CISCO HyperFlex HX Data Platform

Product Information

• Anaran'ny vokatra: HX Security Encryption
• Version: HXDP 5.01b
• Vahaolana encryption: Vahaolana mifototra amin'ny rindrambaiko mampiasa Intersight Key Manager
• Karazana fanafenana: Drive Self Encrypting (SED)
• Karazana fiara tohanana: HDD sy SSD SED avy amin'ny Micron
• Fenitry ny fanarahan-dalàna: FIPS 140-2 ambaratonga 2 (mpanamboatra fiara) ary FIPS 140-2 ambaratonga 1 (sehatra)
• Fanaovana encryption miparitaka: Ny encryption amin'ny HX dia ampiharina amin'ny fitaovana ho an'ny angona miala sasatra amin'ny fampiasana SED
• Encryption VM tsirairay: Nokarakarain'ny rindrambaikon'ny antoko faha-3 toy ny mpanjifa mangarahara Hytrust na Vormetric
• VMware Native VM Encryption: Tohanan'ny HX ampiasaina amin'ny fanafenana SED
• Fitantanana fototra: Ny Key Encryption Key (MEK) sy ny Key Encryption Key (KEK) dia ampiasaina ho an'ny SED tsirairay
• Fampiasana fitadidiana: Ny fanalahidin'ny encryption dia tsy misy na oviana na oviana ao amin'ny fahatsiarovana node
• Fiantraikan'ny fahombiazana: Ny encryption/decryption kapila dia karakaraina ao amin'ny hardware drive, tsy misy fiantraikany amin'ny fahombiazan'ny rafitra
• Tombontsoa fanampiny amin'ny SED:
  • Famafana kriptografika eo noho eo ho an'ny fampihenana ny fisotroan-dronono sy ny fandaniana amin'ny fametrahana indray
  • Ny fanarahana ny fitsipiky ny governemanta na ny indostria momba ny tsiambaratelon'ny angona
  • Nihena ny mety hisian'ny halatra kapila sy halatra node satria lasa tsy azo vakina ny angona rehefa nesorina ny fitaovana

Torolàlana momba ny fampiasana vokatra

Raha hampiasa ny HX Security Encryption dia araho ireto torolalana ireto:

1. Ataovy azo antoka fa ny rafitrao dia manohana ny encryption mifototra amin'ny hardware na tianao kokoa ny vahaolana mifototra amin'ny rindrambaiko mampiasa Intersight Key Manager.
2. Jereo ny antontan-taratasim-pitantanana na taratasy fotsy raha mila fanazavana momba ny encryption mifototra amin'ny rindrambaiko.
3. Raha misafidy ny hampiasa encryption mifototra amin'ny fitaovana miaraka amin'ny SEDs ianao, dia ataovy izay hahazoana antoka fa ny cluster HX dia misy node fanamiana (SED na tsy SED).
4. Ho an'ny SED, fantaro fa misy fanalahidy roa ampiasaina: ny Media Encryption Key (MEK) sy ny Key Encryption Key (KEK).
5. Ny MEK dia manara-maso ny fanafenana sy ny famadihana ny angon-drakitra amin'ny kapila ary azo antoka sy tantana amin'ny fitaovana.
6. Ny KEK dia miantoka ny MEK/DEK ary voatahiry ao amin'ny fivarotana keystore eo an-toerana na lavitra.
7. Aza manahy ny amin'ny fanalahidin'ny fitadidiana node, satria tsy voatahiry ao mihitsy ny fanalahidin'ny encryption.
8. Mariho fa ny encryption/decryption kapila dia karakaraina ao amin'ny hardware drive, miantoka fa tsy misy fiantraikany amin'ny fahombiazan'ny rafitra.
9. Raha manana fepetra manokana momba ny fenitry ny fanarahan-dalàna ianao, dia tadidio fa mahafeno ny fenitr'i FIPS 140-2 level 2 ny drive encryption HX SED avy amin'ny mpanamboatra fiara, raha toa kosa ny HX Encryption eo amin'ny lampihazo dia mahafeno ny fenitra FIPS 140-2 level 1.
10. Raha mila manisy encryption ny VM tsirairay ianao dia eritrereto ny mampiasa rindrambaikon'ny antoko faha-3 toy ny mpanjifa mangarahara Hytrust na Vormetric. Raha tsy izany, azonao ampiasaina ny encryption VM teratany VMware nampidirina tao amin'ny vSphere 6.5.
11. Ataovy ao an-tsaina fa ny fampiasana mpanjifa fanafenana VM eo an-tampon'ny fanafenana mifototra amin'ny HX SED dia hiteraka fanafenana indroa ny angon-drakitra.
12. Ataovy azo antoka fa mifandray amin'ny alalan'ny tambajotra azo itokisana na tonelina voafefy ny cluster HX-nao mba hahazoana kopia azo antoka, satria tsy voafefy ny replication HX.

HX Security Encryption FAQ

Amin'ny HXDP 5.01b, HyperFlex dia manolotra vahaolana mifototra amin'ny rindrambaiko mampiasa Intersight Key Manager ho an'ny rafitra izay tsy manohana ny encryption mifototra amin'ny hardware na ho an'ireo mpampiasa maniry an'io fampiasa io amin'ny vahaolana hardware. Ity FAQ ity dia mifantoka amin'ny vahaolana hardware mifototra amin'ny SED ho an'ny encryption HX. Jereo ny antontan-taratasim-pitantanana na taratasy fotsy ho an'ny fampahalalana momba ny encryption mifototra amin'ny rindrambaiko.

Fanambarana mitongilana
Ny antontan-taratasy napetraka ho an'ity vokatra ity dia miezaka mampiasa fiteny tsy misy fitongilanana. Ho an'ny tanjona amin'ity antontan-taratasy ity, ny tsy fitongilanana dia faritana ho fiteny tsy milaza fanavakavahana mifototra amin'ny taona, ny fahasembanana, ny maha-lahy na maha-vavy, ny maha-olona ara-poko, ny maha-lahy sy ny maha-vavy, ny fironana ara-pananahana, ny sata ara-tsosialy ara-toekarena ary ny fifampizarana. Mety hisy ny fanavahana amin'ny antontan-taratasy noho ny fiteny voadika mafy ao amin'ny fifandraisan'ny mpampiasa ny rindrambaiko vokatra, ny fiteny ampiasaina mifototra amin'ny antontan-taratasy manara-penitra, na ny fiteny ampiasain'ny vokatra avy amin'ny antoko fahatelo voalaza.

Nahoana no Cisco ho an'ny fiarovana sy HX Encryption 

• F 1.1: Inona no dingana apetraka ho an'ny fampandrosoana azo antoka?
  A 1.1: Ny mpizara Cisco dia manaraka ny Cisco Secure Development Lifecycle (CSDL):
  • Ny Cisco dia manome dingana, fomba fiasa, rafitra mba hampivelatra ny fiarovana napetraka amin'ny mpizara Cisco, fa tsy overlay fotsiny
  • Ekipa Cisco natokana ho an'ny fandrahonana modely / famakafakana static amin'ny UCS Product Portfolio
  • Ny Cisco Advanced Security Initiative Group (ASIG) dia manao fitiliana fidirana mavitrika mba hahafantarana ny fomba hidiran'ny fandrahonana sy hamahana olana amin'ny alàlan'ny fanatsarana ny HW & SW amin'ny alàlan'ny CDETS sy ny injeniera.
  • Ekipa Cisco natokana hitsapana sy hiatrehana ny vulnerable any ivelany ary hifampiresaka ho mpanolotsaina momba ny fiarovana amin'ny mpanjifa
  • Ny vokatra fototra rehetra dia mandalo amin'ny fepetra fototra momba ny fiarovana ny vokatra (PSB) izay mifehy ny fenitry ny fiarovana ny vokatra Cisco
  • Ny Cisco dia manao fitiliana vulnerability/protocol amin'ny famoahana UCS rehetra
• F 1.2: Nahoana no zava-dehibe ny SED?
  A 1.2: Ny SED dia ampiasaina amin'ny fanafenana data-at-rest ary takiana ho an'ny maro, raha tsy izy rehetra, federaly, fitsaboana ary andrim-panjakana.

Fampahalalana ankapobeny Overview

• F 2.1: Inona ny SEDs?
  A 2.1: SED (Self-Encrypting Drives) dia manana fitaovana manokana manidy ny angon-drakitra miditra ary manala ny angona mivoaka amin'ny fotoana tena izy.
• F 2.2: Inona ny sahan'ny encryption amin'ny HX?
  A 2.2: Ny encryption amin'ny HX dia ampiharina amin'izao fotoana izao amin'ny fitaovana ho an'ny angon-drakitra amin'ny fitsaharana raha tsy amin'ny alàlan'ny drive encrypted (SEDs). Ny encryption HX dia miparitaka amin'ny cluster. Ny encryption VM tsirairay dia karakarain'ny rindrambaikon'ny antoko faha-3 toy ny mpanjifa mangarahara Hytrust na Vormetric ary ivelan'ny andraikitry ny HX. HX koa dia manohana ny fampiasana ny encryption VM teratany VMware nampidirina tao amin'ny vSphere 6.5. Ny fampiasana mpanjifa fanafenana VM eo an-tampon'ny encryption mifototra amin'ny HX SED dia hiteraka fanafenana indroa ny angon-drakitra. Ny replication HX dia tsy misy encryption ary miantehitra amin'ny tambajotra azo itokisana na tonelina miafina napetraky ny mpampiasa farany.
• F 2.3: Inona no fenitra mifanaraka amin'ny HX encryption?
  A 2.3: HX SED encrypted drive dia mahafeno ny fenitra FIPS 140-2 level 2 avy amin'ny mpanamboatra fiara. HX Encryption eo amin'ny lampihazo dia mahafeno ny fenitra FIPS 140-2 ambaratonga 1.
• Q 2.4: Manohana HDD sy SSD ve isika amin'ny fanafenana?
  A 2.4: Eny, manohana ny HDD sy SSD SED avy amin'ny Micron izahay.
• F 2.5: Afaka manana fiara encrypted sy tsy misy encryption ve ny cluster HX amin'ny fotoana iray?
  A 2.5: Ny node rehetra ao anaty cluster dia tsy maintsy mitovitovy (SED na tsy SED)
• F 2.6: Inona no fanalahidy ampiasaina amin'ny SED ary ahoana no ampiasana azy?
  A 2.6: Misy fanalahidy roa ampiasaina ho an'ny SED tsirairay. Ny Media Encryption Key (MEK) antsoina koa hoe Disk Encryption Key (DEK), dia manara-maso ny fanafenana sy ny decryption ny angon-drakitra ao amin'ny kapila ary azo antoka sy tantana amin'ny fitaovana. Ny Key Encryption Key (KEK) dia miantoka ny DEK/MEK ary voatahiry ao amin'ny fivarotana fanalahidy eo an-toerana na lavitra.
• F 2.7: Misy foana ve ny fanalahidy?
  A 2.7: Ny fanalahidin'ny encryption dia tsy misy na oviana na oviana ao amin'ny fahatsiarovana node
• F 2.8: Ahoana no fiantraikan'ny fampandehanana ny fizotran'ny encryption/decryption?
  A 2.8: Ny encryption/decryption kapila dia karakaraina ao amin'ny hardware drive. Tsy misy fiantraikany amin'ny fahombiazan'ny rafitra manontolo ary tsy iharan'ny fanafihana mikendry ny singa hafa amin'ny rafitra
• F 2.9: Ankoatra ny fanafenana amin'ny fialan-tsasatra, inona no antony hafa hampiasana SEDs?
  A 2.9: Ny SED dia afaka mampihena ny fisotroan-dronono sy ny fandaniana amin'ny alàlan'ny famafana kriptografika eo noho eo. Izy ireo koa dia manaja ny fitsipiky ny governemanta na ny indostria momba ny tsiambaratelon'ny data. Advan iray hafatage dia ny fihenan'ny risika amin'ny halatra kapila sy ny halatra node satria tsy azo vakina ny angon-drakitra, rehefa nesorina tao amin'ny tontolo iainana ny fitaovana.
• Q2.10: Inona no mitranga amin'ny deduplication sy ny fanerena amin'ny SEDs? Inona no mitranga amin'ny encryption mifototra amin'ny rindrambaiko an'ny antoko fahatelo?
  A2.10: Ny deduplication sy ny fanerena miaraka amin'ny SEDs amin'ny HX dia tazonina hatramin'ny nisian'ny angon-drakitra amin'ny fitsaharana ho dingana farany amin'ny fizotran'ny fanoratana. Efa nisy ny deduplication sy compression. Miaraka amin'ny vokatra encryption mifototra amin'ny rindrambaiko an'ny antoko faha-3, ny VMs dia mitantana ny fanafenana azy ireo ary mandefa ny sora-tanana amin'ny hypervisor ary avy eo HX. Satria ireo sora-tanana ireo dia efa voafehin'ny encryption, dia tsy azo deduplicated na compresses. HX Software Based Encryption (ao amin'ny codeline 5.x) dia vahaolana fanafenana rindrambaiko izay ampiharina ao amin'ny stack aorian'ny fanoratana optimizations (deduplication sy compression) dia ho tazonina ny tombony amin'izany tranga izany.

Ny sary etsy ambany dia tapitraview ny fampiharana ny SED miaraka amin'ny HX.

Torohevitra momba ny fiara 

• F 3.1: Iza no manamboatra ny kapila misy encryption ampiasaina amin'ny HX?
  A 3.1: HX dia mampiasa fiara novokarin'ny Micron: Ireo antontan-taratasy manokana momba ny Micron dia mifamatotra ao amin'ny fizarana antontan-taratasy fanohanana amin'ity FAQ ity.
• F 3.2: Manohana SED tsy mifanaraka amin'ny FIPS ve isika?
  A 3.2: Izahay koa dia manohana fiara sasany izay tsy FIPS, fa manohana SED (TCGE).
• F 3.3: Inona ny TCG?
  A 3.3: TCG no Vondrona Computing azo itokisana, izay mamorona sy mitantana ny fenitra manokana momba ny fitahirizana angon-drakitra miafina
• Q 3.4: Inona no heverina ho fiarovana amin'ny kilasy orinasa raha ny momba ny SSD SAS ho an'ny foibe angona? Inona no endri-javatra manokana ananan'ireo fiara ireo izay miantoka ny fiarovana sy miaro amin'ny fanafihana?
  A 3.4: Ity lisitra ity dia mamintina ny endrik'ireo SED ampiasaina ao amin'ny HX sy ny fomba ifandraisany amin'ny fenitra TCG.
  1. Ny drive self-encrypting (SEDs) dia manome fiarovana matanjaka ho an'ny angona mijanona ao amin'ny SED-nao, manakana ny fidirana angona tsy nahazoana alalana. Ny Trusted Computing Group (TCG) dia namolavola lisitr'ireo endri-javatra sy tombotsoa azo avy amin'ny drive encryption ho an'ny HDD sy SSD. Ny TCG dia manome fenitra antsoina hoe TCG Enterprise SSC (Security Subsystem Class) ary mifantoka amin'ny angon-drakitra amin'ny fialan-tsasatra. Fepetra ho an'ny SED rehetra izany. Ny fepetra dia mihatra amin'ny fitaovana fitahirizana angon-drakitra sy mpanara-maso izay miasa amin'ny fitahirizana orinasa. Ny lisitra dia ahitana:
     • mangarahara: Tsy ilaina ny fanovana rafitra na fampiharana; fanalahidin'ny encryption novokarin'ny fiara mihitsy, amin'ny fampiasana ny mpamokatra nomerao tena kisendrasendra ao anaty boaty; encryption foana ny drive.
     • Mora ny fitantanana: Tsy misy fanalahidin'ny encryption hitantana; Ireo mpivarotra rindrambaiko dia manararaotra ny interface manara-penitra hitantana ny SED, ao anatin'izany ny fitantanana lavitra, ny fanamarinana mialoha ny boot, ary ny famerenana ny tenimiafina
     • Vidin'ny fanariana na fanamboarana indray: Miaraka amin'ny SED, fafao ny fanalahidin'ny encryption
     • Re-encryption: Miaraka amin'ny SED, tsy ilaina ny mamerina mamerina indray ny angon-drakitra
     • Fampisehoana: Tsy misy fahasimbana amin'ny fahombiazan'ny SED; mifototra amin'ny fitaovana
     • Manara-penitra: Ny indostrian'ny fiara manontolo dia manorina amin'ny TCG/SED Specifications
     • Notsotsotra: Tsy misy fitsabahana amin'ny dingana ambony
  2. Ny SSD SED dia manome ny fahafahana mamafa ny fiara. Midika izany fa misy baiko voamarina tsotra azo alefa any amin'ny fiara hanova ny fanalahidin'ny encryption 256-bit voatahiry ao anaty fiara. Izany dia miantoka fa voafafa madio ny fiara ary tsy misy angona tavela. Na ny rafitra mpampiantrano tany am-boalohany aza dia tsy afaka mamaky ny angon-drakitra, noho izany dia tsy ho azon'ny rafitra hafa mihitsy izany. segondra vitsy monja ny fandidiana, mifanohitra amin'ny minitra na ora maro izay ilainy hanaovana fandidiana mitovy amin'ny HDD tsy misy miafina ary misoroka ny vidin'ny fitaovana na serivisy de-gaussing HDD lafo vidy.
  3. FIPS (Federal Information Processing Standard) 140-2 dia fenitry ny governemanta amerikana izay mamaritra ny fanafenana sy ny fepetra fiarovana mifandraika amin'izany izay tokony hofenoin'ny vokatra IT ho an'ny fampiasana saro-pady, saingy tsy voasokajy. Matetika izany no fepetra takiana ho an'ny sampan-draharaham-panjakana sy orinasa amin'ny serivisy ara-bola sy ny indostrian'ny fahasalamana. SSD izay misy FIPS-140-2 voamarina dia mampiasa fomba fiarovana matanjaka ao anatin'izany ny algorithm encryption nankatoavina. Izy io koa dia mamaritra ny fomba tsy maintsy anomezan-dàlana ny olona na ny dingana hafa mba hampiasana ny vokatra, ary ny fomba tsy maintsy amboarina ny maody na singa mba hifaneraserana amin'ny rafitra hafa. Raha ny marina, ny iray amin'ireo fepetra takian'ny kapila SSD voamarina FIPS-140-2 dia ny SED. Ataovy ao an-tsaina fa na dia tsy ny TCG ihany aza no hany fomba hahazoana fiara voamarina voamarina, ny fanondroana TCG Opal sy Enterprise SSC dia manome antsika tohatra ho an'ny fanamarinana FIPS. 4. Ny endri-javatra hafa ilaina dia ny Secure Downloads and Diagnostics. Ity endri-javatra firmware ity dia miaro ny fiara amin'ny fanafihana rindrambaiko amin'ny alàlan'ny sonia nomerika izay natsangana ao amin'ny firmware. Rehefa ilaina ny fampidinana, ny sonia nomerika dia manakana ny fidirana tsy nahazoana alalana amin'ny fiara, manakana ny firmware sandoka tsy hampidirina ao amin'ny fiara.

Hyperflex fametrahana miaraka amin'ny SEDs

• F 4.1: Ahoana no fomba itondran'ny installer ny fametrahana SED? Misy fisavana manokana ve?
  A 4.1: Mifandray amin'ny UCSM ny installer ary manome antoka fa marina ny firmware sy tohana ho an'ny fitaovana hita. Ny fifanarahana encryption dia voamarina sy ampiharina (oh: tsy misy fifangaroana SED sy tsy SED).
• F 4.2: Hafa ve ny fametrahana?
  A 4.2: Ny fametrahana dia mitovy amin'ny fametrahana HX mahazatra, na izany aza, ny workflow mahazatra dia tsy tohanana ho an'ny SEDs. Ity hetsika ity dia mitaky fahazoan-dàlana UCSM ho an'ny SEDs ihany koa.
• F 4.3: Ahoana no fiasan'ny fahazoan-dàlana amin'ny fanafenana? Misy zavatra fanampiny tokony hapetraka ve?
  A 4.3: Ny fitaovana SED (nanafatra avy amin'ny orinasa, fa tsy retrofit) + HXDP 2.5 + UCSM (3.1(3x)) no hany zavatra ilaina ahafahana manao encryption miaraka amin'ny fitantanana fanalahidy. Tsy misy fahazoan-dàlana fanampiny ivelan'ny famandrihana HXDP fototra takiana amin'ny famoahana 2.5.
• F 4.4: Inona no mitranga rehefa manana rafitra SED aho izay manana fiara tsy misy intsony? Ahoana no ahafahako manitatra ity cluster ity?
  A 4.4: Isaky ny manana PID izay faran'ny androm-piainana avy amin'ny mpamatsy anay izahay, dia manana PID fanoloana izay mifanaraka amin'ny PID taloha. Ity PID fanoloana ity dia azo ampiasaina amin'ny RMA, fanitarana ao anaty node, ary fanitarana cluster (miaraka amin'ny node vaovao). Ny fomba rehetra dia tohanana avokoa, na izany aza, mety mitaky fanavaozana ho amin'ny famoahana manokana izay hita ao amin'ny naoty famoahana tetezamita ihany koa.

Fitantanana lehibe

• F 5.1: Inona no atao hoe Fitantanana Key?
  A 5.1: Ny fitantanana fototra dia ny asa mifandraika amin'ny fiarovana, fitehirizana, fanohanana ary fandaminana ny fanalahidin'ny fanafenana. HX dia mampihatra izany amin'ny politika mifototra amin'ny UCSM.
• F 5.2: Inona no rafitra manome fanohanana ny fanamafisana fototra?
  A 5.2: Ny UCSM dia manome fanohanana amin'ny fanamafisana ny fanalahidin'ny fiarovana.
• F 5.3: Inona no karazana fitantanana fanalahidy misy?
  A 5.3: Ny fitantanana fanalahidy eo an-toerana dia tohanana, miaraka amin'ny fitantanana fanalahidy lavitr'ezaka amin'ny orinasa miaraka amin'ireo lohamilina fitantanana fanalahidin'ny antoko fahatelo.
• F 5.4: Iza ireo mpiara-miombon'antoka amin'ny fitantanana fanalahidy?
  A 5.4: Manohana an'i Vormetric sy Gemalto (Safenet) izahay amin'izao fotoana izao ary misy avo lenta (HA). HyTrust dia ao anatin'ny fitsapana.
• F 5.5: Ahoana no fampiharana ny fitantanana fanalahidy lavitra?
  A 5.5: Ny fitantanana fanalahidy lavitra dia raisina amin'ny alàlan'ny KMIP 1.1.
• F 5.6: Ahoana ny fametrahana ny fitantanana eo an-toerana?
  A 5.6: Ny fanalahidin'ny fiarovana (KEK) dia amboarina ao amin'ny HX Connect, mivantana ataon'ny mpampiasa.
• F 5.7: Ahoana ny fomba fitantanana lavitra?
  A 5.7: Ny fampahalalana momba ny adiresin'ny mpizara lavitra fitantanana fanalahidy (KMIP) miaraka amin'ny fahazoan-dàlana hidirana dia amboarin'ny mpampiasa ao amin'ny HX Connect.
• F 5.8: Inona no ampahany amin'ny HX mifandray amin'ny mpizara KMIP ho an'ny fanamafisana?
  A 5.8: Ny CIMC amin'ny node tsirairay dia mampiasa ity fampahalalana ity mba hifandraisana amin'ny mpizara KMIP ary haka ny fanalahidy fiarovana (KEK) avy ao.
  
• F 5.9: Karazana mari-pankasitrahana inona no tohana amin'ny dingana famokarana/famerenana/fanavaozana?
  A 5.9: Ny taratasy fanamarinana nosoniavin'ny CA sy nosoniavin'ny tena dia samy tohanana.
  
• F 5.10: Inona avy ireo workflows tohanana amin'ny dingana fanafenana?
  A 5.10: Ny fiarovana/tsy fiarovana amin'ny fampiasana tenimiafina mahazatra dia tohana miaraka amin'ny fiovam-pitantanana fanalahidy eo an-toerana mankany amin'ny lavitra. Tohanana ny fiasana re-key. Tohanana ihany koa ny famafana kapila azo antoka.
  

Workflow mpampiasa: eo an-toerana

• F 6.1: Ao amin'ny HX Connect, aiza aho no nanangana ny fitantanana fanalahidy eo an-toerana?
  A 6.1: Ao amin'ny dashboard Encryption safidio ny bokotra configure ary araho ny wizard.
• F 6.2: Inona no tokony ho vonona handeha aho hanombohana izany?
  A 6.2: Mila manome fehezanteny fiarovana 32 ianao.
• F 6.3: Inona no mitranga raha mila mampiditra SED vaovao aho?
  A 6.3: Ao amin'ny UCSM dia mila manitsy ny politikan'ny fiarovana eo an-toerana ianao ary mametraka ny fanalahidy napetraka amin'ny fanalahidin'ny node efa misy.
• Q 6.4: Inona no mitranga rehefa mampiditra ny kapila vaovao aho?
  A 6.4: Raha mifanaraka amin'ny an'ny mpizara (node) ny fanalahidin'ny fiarovana amin'ny kapila dia ho voahidy ho azy. Raha tsy mitovy ny fanalahidin'ny fiarovana, dia hiseho ho "Locked" ilay kapila. Azonao atao ny mamafa ny kapila hamafa ny angona rehetra na manokatra azy amin'ny fanomezana ny lakile marina. Fotoana tsara handraisana anjara amin'ny TAC izao.

Rindran'ny mpampiasa: Lavitra

• F 7.1: Inona avy ireo zavatra sasany tokony hotandremako amin'ny fanamafisana ny fitantanana fanalahidy lavitra?
  A 7.1: Ny fifandraisana eo amin'ny cluster sy ny mpizara KMIP dia mitranga amin'ny CIMC isaky ny node. Midika izany fa ny anaran'ny mpampiantrano dia tsy azo ampiasaina amin'ny mpizara KMIP raha tsy ny adiresy IP Inband sy ny DNS dia apetraka amin'ny fitantanana CIMC.
• F 7.2: Inona no mitranga raha mila manolo na mampiditra SED vaovao aho?
  A 7.2: Ny cluster dia hamaky ny famantarana avy amin'ny kapila ary manandrana manokatra azy ho azy. Raha tsy mahomby ny famahana mandeha ho azy, dia miseho ho "mihidy" ny kapila ary tsy maintsy manokatra ny kapila amin'ny tanana ny mpampiasa. Tsy maintsy mandika ny mari-pankasitrahana amin'ny mpizara KMIP ianao mba hanakalozana fahazoan-dàlana.
• F 7.3: Ahoana no fomba handikana ny taratasy fanamarinana avy amin'ny cluster mankany amin'ny mpizara KMIP?
  A 7.3: Misy fomba roa hanaovana izany. Azonao atao ny mandika mivantana ny taratasy fanamarinana avy amin'ny BMC mankany amin'ny mpizara KMIP na azonao atao ny mampiasa ny CSR mba hahazoana taratasy fanamarinana nosoniavin'ny CA ary mandika ny taratasy fanamarinana nosoniavin'ny CA amin'ny BMC amin'ny fampiasana baiko UCSM.
• F 7.4: Inona no fiheverana ilaina amin'ny fampidirana ireo node miafina amin'ny cluster izay mampiasa fitantanana fanalahidy lavitra?
  A 7.4: Rehefa manampy mpampiantrano vaovao amin'ny mpizara KMIP, ny anaran'ny mpampiantrano ampiasaina dia tokony ho laharan'ny seriveran'ny mpizara. Mba hahazoana ny mari-pankasitrahana an'ny mpizara KMIP dia azonao atao ny mampiasa mpitety mba hahazoana ny taratasy fanamarinana fototra an'ny mpizara KMIP.

User Workflow: General

• F 8.1: Ahoana no famafana kapila?
  A 8.1: Ao amin'ny dashboard HX Connect, safidio ny fampahalalana momba ny rafitra view. Avy eo ianao dia afaka misafidy disks tsirairay mba hamafa azo antoka.
• F 8.2: Ahoana raha nofafako tsy nahy ny kapila iray?
  A 8.2: Rehefa ampiasaina ny famafana azo antoka dia potika mandrakizay ny angona
• F 8.3: Inona no mitranga rehefa te-hanafoana ny node aho na hanasaraka ny serivisy serivisyfile?
  A 8.3: Tsy misy amin'ireo hetsika ireo no hanaisotra ny fanafenana amin'ny kapila/mpifehy.
• F 8.4: Ahoana no fomba hanakanana ny fanafenana?
  A 8.4: Ny mpampiasa dia tsy maintsy manafoana mazava ny fanafenana ao amin'ny HX Connect. Raha manandrana mamafa politika fiarovana ao amin'ny UCSM ny mpampiasa rehefa voaro ny lohamilina mifandraika, dia hampiseho tsy fahombiazana ny UCSM ary tsy hamela ny hetsika. Tsy maintsy esorina aloha ny politikan'ny fiarovana.

Workflow mpampiasa: Fitantanana mari-pankasitrahana

• F 9.1: Ahoana ny fomba fitantanana ny fanamarinana mandritra ny fametrahana fitantanana lavitra?
  A 9.1: Ny fanamarinana dia noforonina amin'ny alàlan'ny HX Connect sy ny mpizara KMIP lavitra. Saika tsy ho voafafa mihitsy ny mari-pankasitrahana rehefa noforonina.
• F 9.2: Karazana fanamarinana inona no azoko ampiasaina?
  A 9.2: Azonao atao ny mampiasa taratasy fanamarinana nosoniavin'ny tena na fanamarinana CA. Tsy maintsy misafidy ianao mandritra ny fanamboarana. Ho an'ny mari-pankasitrahana nosoniavin'ny CA dia hamorona andiana fangatahana sonia fanamarinana (CSR) ianao. Ireo mari-pankasitrahana nosoniavina dia ampidirina amin'ny mpizara KMIP.
• F 9.3: Inona no anaran'ny mpampiantrano tokony hampiasaiko rehefa mamorona ny mari-pankasitrahana?
  A 9.3: Ny anaran'ny mpampiantrano ampiasaina amin'ny famoronana ny mari-pankasitrahana dia tokony ho ny laharana Serial an'ny mpizara.

Fanavaozana ny mikirao praogramanao

• F 10.1: Misy famerana ve amin'ny fanavaozana ny firmware disk?
  A 10.1: Raha hita ny kapila misy encryption, dia tsy azo avela ho an'io kapila io ny fanovana firmware rehetra.
• F 10.2: Misy famerana ve ny fanavaozana ny firmware UCSM?
  A 10.2: Ny fampidinana ny UCSM/CIMC amin'ny UCSM 3.1(3x) alohan'ny UCSM dia voafetra raha misy mpanara-maso izay ao anatin'ny fanjakana azo antoka.

Tsipirian'ny famafana azo antoka

• F 11.1: Inona no atao hoe famafana azo antoka?
  A 11.1: Ny famafana azo antoka dia famafana avy hatrany ny angon-drakitra ao amin'ny kapila (fafao ny fanalahidin'ny kapila). Midika izany fa misy baiko voamarina tsotra azo alefa any amin'ny fiara hanova ny fanalahidin'ny encryption 256-bit voatahiry ao anaty fiara. Izany dia miantoka fa voafafa madio ny fiara ary tsy misy angona tavela. Na ny rafitra mpampiantrano tany am-boalohany aza dia tsy afaka mamaky ny angon-drakitra ka tsy ho azon'ny rafitra hafa. segondra vitsy monja ny fandidiana, mifanohitra amin'ny minitra na ora maro izay ilainy hanaovana fandidiana mitovy amin'ny kapila tsy misy encryption ary misoroka ny vidin'ny fitaovana na serivisy degaussing lafo vidy.
• F 11.2: Ahoana no anaovana famafana azo antoka?
  A 11.2: Ity dia asa GUI izay atao amin'ny fiara iray isaky ny mandeha.
• F 11.3: Rahoviana no atao matetika ny famafana azo antoka?
  A 11.3: Ny famafana azo antoka natomboky ny mpampiasa ny kapila tokana dia asa tsy fahita firy. Izany dia atao matetika rehefa te hanala ara-batana ny kapila ho soloina ianao, hamindra azy amin'ny node hafa, na hisorohana ny tsy fahombiazana amin'ny ho avy.
• F 11.4: Inona no fameperana misy amin'ny famafana azo antoka?
  A 11.4: Ny asa famafana azo antoka dia tsy azo atao raha salama tsara ny cluster mba hahazoana antoka fa tsy hisy fiantraikany amin'ny fahafenoan'ny lesoka ny cluster.
• F 11.5: Inona no mitranga raha mila manala ny node iray manontolo aho?
  A 11.5: Misy node manala sy manolo ny node workflows hanohanana ny famafana azo antoka ny fiara rehetra. Jereo ny torolàlana momba ny admin raha mila antsipiriany na jereo ny Cisco TAC.
• F 11.6: Afaka ampiasaina indray ve ny kapila voafafa azo antoka?
  A 11.6: Ny kapila voafafa azo antoka dia azo ampiasaina indray amin'ny cluster hafa ihany. Ny famafana azo antoka ny SED dia atao amin'ny famafana ny fanalahidin'ny encryption disk (DEK). Ny angona ao amin'ny kapila dia tsy azo decryption raha tsy misy DEK. Izany dia ahafahanao mampiasa indray na manafoana ny kapila tsy misy marimaritra iraisana amin'ny angona.
• F 11.7: Inona no mitranga raha ny kapila tiako hofafana dia ahitana ny dika mitovy voalohany amin'ny angona cluster?
  A 11.7: Ny angona ao amin'ny kapila dia tokony hanana kopia hafa ao amin'ny cluster mba hisorohana ny fahaverezan'ny angona. Na izany aza, raha angatahina ny famafana azo antoka amin'ny kapila izay kopia voalohany farany, dia holavina io asa io raha tsy misy kopia iray fanampiny azo alaina. Rebalance dia tokony hanao an'io kopia io any aoriana.
• F 11.8: Tena mila mamafa disk aho, fa tsy salama ny cluster. Ahoana no ataoko?
  A 11.8: Ny andalana baiko (STCLI/HXCLI) dia hamela famafana azo antoka rehefa tsy salama ny cluster ary tsy misy ny kopia voalohany farany ny kapila, raha tsy izany dia tsy ekena.
• Q 11.9: Ahoana no ahafahako mamafa ny node iray manontolo?
  A 11.9: Toe-javatra tsy fahita firy ity. Ny famafana azo antoka amin'ny kapila rehetra ao anaty node dia atao rehefa te-hanaisotra ilay node ao anaty cluster. Ny tanjona dia ny hametraka ny node amin'ny cluster hafa na hanafoana ny node. Afaka manasokajy ny fanesorana node amin'ity toe-javatra ity amin'ny fomba roa samihafa isika:
  1. Fafao ny kapila rehetra tsy misy fanafenana fanafenana
  2. Fafao tsara ny kapila rehetra arahin'ny fanafoanana ny encryption ho an'io node io (sy kapila). Mifandraisa amin'ny Cisco TAC raha mila fanampiana.

Fanitarana azo antoka amin'ny Cluster

• F 12.1: Karazana node inona no azoko ampitomboina amin'ny cluster misy encryption?
  A 12.1: Ny nodes afaka SED ihany no azo ampiana amin'ny Cluster HX miaraka amin'ny SED.
• F 12.2: Ahoana ny fitantanana ny fanitarana amin'ny fitantanana fototra eo an-toerana?
  A 12.2: Ny fanitarana fanalahidy eo an-toerana dia asa tsy misy fepetra tsy ilaina.
• F 12.3: Ahoana ny fitantanana ny fanitarana amin'ny fitantanana fanalahidy lavitra?
  A 12.3: Ny fanitarana fanalahidy lavitra dia mitaky hidin-trano miaraka amin'ny mari-pankasitrahana/fotodrafitrasa fitantanana fanalahidy:
  • Ilaina ny taratasy fanamarinana mba hanampiana node vaovao azo antoka
  • Ny Deployment dia hampiseho fampitandremana miaraka amin'ny dingana hirosoana ao anatin'izany ny rohy ho an'ny fampidinana taratasy fanamarinana
  • Ny mpampiasa dia manaraka ny dingana amin'ny fampiakarana ny taratasy fanamarinana ary avy eo dia mamerina indray ny fametrahana

Antontan-taratasy fanohanana

Micron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Lisitry ny algorithm crypto nankatoavina ho an'ny FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Tetikasa: CSC.nuova Product: ucs-blade-server Component: ucsm

Famaritana momba ny fiasa SED:

• Ampahany : 1574090

SED CIMC famaritana:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Lisitra mailaka:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Documents / Loharano

CISCO HyperFlex HX Data Platform [pdf] Toromarika HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platform

References

• User Manual