सिस्को हायपरफ्लेक्स एचएक्स डेटा प्लॅटफॉर्म

उत्पादन माहिती

• उत्पादनाचे नाव: HX सुरक्षा एन्क्रिप्शन
• आवृत्ती: HXDP 5.01b
• एनक्रिप्शन उपाय: इंटरसाइट की मॅनेजर वापरून सॉफ्टवेअर-आधारित समाधान
• एन्क्रिप्शन प्रकार: सेल्फ-एनक्रिप्टिंग ड्राइव्ह (SEDs)
• समर्थित ड्राइव्ह प्रकार: मायक्रोन वरून HDD आणि SSD SEDs
• अनुपालन मानके: FIPS 140-2 स्तर 2 (ड्राइव्ह उत्पादक) आणि FIPS 140-2 स्तर 1 (प्लॅटफॉर्म)
• क्लस्टर-वाइड एन्क्रिप्शन: फक्त SEDs वापरून बाकीच्या डेटासाठी हार्डवेअरमध्ये HX वरील एन्क्रिप्शन लागू केले जाते
• वैयक्तिक VM एन्क्रिप्शन: Hytrust किंवा Vormetric च्या पारदर्शक क्लायंट सारख्या तृतीय पक्ष सॉफ्टवेअरद्वारे हाताळले जाते
• VMware नेटिव्ह VM एन्क्रिप्शन: SED एन्क्रिप्शनसह वापरण्यासाठी HX द्वारे समर्थित
• की व्यवस्थापनः प्रत्येक SED साठी मीडिया एन्क्रिप्शन की (MEK) आणि की एनक्रिप्शन की (KEK) वापरली जातात
• मेमरी वापर: नोड मेमरीमध्ये एनक्रिप्शन की कधीही उपस्थित नसतात
• कार्यप्रदर्शन प्रभाव: डिस्क एन्क्रिप्शन/डिक्रिप्शन ड्राइव्ह हार्डवेअरमध्ये हाताळले जाते, एकूण सिस्टम कार्यप्रदर्शन प्रभावित होत नाही
• SED चे अतिरिक्त फायदे:
  • कमी ड्राइव्ह निवृत्ती आणि पुनर्नियोजन खर्चासाठी तात्काळ क्रिप्टोग्राफिक इरेजर
  • डेटा गोपनीयतेसाठी सरकार किंवा उद्योग नियमांचे पालन
  • डिस्क चोरी आणि नोड चोरीचा धोका कमी होतो कारण हार्डवेअर काढून टाकल्यानंतर डेटा वाचता येत नाही

उत्पादन वापर सूचना

HX सुरक्षा एन्क्रिप्शन वापरण्यासाठी, या सूचनांचे अनुसरण करा:

1. तुमची प्रणाली हार्डवेअर-आधारित एनक्रिप्शनला सपोर्ट करते किंवा इंटरसाइट की मॅनेजर वापरून सॉफ्टवेअर-आधारित सोल्यूशनला प्राधान्य देत असल्याची खात्री करा.
2. सॉफ्टवेअर-आधारित एनक्रिप्शनच्या माहितीसाठी प्रशासन दस्तऐवज किंवा श्वेतपत्रे पहा.
3. तुम्ही SEDs सह हार्डवेअर-आधारित एन्क्रिप्शन वापरणे निवडल्यास, तुमच्या HX क्लस्टरमध्ये एकसमान नोड्स (SEDs किंवा Non-SEDs) आहेत याची खात्री करा.
4. SEDs साठी, दोन की वापरात आहेत हे समजून घ्या: मीडिया एन्क्रिप्शन की (MEK) आणि की एनक्रिप्शन की (KEK).
5. MEK डिस्कवर डेटाचे एन्क्रिप्शन आणि डिक्रिप्शन नियंत्रित करते आणि हार्डवेअरमध्ये सुरक्षित आणि व्यवस्थापित केले जाते.
6. KEK MEK/DEK सुरक्षित करते आणि स्थानिक किंवा रिमोट कीस्टोअरमध्ये ठेवली जाते.
7. नोड मेमरीमध्ये की उपस्थित असल्याबद्दल काळजी करू नका, कारण एनक्रिप्शन की तेथे कधीही संग्रहित केल्या जात नाहीत.
8. लक्षात ठेवा की डिस्क एन्क्रिप्शन/डिक्रिप्शन ड्राइव्ह हार्डवेअरमध्ये हाताळले जाते, याची खात्री करून की संपूर्ण सिस्टम कार्यप्रदर्शन प्रभावित होणार नाही.
9. तुमच्याकडे अनुपालन मानकांसाठी विशिष्ट आवश्यकता असल्यास, हे लक्षात ठेवा की HX SED एनक्रिप्टेड ड्राइव्हस् ड्राइव्ह उत्पादकांकडून FIPS 140-2 स्तर 2 मानकांची पूर्तता करतात, तर प्लॅटफॉर्मवरील HX एन्क्रिप्शन FIPS 140-2 स्तर 1 मानकांची पूर्तता करते.
10. तुम्हाला वैयक्तिक VM एन्क्रिप्ट करायचे असल्यास, Hytrust किंवा Vormetric च्या पारदर्शक क्लायंटसारखे तृतीय पक्ष सॉफ्टवेअर वापरण्याचा विचार करा. वैकल्पिकरित्या, तुम्ही vSphere 3 मध्ये सादर केलेल्या VMware चे मूळ VM एन्क्रिप्शन वापरू शकता.
11. लक्षात ठेवा की HX SED-आधारित एन्क्रिप्शनच्या शीर्षस्थानी VM एन्क्रिप्शन क्लायंट वापरल्याने डेटाचे दुहेरी एन्क्रिप्शन होईल.
12. सुरक्षित प्रतिकृतीसाठी तुमचा HX क्लस्टर विश्वसनीय नेटवर्क किंवा एनक्रिप्टेड टनेलद्वारे कनेक्ट केलेला असल्याची खात्री करा, कारण HX प्रतिकृती कूटबद्ध केलेली नाही.

HX सुरक्षा एन्क्रिप्शन FAQ

HXDP 5.01b नुसार, HyperFlex एकतर हार्डवेअर-आधारित एन्क्रिप्शनला समर्थन देत नसलेल्या प्रणालींसाठी किंवा हार्डवेअर सोल्यूशन्सवर या कार्यक्षमतेची इच्छा असलेल्या वापरकर्त्यांसाठी इंटरसाइट की मॅनेजर वापरून सॉफ्टवेअर-आधारित समाधान ऑफर करते. हे FAQ फक्त HX एन्क्रिप्शनसाठी SED-आधारित हार्डवेअर सोल्यूशन्सवर लक्ष केंद्रित करते. सॉफ्टवेअर-आधारित एनक्रिप्शनच्या माहितीसाठी प्रशासन दस्तऐवज किंवा श्वेतपत्र(ले) पहा.

पक्षपाती विधान
या उत्पादनासाठी सेट केलेले दस्तऐवजीकरण पूर्वाग्रह-मुक्त भाषा वापरण्याचा प्रयत्न करते. या दस्तऐवजीकरण संचाच्या उद्देशांसाठी, पूर्वाग्रह-मुक्त ही भाषा म्हणून परिभाषित केली जाते जी वय, अपंगत्व, लिंग, वांशिक ओळख, वांशिक ओळख, लैंगिक अभिमुखता, सामाजिक आर्थिक स्थिती आणि परस्परसंवादावर आधारित भेदभाव दर्शवत नाही. उत्पादन सॉफ्टवेअरच्या वापरकर्ता इंटरफेसमध्ये हार्डकोड केलेली भाषा, मानक दस्तऐवजीकरणावर आधारित भाषा किंवा संदर्भित तृतीय-पक्ष उत्पादनाद्वारे वापरली जाणारी भाषा यामुळे दस्तऐवजीकरणामध्ये अपवाद असू शकतात.

सुरक्षा आणि HX एन्क्रिप्शनसाठी सिस्को का 

• प्रश्न 1.1: सुरक्षित विकासासाठी कोणत्या प्रक्रिया आहेत?
  अ 1.1: सिस्को सर्व्हर सिस्को सिक्युर डेव्हलपमेंट लाइफसायकल (CSDL) चे पालन करतात:
  • सिस्को सिस्को सर्व्हरवर एम्बेडेड सुरक्षा विकसित करण्यासाठी प्रक्रिया, पद्धती, फ्रेमवर्क प्रदान करते, केवळ आच्छादन नाही
  • यूसीएस उत्पादन पोर्टफोलिओवर धोका मॉडेलिंग/स्थिर विश्लेषणासाठी समर्पित सिस्को टीम
  • सिस्को ॲडव्हान्स्ड सिक्युरिटी इनिशिएटिव्ह ग्रुप (एएसआयजी) धमक्या कशा येतात हे समजून घेण्यासाठी आणि सीडीईटीएस आणि अभियांत्रिकीद्वारे एचडब्ल्यू आणि एसडब्ल्यू वाढवून समस्यांचे निराकरण करण्यासाठी सक्रिय प्रवेश चाचणी करते.
  • आउटबाउंड असुरक्षा तपासण्यासाठी आणि हाताळण्यासाठी आणि ग्राहकांना सुरक्षा सल्लागार म्हणून संवाद साधण्यासाठी समर्पित सिस्को टीम
  • सर्व अंतर्निहित उत्पादने उत्पादन सुरक्षा बेसलाइन आवश्यकता (PSB) द्वारे जातात जी सिस्को उत्पादनांसाठी सुरक्षा मानके नियंत्रित करतात
  • Cisco सर्व UCS प्रकाशनांवर असुरक्षा/प्रोटोकॉल मजबूतपणा चाचणी करते
• प्रश्न 1.2: SEDs महत्वाचे का आहेत?
  अ 1.2: SEDs चा वापर डेटा-ॲट-रेस्ट एन्क्रिप्शनसाठी केला जातो आणि अनेकांसाठी आवश्यक आहे, सर्वच नाही तर, फेडरल, वैद्यकीय आणि वित्तीय संस्था.

सामान्य माहिती संपलीview

• प्रश्न २.१: SEDs म्हणजे काय?
  अ 2.1: SED (सेल्फ-एनक्रिप्टिंग ड्राइव्ह) मध्ये विशेष हार्डवेअर आहे जे येणारा डेटा एन्क्रिप्ट करते आणि रिअल-टाइममध्ये आउटगोइंग डेटा डिक्रिप्ट करते.
• Q 2.2: HX वर एन्क्रिप्शनची व्याप्ती काय आहे?
  अ 2.2: HX वरील एन्क्रिप्शन सध्या फक्त एनक्रिप्टेड ड्राइव्हस् (SEDs) वापरून उर्वरित डेटासाठी हार्डवेअरमध्ये लागू केले आहे. HX एन्क्रिप्शन क्लस्टर-व्यापी आहे. वैयक्तिक VM एन्क्रिप्शन हे तृतीय पक्ष सॉफ्टवेअर जसे की Hytrust किंवा Vormetric च्या पारदर्शक क्लायंटद्वारे हाताळले जाते आणि ते HX जबाबदारीच्या कक्षेबाहेर आहे. HX हे vSphere 3 मध्ये सादर केलेल्या VMware च्या मूळ VM एन्क्रिप्शनच्या वापरास देखील समर्थन देते. HX SED आधारित एन्क्रिप्शनच्या शीर्षस्थानी VM एन्क्रिप्शन क्लायंटचा वापर केल्याने डेटाचे दुहेरी एन्क्रिप्शन होईल. HX प्रतिकृती कूटबद्ध केलेली नाही आणि अंतिम वापरकर्त्याद्वारे तैनात केलेल्या विश्वसनीय नेटवर्क किंवा एनक्रिप्टेड बोगद्यांवर अवलंबून असते.
• Q 2.3: HX एन्क्रिप्शनसह कोणते अनुपालन मानक पूर्ण केले जातात?
  अ 2.3: HX SED एनक्रिप्टेड ड्राइव्हस् ड्राईव्ह उत्पादकांकडून FIPS 140-2 स्तर 2 मानकांची पूर्तता करतात. प्लॅटफॉर्मवरील HX एन्क्रिप्शन FIPS 140-2 स्तर 1 मानकांची पूर्तता करते.
• Q 2.4: एन्क्रिप्शनसाठी आम्ही HDD आणि SSD या दोन्हींना सपोर्ट करतो का?
  अ 2.4: होय आम्ही मायक्रॉन वरून HDD आणि SSD SED चे समर्थन करतो.
• Q 2.5: HX क्लस्टरमध्ये एन्क्रिप्टेड आणि नॉन-एनक्रिप्टेड ड्राइव्ह एकाच वेळी असू शकतात का?
  अ 2.5: क्लस्टरमधील सर्व नोड एकसमान असणे आवश्यक आहे (SEDs किंवा गैर-SEDs)
• प्रश्न २.६: SED साठी कोणत्या की वापरल्या जातात आणि त्या कशा वापरल्या जातात?
  अ 2.6: प्रत्येक SED साठी दोन की वापरात आहेत. मीडिया एन्क्रिप्शन की (MEK) ला डिस्क एन्क्रिप्शन की (DEK) देखील म्हणतात, डिस्कवर डेटाचे एन्क्रिप्शन आणि डिक्रिप्शन नियंत्रित करते आणि हार्डवेअरमध्ये सुरक्षित आणि व्यवस्थापित केले जाते. की एनक्रिप्शन की (KEK) DEK/MEK सुरक्षित करते आणि स्थानिक किंवा रिमोट कीस्टोअरमध्ये ठेवली जाते.
• Q 2.7: किल्या स्मृतीमध्ये कधी असतात का?
  अ 2.7: नोड मेमरीमध्ये एनक्रिप्शन की कधीही उपस्थित नसतात
• प्रश्न 2.8: एन्क्रिप्शन/डिक्रिप्शन प्रक्रियेमुळे कार्यक्षमतेवर कसा परिणाम होतो?
  अ 2.8: डिस्क एन्क्रिप्शन/डिक्रिप्शन ड्राइव्ह हार्डवेअरमध्ये हाताळले जाते. एकूण प्रणाली कार्यप्रदर्शन प्रभावित होत नाही आणि सिस्टमच्या इतर घटकांना लक्ष्य करणाऱ्या हल्ल्यांच्या अधीन नाही
• प्रश्न 2.9: विश्रांतीच्या वेळी एनक्रिप्शन व्यतिरिक्त, SEDs वापरण्याची इतर कारणे कोणती आहेत?
  अ 2.9: SEDs तात्काळ क्रिप्टोग्राफिक इरेजरद्वारे ड्राइव्ह निवृत्ती आणि पुनर्नियोजन खर्च कमी करू शकतात. ते डेटा गोपनीयतेसाठी सरकारी किंवा उद्योग नियमांचे पालन करण्यासाठी देखील सेवा देतात. आणखी एक ॲडव्हानtage हा डिस्क चोरी आणि नोड चोरीचा कमी धोका आहे कारण डेटा, एकदा का हार्डवेअर इकोसिस्टममधून काढून टाकल्यानंतर, वाचता येत नाही.
• Q2.10: SEDs सह डुप्लिकेशन आणि कॉम्प्रेशनसह काय होते? तृतीय पक्ष सॉफ्टवेअर-आधारित एन्क्रिप्शनचे काय होते?
  A2.10: HX वर SEDs सह डुप्लिकेशन आणि कॉम्प्रेशन राखले जाते कारण बाकीच्या एन्क्रिप्शनमधील डेटा लेखन प्रक्रियेतील शेवटचा टप्पा म्हणून होतो. डुप्लिकेशन आणि कॉम्प्रेशन आधीच झाले आहे. तृतीय पक्ष सॉफ्टवेअर-आधारित एन्क्रिप्शन उत्पादनांसह, व्हीएम त्यांचे एन्क्रिप्शन व्यवस्थापित करतात आणि हायपरवाइजर आणि त्यानंतर एचएक्सला एनक्रिप्टेड राइट पास करतात. हे लेखन आधीच एनक्रिप्ट केलेले असल्याने, ते डुप्लिकेट किंवा संकुचित होत नाहीत. HX सॉफ्टवेअर आधारित एन्क्रिप्शन (3.x कोडलाइनमध्ये) हे सॉफ्टवेअर एन्क्रिप्शन सोल्यूशन असेल जे लेखन ऑप्टिमायझेशन (डिडुप्लिकेशन आणि कॉम्प्रेशन) झाल्यानंतर स्टॅकमध्ये लागू केले जाते त्यामुळे त्या बाबतीत फायदा कायम राहील.

खालील आकृती एक ओव्हर आहेview HX सह SED च्या अंमलबजावणीचे.

ड्राइव्ह तपशील 

• Q 3.1: HX मध्ये वापरल्या जाणाऱ्या एनक्रिप्टेड ड्राइव्हस् कोण बनवतात?
  अ 3.1: HX मायक्रोनद्वारे निर्मित ड्राइव्ह वापरते: या FAQ च्या समर्थन दस्तऐवज विभागात मायक्रोन-विशिष्ट दस्तऐवज जोडलेले आहेत.
• Q 3.2: आम्ही FIPS अनुरूप नसलेल्या कोणत्याही SED चे समर्थन करतो का?
  अ 3.2: आम्ही काही ड्राईव्हला देखील सपोर्ट करतो जे नॉन-FIPS आहेत, परंतु SED (TCGE) ला समर्थन देतात.
• प्रश्न ३.३: टीसीजी म्हणजे काय?
  अ 3.3: TCG हा विश्वसनीय संगणन गट आहे, जो एनक्रिप्टेड डेटा स्टोरेजसाठी स्पेसिफिकेशन मानक तयार करतो आणि व्यवस्थापित करतो
• Q 3.4: डेटा सेंटरसाठी SAS SSD चा येतो तेव्हा एंटरप्राइझ-क्लास सुरक्षा काय मानली जाते? या ड्राइव्हमध्ये कोणती विशिष्ट वैशिष्ट्ये आहेत जी सुरक्षा सुनिश्चित करतात आणि हल्ल्यापासून संरक्षण करतात?
  अ 3.4: ही यादी HX मध्ये वापरल्या जाणाऱ्या SEDs च्या एंटरप्राइझ-क्लास वैशिष्ट्यांचा सारांश देते आणि ते TCG मानकांशी कसे संबंधित आहेत.
  1. सेल्फ-एनक्रिप्टिंग ड्राइव्हस् (SEDs) तुमच्या SED वरील डेटासाठी मजबूत सुरक्षा प्रदान करतात, अनधिकृत डेटा ऍक्सेस प्रतिबंधित करतात. ट्रस्टेड कम्प्युटिंग ग्रुप (TCG) ने HDD आणि SSD दोन्हीसाठी सेल्फ-एनक्रिप्टिंग ड्राइव्हची वैशिष्ट्ये आणि फायद्यांची यादी विकसित केली आहे. टीसीजी एक मानक प्रदान करते ज्याला टीसीजी एंटरप्राइझ एसएससी (सुरक्षा सबसिस्टम क्लास) म्हटले जाते आणि ते उर्वरित डेटावर केंद्रित आहे. हे सर्व SEDs साठी आवश्यक आहे. एंटरप्राइझ स्टोरेजमध्ये काम करणाऱ्या डेटा स्टोरेज डिव्हाइसेस आणि कंट्रोलर्सना वैशिष्ट्य लागू होते. सूचीमध्ये हे समाविष्ट आहे:
     • पारदर्शकता: कोणतीही प्रणाली किंवा अनुप्रयोग सुधारणा आवश्यक नाही; ऑन-बोर्ड ट्रू रँडम नंबर जनरेटर वापरून, ड्राइव्हद्वारेच व्युत्पन्न केलेली एन्क्रिप्शन की; ड्राइव्ह नेहमी कूटबद्ध होत आहे.
     • व्यवस्थापन सुलभता: व्यवस्थापित करण्यासाठी कोणतीही एन्क्रिप्शन की नाही; सॉफ्टवेअर विक्रेते रिमोट मॅनेजमेंट, प्री-बूट ऑथेंटिकेशन आणि पासवर्ड रिकव्हरीसह SEDs व्यवस्थापित करण्यासाठी प्रमाणित इंटरफेसचे शोषण करतात
     • विल्हेवाट किंवा पुनर्उद्देश खर्च: SED सह, ऑन-बोर्ड एन्क्रिप्शन की मिटवा
     • री-एनक्रिप्शन: SED सह, डेटा पुन्हा एनक्रिप्ट करण्याची आवश्यकता नाही
     • कामगिरी: एसईडीच्या कामगिरीत घट नाही; हार्डवेअर-आधारित
     • मानकीकरण: संपूर्ण ड्राइव्ह उद्योग TCG/SED तपशील तयार करत आहे
     • सरलीकृत: अपस्ट्रीम प्रक्रियेत कोणताही हस्तक्षेप नाही
  2. SSD SEDs क्रिप्टोग्राफिकली ड्राइव्ह मिटवण्याची क्षमता प्रदान करते. याचा अर्थ असा की ड्राइव्हवर संग्रहित 256-बिट एन्क्रिप्शन की बदलण्यासाठी एक साधी प्रमाणीकृत कमांड ड्राइव्हवर पाठविली जाऊ शकते. हे सुनिश्चित करते की ड्राइव्ह स्वच्छ पुसले गेले आहे आणि कोणताही डेटा शिल्लक नाही. मूळ होस्ट सिस्टम देखील डेटा वाचू शकत नाही, त्यामुळे इतर कोणत्याही प्रणालीद्वारे ते पूर्णपणे वाचता येणार नाही. एनक्रिप्ट न केलेल्या HDD वर एक समान ऑपरेशन करण्यासाठी लागणाऱ्या अनेक मिनिटांच्या किंवा तासांच्या विरूद्ध ऑपरेशनला फक्त काही सेकंद लागतात आणि महाग HDD डी-गॉसिंग उपकरणे किंवा सेवांची किंमत टाळते.
  3. FIPS (फेडरल इन्फॉर्मेशन प्रोसेसिंग स्टँडर्ड) 140-2 हे यूएस सरकारचे मानक आहे जे एनक्रिप्शन आणि संबंधित सुरक्षा आवश्यकतांचे वर्णन करते ज्या IT उत्पादनांनी संवेदनशील, परंतु अवर्गीकृत, वापरासाठी पूर्ण केल्या पाहिजेत. आर्थिक सेवा आणि आरोग्यसेवा उद्योगांमधील सरकारी एजन्सी आणि कंपन्यांसाठी देखील ही आवश्यकता असते. FIPS-140-2 प्रमाणित असलेला SSD मंजूर एन्क्रिप्शन अल्गोरिदमसह मजबूत सुरक्षा पद्धती वापरतो. उत्पादनाचा वापर करण्यासाठी व्यक्ती किंवा इतर प्रक्रिया कशा अधिकृत केल्या पाहिजेत आणि इतर सिस्टमशी सुरक्षितपणे संवाद साधण्यासाठी मॉड्यूल किंवा घटक कसे डिझाइन केले जावेत हे देखील ते निर्दिष्ट करते. खरं तर, FIPS-140-2 प्रमाणित SSD ड्राइव्हची एक आवश्यकता म्हणजे ती SED आहे. लक्षात ठेवा की प्रमाणित एनक्रिप्टेड ड्राइव्ह मिळवण्याचा TCG हा एकमेव मार्ग नसला तरी, TCG Opal आणि Enterprise SSC तपशील आम्हाला FIPS प्रमाणीकरणासाठी एक पायरी दगड प्रदान करतात. 4. आणखी एक आवश्यक वैशिष्ट्य म्हणजे सुरक्षित डाउनलोड आणि निदान. हे फर्मवेअर वैशिष्ट्य फर्मवेअरमध्ये तयार केलेल्या डिजिटल स्वाक्षरीद्वारे सॉफ्टवेअर हल्ल्यांपासून ड्राइव्हचे संरक्षण करते. जेव्हा डाउनलोड्स आवश्यक असतात, तेव्हा डिजिटल स्वाक्षरी ड्राइव्हवर अनधिकृत प्रवेश प्रतिबंधित करते, बनावट फर्मवेअरला ड्राइव्हवर लोड होण्यापासून प्रतिबंधित करते.

SEDs सह हायपरफ्लेक्स स्थापित करा

• Q 4.1: इंस्टॉलर SED तैनाती कशी हाताळतो? काही विशेष तपासण्या आहेत का?
  अ 4.1: इंस्टॉलर UCSM शी संप्रेषण करतो आणि सिस्टम फर्मवेअर योग्य आणि शोधलेल्या हार्डवेअरसाठी समर्थित असल्याची खात्री करतो. एनक्रिप्शन सुसंगतता तपासली जाते आणि लागू केली जाते (उदा. SED आणि गैर-SED चे मिश्रण नाही).
• Q 4.2: तैनाती काही वेगळी आहे का?
  अ 4.2: इंस्टॉलेशन नियमित HX इंस्टॉल सारखे आहे, तथापि, SEDs साठी कस्टम वर्कफ्लो समर्थित नाही. या ऑपरेशनसाठी SEDs साठी देखील UCSM क्रेडेन्शियल्स आवश्यक आहेत.
• Q 4.3: एनक्रिप्शनसह परवाना कसे कार्य करते? जागी असणे आवश्यक आहे की काही अतिरिक्त आहे?
  अ 4.3: SED हार्डवेअर (फॅक्टरीमधून ऑर्डर केलेले, रेट्रोफिट नाही) + HXDP 2.5 + UCSM (3.1(3x)) या फक्त की मॅनेजमेंटसह एनक्रिप्शन सक्षम करण्यासाठी आवश्यक आहेत. 2.5 रिलीझमध्ये आवश्यक बेस HXDP सबस्क्रिप्शनच्या बाहेर कोणताही अतिरिक्त परवाना नाही.
• Q 4.4: माझ्याकडे SED सिस्टीम असताना काय होते ज्यात ड्राइव्हस् आहेत जे यापुढे उपलब्ध नाहीत? मी या क्लस्टरचा विस्तार कसा करू शकतो?
  अ 4.4: जेव्हाही आमच्याकडे आमच्या पुरवठादारांकडून शेवटचा पीआयडी असतो, तेव्हा आमच्याकडे एक बदली पीआयडी असतो जो जुन्या पीआयडीशी सुसंगत असतो. हे बदली PID RMA, नोडमध्ये विस्तार आणि क्लस्टरच्या विस्तारासाठी (नवीन नोड्ससह) वापरले जाऊ शकते. सर्व पद्धती सर्व समर्थित आहेत, तथापि, त्यांना विशिष्ट प्रकाशनासाठी अपग्रेड करणे आवश्यक असू शकते जे संक्रमण प्रकाशन नोट्समध्ये देखील ओळखले जाते.

की व्यवस्थापन

• प्रश्न 5.1: मुख्य व्यवस्थापन म्हणजे काय?
  अ 5.1: की व्यवस्थापन म्हणजे एन्क्रिप्शन की संरक्षित करणे, संग्रहित करणे, बॅकअप घेणे आणि व्यवस्थापित करणे यात गुंतलेली कार्ये. HX हे UCSM-केंद्रित धोरणात लागू करते.
• Q 5.2: की कॉन्फिगरेशनसाठी कोणती यंत्रणा समर्थन पुरवते?
  अ 5.2: सुरक्षा की कॉन्फिगर करण्यासाठी UCSM समर्थन पुरवते.
• प्रश्न 5.3: कोणत्या प्रकारचे की व्यवस्थापन उपलब्ध आहे?
  अ 5.3: तृतीय पक्ष की व्यवस्थापन सर्व्हरसह एंटरप्राइझ-क्लास रिमोट की व्यवस्थापनासह कीचे स्थानिक व्यवस्थापन समर्थित आहे.
• Q 5.4: रिमोट की व्यवस्थापन भागीदार कोण आहेत?
  अ 5.4: आम्ही सध्या व्होर्मेट्रिक आणि गेमल्टो (सेफेनेट) चे समर्थन करतो आणि उच्च उपलब्धता (HA) समाविष्ट करतो. HyTrust चाचणीत आहे.
• Q 5.5: रिमोट की व्यवस्थापन कसे लागू केले जाते?
  अ 5.5: रिमोट की व्यवस्थापन KMIP 1.1 द्वारे हाताळले जाते.
• प्रश्न 5.6: स्थानिक व्यवस्थापन कसे कॉन्फिगर केले जाते?
  अ 5.6: सुरक्षा की (KEK) थेट वापरकर्त्याद्वारे, HX Connect मध्ये कॉन्फिगर केली आहे.
• प्रश्न 5.7: रिमोट व्यवस्थापन कसे कॉन्फिगर केले जाते?
  अ 5.7: रिमोट की मॅनेजमेंट (KMIP) सर्व्हर पत्ता माहितीसह लॉगिन क्रेडेन्शियल्स वापरकर्त्याद्वारे HX Connect मध्ये कॉन्फिगर केले जातात.
• Q 5.8: HX चा कोणता भाग कॉन्फिगरेशनसाठी KMIP सर्व्हरशी संवाद साधतो?
  अ 5.8: प्रत्येक नोडवरील CIMC ही माहिती KMIP सर्व्हरशी कनेक्ट करण्यासाठी आणि त्यातून सिक्युरिटी की (KEK) पुनर्प्राप्त करण्यासाठी वापरते.
  
• प्रश्न ५.९: की जनरेशन/पुनर्प्राप्ती/अपडेट प्रक्रियेमध्ये कोणत्या प्रकारची प्रमाणपत्रे समर्थित आहेत?
  अ 5.9: CA-स्वाक्षरी केलेले आणि स्व-स्वाक्षरी केलेले प्रमाणपत्र दोन्ही समर्थित आहेत.
  
• Q 5.10: एन्क्रिप्शन प्रक्रियेसह कोणते कार्यप्रवाह समर्थित आहेत?
  अ 5.10: सानुकूल पासवर्ड वापरून संरक्षित/असुरक्षित करा स्थानिक ते दूरस्थ की व्यवस्थापन रूपांतरणासह समर्थित आहे. री-की ऑपरेशन्स समर्थित आहेत. सुरक्षित डिस्क इरेज ऑपरेशन देखील समर्थित आहेत.
  

वापरकर्ता कार्यप्रवाह: स्थानिक

• Q 6.1: HX Connect मध्ये, मी स्थानिक की व्यवस्थापन कोठे सेट केले?
  अ 6.1: एनक्रिप्शन डॅशबोर्डमध्ये कॉन्फिगर बटण निवडा आणि विझार्डचे अनुसरण करा.
• प्रश्न ६.२: हे सुरू करण्यासाठी मला काय तयार असण्याची गरज आहे?
  अ 6.2: तुम्हाला 32-वर्णांचा सुरक्षा सांकेतिक वाक्यांश प्रदान करणे आवश्यक आहे.
• प्रश्न 6.3: मला नवीन SED टाकण्याची आवश्यकता असल्यास काय होईल?
  A 6.3: UCSM मध्ये तुम्हाला स्थानिक सुरक्षा धोरण संपादित करावे लागेल आणि विद्यमान नोड की वर उपयोजित की सेट करावी लागेल.
• प्रश्न १: मी नवीन डिस्क घालतो तेव्हा काय होते?
  अ 6.4: डिस्कवरील सिक्युरिटी की सर्व्हर (नोड) शी जुळत असल्यास ती आपोआप अनलॉक होते. सुरक्षा की भिन्न असल्यास, डिस्क "लॉक केलेले" म्हणून दर्शवेल. तुम्ही सर्व डेटा हटवण्यासाठी डिस्क साफ करू शकता किंवा योग्य की देऊन अनलॉक करू शकता. TAC संलग्न करण्यासाठी ही चांगली वेळ आहे.

वापरकर्ता कार्यप्रवाह: रिमोट

• प्र 7.1: रिमोट की मॅनेजमेंट कॉन्फिगरेशनसह मला कोणत्या गोष्टींकडे लक्ष देणे आवश्यक आहे?
  अ 7.1: क्लस्टर आणि KMIP सर्व्हर(चे) यांच्यातील संवाद प्रत्येक नोडवरील CIMC वर होतो. याचा अर्थ CIMC व्यवस्थापनावर इनबँड IP पत्ता आणि DNS कॉन्फिगर केले असल्यासच होस्टनाव KMIP सर्व्हरसाठी वापरले जाऊ शकते.
• प्रश्न 7.2: मला नवीन SED बदलण्याची किंवा टाकण्याची आवश्यकता असल्यास काय होईल?
  अ 7.2: क्लस्टर डिस्कवरून अभिज्ञापक वाचेल आणि स्वयंचलितपणे अनलॉक करण्याचा प्रयत्न करेल. स्वयंचलित अनलॉक अयशस्वी झाल्यास, डिस्क "लॉक केलेले" म्हणून येते आणि वापरकर्त्यास स्वतः डिस्क अनलॉक करावी लागते. क्रेडेन्शियल एक्सचेंजसाठी तुम्हाला प्रमाणपत्रे KMIP सर्व्हरवर कॉपी करावी लागतील.
• Q 7.3: मी क्लस्टरमधून KMIP सर्व्हरवर प्रमाणपत्रे कशी कॉपी करू?
  अ 7.3: हे करण्याचे दोन मार्ग आहेत. तुम्ही BMC कडून KMIP सर्व्हरवर थेट प्रमाणपत्र कॉपी करू शकता किंवा तुम्ही CA-स्वाक्षरी केलेले प्रमाणपत्र मिळवण्यासाठी CSR वापरू शकता आणि UCSM आदेश वापरून CA-स्वाक्षरी केलेले प्रमाणपत्र BMC मध्ये कॉपी करू शकता.
• Q 7.4: रिमोट की व्यवस्थापन वापरणाऱ्या क्लस्टरमध्ये एनक्रिप्टेड नोड्स जोडण्यासाठी कोणते विचार आहेत?
  अ 7.4: KMIP सर्व्हरवर नवीन होस्ट जोडताना, वापरलेले होस्टनाव सर्व्हरचा अनुक्रमांक असावा. KMIP सर्व्हरचे प्रमाणपत्र मिळविण्यासाठी, तुम्ही KMIP सर्व्हरचे मूळ प्रमाणपत्र मिळवण्यासाठी ब्राउझर वापरू शकता.

वापरकर्ता कार्यप्रवाह: सामान्य

• प्रश्न 8.1: मी डिस्क कशी मिटवू?
  अ 8.1: HX Connect डॅशबोर्डमध्ये, सिस्टम माहिती निवडा view. तेथून तुम्ही सुरक्षित मिटवण्यासाठी स्वतंत्र डिस्क निवडू शकता.
• Q 8.2: जर मी अपघाताने डिस्क मिटवली तर?
  अ 8.2: जेव्हा सुरक्षित मिटवले जाते तेव्हा डेटा कायमचा नष्ट होतो
• प्रश्न 8.3: जेव्हा मला नोड रद्द करायचा असेल किंवा सेवा प्रो डिसॉसिएट करायचा असेल तेव्हा काय होतेfile?
  अ 8.3: यापैकी कोणतीही क्रिया डिस्क/कंट्रोलरवरील एनक्रिप्शन काढून टाकणार नाही.
• प्रश्न 8.4: एनक्रिप्शन कसे अक्षम केले जाते?
  अ 8.4: वापरकर्त्याला HX Connect मध्ये एन्क्रिप्शन स्पष्टपणे अक्षम करावे लागेल. संबंधित सर्व्हर सुरक्षित केल्यावर वापरकर्त्याने UCSM मधील सुरक्षा धोरण हटवण्याचा प्रयत्न केल्यास, UCSM कॉन्फिगरेशन-अयशस्वी प्रदर्शित करेल आणि कारवाईला अनुमती देईल. सुरक्षा धोरण प्रथम अक्षम करणे आवश्यक आहे.

वापरकर्ता कार्यप्रवाह: प्रमाणपत्र व्यवस्थापन

• प्र 9.1: रिमोट मॅनेजमेंट सेटअप दरम्यान प्रमाणपत्रे कशी हाताळली जातात?
  अ 9.1: HX Connect आणि रिमोट KMIP सर्व्हर वापरून प्रमाणपत्रे तयार केली जातात. एकदा तयार केलेली प्रमाणपत्रे जवळजवळ कधीही हटविली जाणार नाहीत.
• प्रश्न 9.2: मी कोणत्या प्रकारची प्रमाणपत्रे वापरू शकतो?
  अ 9.2: तुम्ही स्व-स्वाक्षरी केलेले प्रमाणपत्रे किंवा CA प्रमाणपत्रे वापरू शकता. तुम्हाला सेटअप दरम्यान निवडावे लागेल. CA स्वाक्षरी केलेल्या प्रमाणपत्रांसाठी तुम्ही प्रमाणपत्र स्वाक्षरी विनंतीचा (CSRs) संच तयार कराल. स्वाक्षरी केलेली प्रमाणपत्रे KMIP सर्व्हरवर अपलोड केली जातात.
• प्रश्न 9.3: प्रमाणपत्रे तयार करताना मी कोणते होस्टनाव वापरावे?
  अ 9.3: प्रमाणपत्र व्युत्पन्न करण्यासाठी वापरलेले होस्टनाव सर्व्हरचा अनुक्रमांक असावा.

फर्मवेअर अद्यतने

• Q 10.1: डिस्क फर्मवेअर अपग्रेड करण्यावर काही निर्बंध आहेत का?
  अ 10.1: एन्क्रिप्शन-सक्षम ड्राइव्ह आढळल्यास, त्या डिस्कसाठी कोणत्याही डिस्क फर्मवेअर बदलांना परवानगी दिली जाणार नाही.
• Q 10.2: UCSM फर्मवेअर अपग्रेड करण्यावर काही निर्बंध आहेत का?
  अ 10.2: जर एखादा नियंत्रक सुरक्षित स्थितीत असेल तर UCSM/CIMC चे पूर्व-UCSM 3.1(3x) वर अवनत करणे प्रतिबंधित आहे.

सुरक्षित तपशील पुसून टाका

• प्रश्न 11.1: सुरक्षित इरेज म्हणजे काय?
  अ 11.1: सुरक्षित मिटवणे म्हणजे ड्राइव्हवरील डेटा त्वरित मिटवणे (डिस्क एन्क्रिप्शन की पुसणे). याचा अर्थ असा की ड्राइव्हवर संग्रहित 256-बिट एन्क्रिप्शन की बदलण्यासाठी एक साधी प्रमाणीकृत कमांड ड्राइव्हवर पाठविली जाऊ शकते. हे सुनिश्चित करते की ड्राइव्ह स्वच्छ पुसले गेले आहे आणि कोणताही डेटा शिल्लक नाही. मूळ होस्ट सिस्टम देखील डेटा वाचू शकत नाही म्हणून तो इतर कोणत्याही सिस्टमद्वारे वाचता येणार नाही. एनक्रिप्टेड डिस्कवर एक समान ऑपरेशन करण्यासाठी लागणाऱ्या अनेक मिनिटांच्या किंवा तासांच्या विरूद्ध ऑपरेशनला फक्त काही सेकंद लागतात आणि महागडी डीगॉसिंग उपकरणे किंवा सेवांची किंमत टाळते.
• प्रश्न 11.2: सुरक्षित इरेज कसे केले जाते?
  अ 11.2: हे एक GUI ऑपरेशन आहे जे एका वेळी एक ड्राइव्ह केले जाते.
• प्रश्न 11.3: सुरक्षित खोडणे सहसा कधी केले जाते?
  अ 11.3: एकाच डिस्कचे वापरकर्त्याने सुरू केलेले सुरक्षित मिटवणे ही एक दुर्मिळ ऑपरेशन आहे. हे मुख्यतः तेव्हा केले जाते जेव्हा तुम्हाला डिस्क रिप्लेसमेंटसाठी भौतिकरित्या काढून टाकायची असते, ती दुसऱ्या नोडमध्ये हस्तांतरित करायची असते किंवा भविष्यातील अपयश टाळायचे असते.
• प्रश्न 11.4: सुरक्षित मिटविण्यावर कोणते निर्बंध आहेत?
  अ 11.4: क्लस्टरच्या दोष लवचिकतेवर परिणाम होणार नाही याची खात्री करण्यासाठी क्लस्टर निरोगी असेल तरच सुरक्षित पुसण्याची क्रिया केली जाऊ शकते.
• प्रश्न 11.5: मला संपूर्ण नोड काढण्याची आवश्यकता असल्यास काय होईल?
  अ 11.5: सर्व ड्राइव्हच्या सुरक्षित पुसून टाकण्यास समर्थन देण्यासाठी नोड काढून टाकणे आणि नोड बदलणे वर्कफ्लो आहेत. तपशीलांसाठी प्रशासक मार्गदर्शक पहा किंवा Cisco TAC चा सल्ला घ्या.
• Q 11.6: सुरक्षितपणे पुसून टाकलेली डिस्क पुन्हा वापरली जाऊ शकते का?
  अ 11.6: सुरक्षितपणे पुसून टाकलेली डिस्क फक्त वेगळ्या क्लस्टरमध्ये पुन्हा वापरली जाऊ शकते. डिस्क एन्क्रिप्शन की (DEK) पुसून SED चे सुरक्षित मिटवले जाते. DEK शिवाय डिस्कमधील डेटा डिक्रिप्ट केला जाऊ शकत नाही. हे तुम्हाला डेटाशी कोणतीही तडजोड न करता डिस्कचा पुनर्वापर किंवा डिकमिशन करण्यास अनुमती देते.
• Q 11.7: मला जी डिस्क मिटवायची आहे त्यात क्लस्टर डेटाची शेवटची प्राथमिक प्रत असल्यास काय होईल?
  अ 11.7: डेटा गमावू नये म्हणून डिस्कवरील डेटाच्या क्लस्टरमध्ये इतर प्रती असाव्यात. तथापि, शेवटची प्राथमिक प्रत असलेल्या डिस्कवर सुरक्षित मिटवण्याची विनंती केली असल्यास, किमान आणखी एक प्रत उपलब्ध होईपर्यंत हे ऑपरेशन नाकारले जाईल. बॅकग्राउंडमध्ये ही प्रत रिबॅलन्स करत असावी.
• Q 11.8: मला खरोखर डिस्क सुरक्षितपणे मिटवायची आहे, परंतु क्लस्टर हेल्दी नाही. मी ते कसे करू शकतो?
  अ 11.8: कमांड लाइन (STCLI/HXCLI) जेव्हा क्लस्टर निरोगी नसते आणि डिस्कमध्ये शेवटची प्राथमिक प्रत नसते तेव्हा सुरक्षित मिटवण्याची अनुमती देते, अन्यथा ती नाकारली जाते.
• प्रश्न १: मी संपूर्ण नोड सुरक्षितपणे कसा मिटवू शकतो?
  अ 11.9: ही एक दुर्मिळ परिस्थिती आहे. जेव्हा एखाद्याला क्लस्टरमधून नोड काढायचा असेल तेव्हा नोडमधील सर्व डिस्क्स सुरक्षितपणे मिटवल्या जातात. एकतर नोड वेगळ्या क्लस्टरमध्ये उपयोजित करण्याचा किंवा नोड रद्द करण्याचा हेतू आहे. आम्ही या परिस्थितीत नोड काढण्याचे दोन वेगवेगळ्या प्रकारे वर्गीकरण करू शकतो:
  1. एन्क्रिप्शन अक्षम न करता सर्व डिस्क सुरक्षितपणे पुसून टाका
  2. त्या नोडसाठी (आणि डिस्क्स) एन्क्रिप्शन अक्षम करून सर्व डिस्क्स सुरक्षितपणे मिटवा. कृपया मदतीसाठी Cisco TAC शी संपर्क साधा.

क्लस्टरचा सुरक्षित विस्तार

• प्रश्न १२.१: एनक्रिप्टेड क्लस्टरचा विस्तार मी कोणत्या प्रकारच्या नोडसह करू शकतो?
  अ 12.1: SED सह HX क्लस्टरमध्ये फक्त SED-सक्षम नोड जोडले जाऊ शकतात.
• प्रश्न १२.२: स्थानिक की व्यवस्थापनासह विस्तार कसा हाताळला जातो?
  अ 12.2: स्थानिक की विस्तार हे एक अखंड ऑपरेशन आहे ज्यासाठी कोणत्याही बाह्य कॉन्फिगरेशनची आवश्यकता नाही.
• Q 12.3: रिमोट की व्यवस्थापनासह विस्तार कसा हाताळला जातो?
  अ 12.3: रिमोट की विस्तारासाठी प्रमाणपत्रे/की व्यवस्थापन पायाभूत सुविधांसह लॉकस्टेप आवश्यक आहे:
  • नवीन नोड सुरक्षितपणे जोडण्यासाठी प्रमाणपत्रे आवश्यक आहेत
  • डिप्लॉयमेंट प्रमाणपत्र डाउनलोडसाठी लिंकसह पुढे जाण्यासाठी चरणांसह एक चेतावणी दर्शवेल
  • वापरकर्ता प्रमाणपत्र(ने) अपलोड करण्यासाठी चरणांचे अनुसरण करतो आणि नंतर उपयोजनाचा पुन्हा प्रयत्न करतो

सहाय्यक कागदपत्रे

मायक्रोन:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• FIPS 140-2 साठी मंजूर क्रिप्टो अल्गोरिदमची यादी: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• प्रकल्प: CSC.nuova उत्पादन: ucs-blade-server घटक: ucsm

SED कार्यात्मक तपशील:

• EDCS: 1574090

SED CIMC तपशील:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

मेलिंग याद्या:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

कागदपत्रे / संसाधने

सिस्को हायपरफ्लेक्स एचएक्स डेटा प्लॅटफॉर्म [pdf] सूचना हायपरफ्लेक्स एचएक्स डेटा प्लॅटफॉर्म, हायपरफ्लेक्स, एचएक्स डेटा प्लॅटफॉर्म, डेटा प्लॅटफॉर्म, प्लॅटफॉर्म

संदर्भ

• वापरकर्ता मॅन्युअल