi, un novērstu problēmas, uzlabojot HW un SW, izmantojot CDETS un inženieriju.
  • Īpaša Cisco komanda, lai pārbaudītu un apstrādātu izejošo ievainojamību un sazinātos kā drošības padomdevēji ar klientiem
  • Visiem pamatā esošajiem produktiem tiek piemērotas produktu drošības bāzes prasības (PSB), kas regulē Cisco produktu drošības standartus
  • Cisco veic ievainojamības/protokola robustuma pārbaudi visiem UCS laidieniem
• 1.2. jautājums: Kāpēc SED ir svarīgi?
  A 1.2: SED tiek izmantoti datu šifrēšanai miera stāvoklī, un tie ir prasība daudzām, ja ne visām, federālajām, medicīnas un finanšu iestādēm.

Vispārīga informācija Beigusiesview

• 2.1. jautājums: Kas ir SED?
  A 2.1: SED (self-Encrypting Drives) ir īpaša aparatūra, kas šifrē ienākošos datus un atšifrē izejošos datus reāllaikā.
• 2.2. jautājums. Kāds ir HX šifrēšanas apjoms?
  A 2.2: HX šifrēšana pašlaik ir ieviesta aparatūrā miera stāvoklī esošiem datiem, tikai izmantojot šifrētus diskus (SED). HX šifrēšana ir klastera mēroga. Atsevišķu virtuālās mašīnas šifrēšanu apstrādā trešās puses programmatūra, piemēram, Hytrust vai Vormetric caurspīdīgais klients, un uz to neattiecas HX pienākumi. HX atbalsta arī VMware sākotnējās VM šifrēšanas izmantošanu, kas ieviesta versijā vSphere 3. VM šifrēšanas klienta izmantošana papildus šifrēšanai, kuras pamatā ir HX SED, nodrošinās datu dubulto šifrēšanu. HX replikācija nav šifrēta un balstās uz uzticamiem tīkliem vai šifrētiem tuneļiem, ko izvietojis gala lietotājs.
• 2.3. jautājums: Kādi atbilstības standarti atbilst HX šifrēšanai?
  A 2.3: HX SED šifrētie diskdziņi atbilst FIPS 140-2 2. līmeņa standartiem no disku ražotājiem. HX šifrēšana platformā atbilst FIPS 140-2 1. līmeņa standartiem.
• 2.4. jautājums: Vai šifrēšanai mēs atbalstām gan HDD, gan SSD?
  A 2.4: Jā, mēs atbalstām gan HDD, gan SSD SED no Micron.
• 2.5. jautājums: Vai HX klasterim vienlaikus var būt šifrēti un nešifrēti diskdziņi?
  A 2.5: Visiem mezgliem klasterī jābūt vienādiem (SED vai ne-SED)
• 2.6. jautājums: Kādas atslēgas tiek izmantotas SED un kā tās tiek izmantotas?
  A 2.6: Katram SED tiek izmantotas divas atslēgas. Multivides šifrēšanas atslēga (MEK), ko sauc arī par diska šifrēšanas atslēgu (DEK), kontrolē diskā esošo datu šifrēšanu un atšifrēšanu, un tā ir aizsargāta un pārvaldīta aparatūrā. Atslēgas šifrēšanas atslēga (KEK) nodrošina DEK/MEK aizsardzību un tiek uzturēta vietējā vai attālā atslēgu krātuvē.
• 2.7. jautājums: vai atslēgas kādreiz atrodas atmiņā?
  A 2.7: Šifrēšanas atslēgas nekad neatrodas mezgla atmiņā
• 2.8. jautājums. Kā veiktspēju ietekmē šifrēšanas/atšifrēšanas process?
  A 2.8: Diska šifrēšana/atšifrēšana tiek veikta diska aparatūrā. Sistēmas vispārējā veiktspēja netiek ietekmēta, un tā nav pakļauta uzbrukumiem, kas vērsti pret citiem sistēmas komponentiem
• 2.9. jautājums. Kādi citi iemesli ir SED izmantošanai, izņemot šifrēšanu miera stāvoklī?
  A 2.9: SED var samazināt piedziņas pensionēšanās un pārcelšanas izmaksas, izmantojot tūlītēju kriptogrāfisku dzēšanu. Tie arī kalpo, lai atbilstu valdības vai nozares noteikumiem par datu privātumu. Vēl viens advanstage ir samazināts diska un mezgla zādzības risks, jo dati pēc aparatūras noņemšanas no ekosistēmas nav nolasāmi.
• 2.10. jautājums. Kas notiek ar dublēšanas atcelšanu un saspiešanu ar SED? Kas notiek ar trešās puses programmatūras šifrēšanu?
  A2.10: Dedublikācija un saspiešana ar SED uz HX tiek uzturēta, jo miera stāvoklī esošo datu šifrēšana notiek kā pēdējais rakstīšanas procesa solis. Deduplikācija un saspiešana jau ir notikusi. Izmantojot trešās puses programmatūras šifrēšanas produktus, virtuālās mašīnas pārvalda savu šifrēšanu un nodod šifrētus ierakstus hipervizoram un pēc tam HX. Tā kā šie raksti jau ir šifrēti, tie netiek dedublēti vai saspiesti. HX Software Based Encryption (3.x koda rindā) būs programmatūras šifrēšanas risinājums, kas tiek ieviests stekā pēc rakstīšanas optimizācijas (dedublikācijas un saspiešanas), tāpēc ieguvums šajā gadījumā tiks saglabāts.

Zemāk redzamais skaitlis ir beidziesview par SED ieviešanu ar HX.

Sīkāka informācija par disku 

• 3.1. jautājums: Kas ražo šifrētos diskus, kas tiek izmantoti HX?
  A 3.1: HX izmanto Micron ražotos diskus: Micron specifiskie dokumenti ir norādīti šo FAQ apliecinošo dokumentu sadaļā.
• 3.2. jautājums: Vai mēs atbalstām kādus SED, kas nav saderīgi ar FIPS?
  A 3.2: Mēs atbalstām arī dažus diskus, kas nav FIPS, bet atbalsta SED (TCGE).
• 3.3. jautājums: Kas ir TCG?
  A 3.3: TCG ir Trusted Computing Group, kas izveido un pārvalda specifikāciju standartu šifrētu datu glabāšanai
• 3.4. jautājums. Kas tiek uzskatīts par uzņēmuma klases drošību, ja runa ir par SAS SSD datu centram? Kādas īpašas funkcijas ir šiem diskdziņiem, kas nodrošina drošību un aizsargā pret uzbrukumiem?
  A 3.4: Šajā sarakstā ir apkopotas HX izmantoto SED uzņēmuma klases funkcijas un to saistība ar TCG standartu.
  1. Paššifrējošie diskdziņi (SED) nodrošina spēcīgu datu drošību, kas atrodas jūsu SED, novēršot nesankcionētu piekļuvi datiem. Trusted Computing Group (TCG) ir izstrādājusi sarakstu ar paššifrējošo disku funkcijām un priekšrocībām gan HDD, gan SSD. TCG nodrošina standartu, ko sauc par TCG Enterprise SSC (drošības apakšsistēmas klasi), un tas ir vērsts uz datiem miera stāvoklī. Tā ir prasība visiem SED. Specifikācijas attiecas uz datu glabāšanas ierīcēm un kontrolieriem, kas darbojas uzņēmuma krātuvē. Sarakstā ietilpst:
     • Pārredzamība: Nav nepieciešamas sistēmas vai lietojumprogrammu izmaiņas; šifrēšanas atslēga, ko ģenerē pats disks, izmantojot iebūvētu patieso nejaušo skaitļu ģeneratoru; disks vienmēr tiek šifrēts.
     • Pārvaldības vienkāršība: Nav pārvaldāmas šifrēšanas atslēgas; programmatūras pārdevēji izmanto standartizētu saskarni, lai pārvaldītu SED, tostarp attālo pārvaldību, pirmssāknēšanas autentifikāciju un paroles atkopšanu
     • Apglabāšanas vai atkārtotas izmantošanas izmaksas: Izmantojot SED, izdzēsiet iebūvēto šifrēšanas atslēgu
     • Atkārtota šifrēšana: Izmantojot SED, nav vajadzības atkārtoti šifrēt datus
     • Veiktspēja: Nav SED veiktspējas pasliktināšanās; aparatūras bāzes
     • Standartizācija: Visa piedziņas nozare attīstās atbilstoši TCG/SED specifikācijām
     • Vienkāršoti: Nav iejaukšanās augšupējos procesos
  2. SSD SED nodrošina iespēju kriptogrāfiski dzēst disku. Tas nozīmē, ka uz diskdzini var nosūtīt vienkāršu autentificētu komandu, lai mainītu diskā saglabāto 256 bitu šifrēšanas atslēgu. Tas nodrošina, ka disks tiek notīrīts un nav palikuši dati. Pat sākotnējā resursdatora sistēma nevar nolasīt datus, tāpēc tos nevarēs nolasīt neviena cita sistēma. Darbība aizņem tikai dažas sekundes, pretstatā daudzām minūtēm vai pat stundām, kas nepieciešamas, lai veiktu analoģisku darbību ar nešifrētu HDD, un tas ļauj izvairīties no dārga HDD atgaisošanas aprīkojuma vai pakalpojumu izmaksām.
  3. FIPS (federālais informācijas apstrādes standarts) 140-2 ir ASV valdības standarts, kurā aprakstītas šifrēšanas un ar to saistītās drošības prasības, kurām IT produktiem jāatbilst sensitīvai, bet neklasificētai lietošanai. Tā bieži ir prasība arī valsts aģentūrām un uzņēmumiem finanšu pakalpojumu un veselības aprūpes nozarēs. SSD, kas ir validēts FIPS-140-2, izmanto spēcīgu drošības praksi, tostarp apstiprinātus šifrēšanas algoritmus. Tas arī nosaka, kā personām vai citiem procesiem ir jābūt autorizētiem, lai izmantotu produktu, un kā moduļiem vai komponentiem jābūt izstrādātiem, lai tie droši mijiedarbotos ar citām sistēmām. Faktiski viena no FIPS-140-2 apstiprināta SSD diskdziņa prasībām ir tāda, ka tas ir SED. Ņemiet vērā: lai gan TCG nav vienīgais veids, kā iegūt sertificētu šifrētu disku, TCG Opal un Enterprise SSC specifikācijas ir atspēriena punkts FIPS validācijai. 4. Vēl viena būtiska funkcija ir drošas lejupielādes un diagnostika. Šī programmaparatūras funkcija aizsargā disku no programmatūras uzbrukumiem, izmantojot ciparparakstu, kas ir iebūvēts programmaparatūrā. Ja ir nepieciešama lejupielāde, ciparparaksts novērš nesankcionētu piekļuvi diskam, novēršot viltotas programmaparatūras ielādi diskdzinī.

Hyperflex instalēšana ar SED

• 4.1. jautājums: Kā instalētājs rīkojas ar SED izvietošanu? Vai ir kādas īpašas pārbaudes?
  A 4.1: Instalēšanas programma sazinās ar UCSM un nodrošina, ka sistēmas programmaparatūra ir pareiza un tiek atbalstīta noteiktajai aparatūrai. Šifrēšanas saderība tiek pārbaudīta un ieviesta (piemēram, netiek sajaukts SED un ne-SED).
• 4.2. jautājums: vai izvietošana citādi atšķiras?
  A 4.2: Instalēšana ir līdzīga parastajai HX instalēšanai, taču pielāgotā darbplūsma netiek atbalstīta SED. Šai darbībai ir nepieciešami UCSM akreditācijas dati arī SED.
• 4.3. jautājums: Kā licencēšana darbojas ar šifrēšanu? Vai ir kaut kas papildus, kam jābūt vietā?
  A 4.3: SED aparatūra (pasūtīta no rūpnīcas, nevis modernizēta) + HXDP 2.5 + UCSM (3.1(3x)) ir vienīgās lietas, kas nepieciešamas, lai iespējotu šifrēšanu ar atslēgu pārvaldību. 2.5 laidienā nav nepieciešama papildu licencēšana ārpus pamata HXDP abonementa.
• 4.4. jautājums: Kas notiek, ja man ir SED sistēma, kurai ir diskdziņi, kas vairs nav pieejami? Kā es varu paplašināt šo kopu?
  A 4.4: Ikreiz, kad no mūsu piegādātājiem ir beidzies PID, mums ir rezerves PID, kas ir saderīgs ar veco PID. Šo aizstājēju PID var izmantot RMA, paplašināšanai mezglā un klastera paplašināšanai (ar jauniem mezgliem). Visas metodes tiek atbalstītas, taču var būt nepieciešama jaunināšana uz konkrētu laidienu, kas ir norādīts arī pārejas piezīmēs par laidienu.

Atslēgu pārvaldība

• 5.1. jautājums: Kas ir atslēgu pārvaldība?
  A 5.1: Atslēgu pārvaldība ir uzdevumi, kas saistīti ar šifrēšanas atslēgu aizsardzību, uzglabāšanu, dublēšanu un organizēšanu. HX to ievieš uz UCSM orientētā politikā.
• 5.2. jautājums: Kāds mehānisms nodrošina atslēgas konfigurācijas atbalstu?
  A 5.2: UCSM nodrošina atbalstu drošības atslēgu konfigurēšanai.
• 5.3. jautājums. Kāda veida atslēgu pārvaldība ir pieejama?
  A 5.3: Tiek atbalstīta lokālā atslēgu pārvaldība, kā arī uzņēmuma klases attālā atslēgu pārvaldība ar trešās puses atslēgu pārvaldības serveriem.
• 5.4. jautājums: Kas ir attālās atslēgas pārvaldības partneri?
  A 5.4: Pašlaik mēs atbalstām Vormetric un Gemalto (Safenet) un ietver augstu pieejamību (HA). HyTrust tiek testēts.
• 5.5. jautājums: Kā tiek īstenota attālā atslēgas pārvaldība?
  A 5.5: Attālā atslēgas pārvaldība tiek veikta, izmantojot KMIP 1.1.
• 5.6. jautājums: Kā tiek konfigurēta vietējā pārvaldība?
  A 5.6: Drošības atslēgu (KEK) konfigurē HX Connect tieši lietotājs.
• 5.7. jautājums: Kā tiek konfigurēta attālā pārvaldība?
  A 5.7: Attālās atslēgas pārvaldības (KMIP) servera adreses informāciju kopā ar pieteikšanās akreditācijas datiem HX Connect konfigurē lietotājs.
• 5.8. jautājums. Kura HX daļa sazinās ar KMIP serveri konfigurēšanai?
  A 5.8: Katra mezgla CIMC izmanto šo informāciju, lai izveidotu savienojumu ar KMIP serveri un no tā izgūtu drošības atslēgu (KEK).
  
• 5.9. jautājums. Kādi sertifikātu veidi tiek atbalstīti atslēgu ģenerēšanas/izgūšanas/atjaunināšanas procesā?
  A 5.9: Tiek atbalstīti gan CA parakstīti, gan pašparakstīti sertifikāti.
  
• 5.10. jautājums. Kādas darbplūsmas tiek atbalstītas šifrēšanas procesā?
  A 5.10: Aizsargāt/noņemt aizsardzību, izmantojot pielāgotu paroli, tiek atbalstīta, kā arī vietējās uz attālās atslēgas pārvaldības pārveidošanu. Tiek atbalstītas atslēgas atkārtotas darbības. Tiek atbalstīta arī droša diska dzēšanas darbība.
  

Lietotāja darbplūsma: lokāla

• 6.1. jautājums: kur HX Connect var iestatīt vietējo atslēgu pārvaldību?
  A 6.1: Šifrēšanas informācijas panelī atlasiet konfigurēšanas pogu un izpildiet vedņa norādījumus.
• 6.2. jautājums: kam man ir jābūt gatavam darbam, lai to sāktu?
  A 6.2: Jums būs jānorāda 32 rakstzīmju drošības ieejas frāze.
• 6.3. jautājums: Kas notiek, ja man ir jāievieto jauns SED?
  A 6.3: UCSM jums būs jārediģē vietējā drošības politika un jāiestata izvietotā atslēga uz esošo mezgla atslēgu.
• 6.4. jautājums: Kas notiek, ievietojot jauno disku?
  A 6.4: Ja diskā esošā drošības atslēga atbilst servera (mezgla) drošības atslēgai, tā tiek automātiski atbloķēta. Ja drošības atslēgas atšķiras, disks tiks parādīts kā “Bloķēts”. Varat vai nu notīrīt disku, lai dzēstu visus datus, vai atbloķēt to, norādot pareizo atslēgu. Šis ir labs laiks, lai iesaistītos KPN.

Lietotāja darbplūsma: attālināta

• 7.1. jautājums: Kas ir dažas lietas, kurām man ir jāuzmanās, izmantojot attālās atslēgas pārvaldības konfigurāciju?
  A 7.1: Saziņa starp klasteru un KMIP serveri(-iem) notiek, izmantojot CIMC katrā mezglā. Tas nozīmē, ka resursdatora nosaukumu var izmantot KMIP serverim tikai tad, ja CIMC pārvaldībā ir konfigurēta Inband IP adrese un DNS.
• 7.2. jautājums: Kas notiek, ja man ir jānomaina vai jāievieto jauns SED?
  A 7.2: Klasteris nolasīs identifikatoru no diska un mēģinās to automātiski atbloķēt. Ja automātiskā atbloķēšana neizdodas, disks tiek parādīts kā “bloķēts”, un lietotājam disks ir jāatbloķē manuāli. Jums būs jākopē sertifikāti uz KMIP serveri, lai veiktu akreditācijas datu apmaiņu.
• 7.3. jautājums: Kā kopēt sertifikātus no klastera uz KMIP serveri(-iem)?
  A 7.3: Ir divi veidi, kā to izdarīt. Varat kopēt sertifikātu no BMC uz KMIP serveri tieši vai arī varat izmantot CSR, lai iegūtu CA parakstītu sertifikātu un kopētu CA parakstīto sertifikātu BMC, izmantojot UCSM komandas.
• 7.4. jautājums. Kādi apsvērumi ir jāņem vērā, pievienojot šifrētus mezglus klasterim, kas izmanto attālo atslēgu pārvaldību?
  A 7.4: Pievienojot jaunus saimniekdatorus KMIP serverim(-iem), izmantotajam saimniekdatora nosaukumam ir jābūt servera sērijas numuram. Lai iegūtu KMIP servera sertifikātu, varat izmantot pārlūkprogrammu, lai iegūtu KMIP servera(-u) saknes sertifikātu.

Lietotāja darbplūsma: Vispārīgi

• 8.1. jautājums: Kā izdzēst disku?
  A 8.1: HX Connect informācijas panelī atlasiet sistēmas informāciju view. No turienes varat izvēlēties atsevišķus diskus drošai dzēšanai.
• 8.2. jautājums: Ko darīt, ja nejauši izdzēsu disku?
  A 8.2: Kad tiek izmantota droša dzēšana, dati tiek neatgriezeniski iznīcināti
• 8.3. jautājums: Kas notiek, ja vēlos pārtraukt mezgla darbību vai atdalīt pakalpojumu profile?
  A 8.3: Neviena no šīm darbībām nenoņems diska/kontrollera šifrēšanu.
• 8.4. jautājums: Kā tiek atspējota šifrēšana?
  A 8.4: Lietotājam HX Connect ir skaidri jāatspējo šifrēšana. Ja lietotājs mēģina dzēst drošības politiku UCSM, kad saistītais serveris ir aizsargāts, UCSM parādīs konfigurācijas kļūmi un atļaus darbību. Vispirms ir jāatspējo drošības politika.

Lietotāja darbplūsma: sertifikātu pārvaldība

• 9.1. jautājums: Kā tiek apstrādāti sertifikāti attālās pārvaldības iestatīšanas laikā?
  A 9.1: Sertifikāti tiek izveidoti, izmantojot HX Connect un attālo(-s) KMIP serveri(-s). Pēc izveides sertifikāti gandrīz nekad netiks dzēsti.
• 9.2. jautājums: Kāda veida sertifikātus es varu izmantot?
  A 9.2: Varat izmantot pašparakstītus sertifikātus vai CA sertifikātus. Jums ir jāizvēlas iestatīšanas laikā. CA parakstītiem sertifikātiem jūs izveidosit sertifikātu parakstīšanas pieprasījumu (CSR) kopu. Parakstītie sertifikāti tiek augšupielādēti KMIP serverī(-os).
• 9.3. jautājums: Kāds resursdatora nosaukums jāizmanto, ģenerējot sertifikātus?
  A 9.3: Sertifikāta ģenerēšanai izmantotajam saimniekdatora nosaukumam ir jābūt servera sērijas numuram.

Programmaparatūras atjauninājumi

• 10.1. jautājums: vai ir kādi ierobežojumi diska programmaparatūras jaunināšanai?
  A 10.1: Ja tiek atklāts diskdzinis ar šifrēšanu, diska programmaparatūras izmaiņas šim diskam netiks atļautas.
• 10.2. jautājums: vai ir kādi ierobežojumi UCSM programmaparatūras jaunināšanai?
  A 10.2: UCSM/CIMC pazemināšana uz iepriekšējo versiju UCSM 3.1(3x) ir ierobežota, ja ir drošā stāvoklī esošs kontrolleris.

Drošas dzēšanas detaļas

• 11.1. jautājums: Kas ir drošā dzēšana?
  A 11.1: Drošā dzēšana ir tūlītēja datu dzēšana diskdzinī (diska šifrēšanas atslēgas dzēšana). Tas nozīmē, ka uz diskdzini var nosūtīt vienkāršu autentificētu komandu, lai mainītu diskā saglabāto 256 bitu šifrēšanas atslēgu. Tas nodrošina, ka disks tiek notīrīts un nav palikuši dati. Pat sākotnējā resursdatora sistēma nevar nolasīt datus, tāpēc tos nevarēs nolasīt neviena cita sistēma. Darbība aizņem tikai dažas sekundes, pretstatā daudzām minūtēm vai pat stundām, kas nepieciešamas, lai veiktu analoģisku darbību nešifrētā diskā, un tas ļauj izvairīties no dārgu degausēšanas iekārtu vai pakalpojumu izmaksām.
• 11.2. jautājums: Kā tiek veikta drošā dzēšana?
  A 11.2: Šī ir GUI darbība, kas tiek veikta vienā diskā vienlaikus.
• 11.3. jautājums: Kad parasti tiek veikta drošā dzēšana?
  A 11.3: Lietotāja iniciēta viena diska droša dzēšana ir reta darbība. Tas galvenokārt tiek darīts, ja vēlaties fiziski noņemt disku nomaiņai, pārsūtīt to uz citu mezglu vai izvairīties no kļūmes tuvākajā nākotnē.
• 11.4. jautājums. Kādi ierobežojumi pastāv drošai dzēšanai?
  A 11.4: Drošas dzēšanas darbības var veikt tikai tad, ja klasteris ir veselīgs, lai nodrošinātu, ka netiek ietekmēta klastera kļūdu noturība.
• 11.5. jautājums: Kas notiek, ja man ir jānoņem viss mezgls?
  A 11.5: Ir mezglu noņemšanas un mezgla aizstāšanas darbplūsmas, lai atbalstītu visu disku drošu dzēšanu. Detalizētu informāciju skatiet administratora rokasgrāmatā vai sazinieties ar Cisco TAC.
• 11.6. jautājums: vai droši izdzēstu disku var izmantot atkārtoti?
  A 11.6: Droši izdzēstu disku var atkārtoti izmantot tikai citā klasterī. SED drošā dzēšana tiek veikta, noslaukot diska šifrēšanas atslēgu (DEK). Diskā esošos datus nevar atšifrēt bez DEK. Tas ļauj atkārtoti izmantot vai demontēt disku, neapdraudot datus.
• 11.7. jautājums: Kas notiek, ja diskā, kuru vēlos dzēst, ir pēdējā klastera datu primārā kopija?
  A 11.7: Lai izvairītos no datu zuduma, diskā esošajiem datiem klasterī jābūt citām kopijām. Tomēr, ja diskā, kas ir pēdējā primārā kopija, tiek pieprasīta droša dzēšana, šī darbība tiks noraidīta, līdz būs pieejama vēl vismaz viena kopija. Līdzsvara atjaunošanai vajadzētu izveidot šo kopiju fonā.
• 11.8. jautājums: Man patiešām ir droši jāizdzēš disks, taču kopa nav veselīga. Kā es to varu izdarīt?
  A 11.8: Komandrinda (STCLI/HXCLI) ļaus droši dzēst, ja klasteris nav veselīgs un diskā nav pēdējās primārās kopijas, pretējā gadījumā tas nav atļauts.
• 11.9. jautājums: Kā es varu droši izdzēst visu mezglu?
  A 11.9: Tas ir rets scenārijs. Droša visu mezglā esošo disku dzēšana tiek veikta, kad mezglu vēlas izņemt no klastera. Nolūks ir vai nu izvietot mezglu citā klasterī, vai arī demontēt mezglu. Mēs varam klasificēt mezglu noņemšanu šajā scenārijā divos dažādos veidos:
  1. Droši dzēsiet visus diskus, neatspējojot šifrēšanu
  2. Droši dzēsiet visus diskus un pēc tam atspējojiet šī mezgla (un disku) šifrēšanu. Lūdzu, sazinieties ar Cisco TAC, lai saņemtu palīdzību.

Droša klastera paplašināšana

• 12.1. jautājums: ar kādu mezglu es varu paplašināt šifrētu kopu?
  A 12.1: HX klasterim ar SED var pievienot tikai SED spējīgus mezglus.
• 12.2. jautājums: Kā tiek veikta paplašināšana, izmantojot vietējo atslēgu pārvaldību?
  A 12.2: Vietējās atslēgas paplašināšana ir nevainojama darbība, kurai nav nepieciešama ārēja konfigurācija.
• 12.3. jautājums: Kā tiek veikta paplašināšana ar attālo atslēgu pārvaldību?
  A 12.3: Attālinātai atslēgas paplašināšanai ir nepieciešams lockstep ar sertifikātiem/atslēgu pārvaldības infrastruktūru:
  • Lai droši pievienotu jaunu mezglu, ir nepieciešami sertifikāti
  • Izvietošanā tiks parādīts brīdinājums ar darbībām, kas jāveic, tostarp saite sertifikāta lejupielādei
  • Lietotājs veic darbības, lai augšupielādētu sertifikātu(-us), un pēc tam atkārtoti mēģina veikt izvietošanu

Apliecinošie dokumenti

Mikrons:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• FIPS 140-2 apstiprināto šifrēšanas algoritmu saraksts: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Projekts: CSC.nuova Produkts: ucs-blade-server Sastāvdaļa: ucsm

SED funkcionālā specifikācija:

• EDCS: 1574090

SED CIMC specifikācija:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Adresātu saraksti:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Dokumenti / Resursi

CISCO HyperFlex HX datu platforma [pdfNorādījumi HyperFlex HX datu platforma, HyperFlex, HX datu platforma, datu platforma, platforma

Atsauces

• Lietotāja rokasgrāmata