Платформа данных CISCO HyperFlex HX

Информация о продукте

• Название продукта: HX-шифрование безопасности
• Версия: ХХДП 5.01б
• Решение для шифрования: Программное решение с использованием Intersight Key Manager
• Тип шифрования: Самошифрующиеся диски (SED)
• Поддерживаемые типы дисков: Жесткие и твердотельные накопители с самошифрованием от Micron
• Стандарты соответствия: FIPS 140-2 уровень 2 (производители накопителей) и FIPS 140-2 уровень 1 (платформа)
• Общекластерное шифрование: Шифрование в HX реализовано аппаратно для хранящихся данных только с использованием SED.
• Индивидуальное шифрование виртуальной машины: Управляется сторонним программным обеспечением, например Hytrust или прозрачным клиентом Vormetric.
• Собственное шифрование виртуальной машины VMware: Поддерживается HX для использования с шифрованием SED.
• Ключевой менеджмент: Ключ шифрования носителя (MEK) и ключ шифрования ключа (KEK) используются для каждого SED.
• Использование памяти: Ключи шифрования никогда не присутствуют в памяти узла.
• Влияние на производительность: Шифрование/дешифрование диска осуществляется аппаратным обеспечением накопителя, общая производительность системы не страдает.
• Дополнительные преимущества SED:
  • Мгновенное криптографическое стирание для снижения затрат на вывод из эксплуатации и перераспределение дисков.
  • Соответствие государственным или отраслевым нормам в отношении конфиденциальности данных.
  • Снижен риск кражи диска и узла, поскольку данные становятся нечитаемыми после удаления оборудования.

Инструкции по применению продукта

Чтобы использовать HX Security Encryption, следуйте этим инструкциям:

1. Убедитесь, что ваша система поддерживает аппаратное шифрование или что вы предпочитаете программное решение с помощью Intersight Key Manager.
2. Обратитесь к административным документам или техническим документам для получения информации о программном шифровании.
3. Если вы решите использовать аппаратное шифрование с SED, убедитесь, что ваш кластер HX состоит из однородных узлов (SED или не SED).
4. При использовании SED следует понимать, что используются два ключа: ключ шифрования носителя (MEK) и ключ шифрования ключа (KEK).
5. MEK управляет шифрованием и дешифрованием данных на диске, а его защита и управление осуществляется аппаратно.
6. KEK защищает MEK/DEK и хранится либо в локальном, либо в удаленном хранилище ключей.
7. Не беспокойтесь о том, что ключи присутствуют в памяти узла, поскольку ключи шифрования там никогда не хранятся.
8. Обратите внимание, что шифрование/дешифрование диска осуществляется аппаратным обеспечением накопителя, что гарантирует отсутствие влияния на общую производительность системы.
9. Если у вас есть особые требования к стандартам соответствия, имейте в виду, что диски с шифрованием HX SED соответствуют стандартам FIPS 140-2 уровня 2 от производителей дисков, а шифрование HX на платформе соответствует стандартам FIPS 140-2 уровня 1.
10. Если вам необходимо зашифровать отдельные виртуальные машины, рассмотрите возможность использования стороннего программного обеспечения, такого как Hytrust или прозрачный клиент Vormetric. Альтернативно вы можете использовать собственное шифрование виртуальных машин VMware, представленное в vSphere 3.
11. Имейте в виду, что использование клиента шифрования виртуальной машины поверх шифрования на основе HX SED приведет к двойному шифрованию данных.
12. Убедитесь, что ваш кластер HX подключен через доверенные сети или зашифрованные туннели для безопасной репликации, поскольку репликация HX не шифруется.

Часто задаваемые вопросы по шифрованию безопасности HX

Начиная с HXDP 5.01b, HyperFlex предлагает программное решение с использованием Intersight Key Manager для систем, которые либо не поддерживают аппаратное шифрование, либо для пользователей, которым нужна эта функциональность вместо аппаратных решений. В этом разделе часто задаваемых вопросов рассматриваются только аппаратные решения на основе SED для шифрования HX. Информацию о программном шифровании см. в административной документации или технических документах.

Заявление о предвзятости
В документации к этому продукту мы стремимся использовать язык, свободный от предвзятости. Для целей этого набора документации язык, свободный от предвзятости, определяется как язык, который не подразумевает дискриминации по признаку возраста, инвалидности, пола, расовой идентичности, этнической идентичности, сексуальной ориентации, социально-экономического статуса и интерсекциональности. Исключения могут присутствовать в документации из-за языка, который жестко закодирован в пользовательских интерфейсах программного обеспечения продукта, языка, используемого на основе документации стандартов, или языка, который используется упоминаемым сторонним продуктом.

Почему Cisco для безопасности и шифрования HX 

• Вопрос 1.1: Какие процессы существуют для безопасной разработки?
  А 1.1: Серверы Cisco соответствуют жизненному циклу безопасной разработки Cisco (CSDL):
  • Cisco предоставляет процессы, методологии и платформы для разработки встроенной безопасности на серверах Cisco, а не просто наложения.
  • Выделенная команда Cisco для моделирования угроз и статического анализа портфеля продуктов UCS.
  • Группа Cisco Advanced Security Initiative Group (ASIG) проводит упреждающее тестирование на проникновение, чтобы понять, как возникают угрозы, и устранить проблемы путем улучшения аппаратного и программного обеспечения с помощью CDETS и проектирования.
  • Специальная команда Cisco для тестирования и устранения исходящих уязвимостей, а также общения с клиентами в качестве консультантов по безопасности.
  • Все базовые продукты соответствуют базовым требованиям безопасности продуктов (PSB), которые регулируют стандарты безопасности для продуктов Cisco.
  • Cisco выполняет тестирование уязвимостей/устойчивости протоколов во всех выпусках UCS.
• Вопрос 1.2: Почему важны SED?
  А 1.2: SED используются для шифрования хранящихся данных и являются обязательными для многих, если не для всех, федеральных, медицинских и финансовых учреждений.

Общая информацияview

• Вопрос 2.1: Что такое SED?
  А 2.1: SED (самошифрующиеся диски) имеют специальное оборудование, которое шифрует входящие данные и расшифровывает исходящие данные в режиме реального времени.
• Вопрос 2.2: Каков объем шифрования в HX?
  А 2.2: Шифрование в HX в настоящее время реализовано аппаратно для хранящихся данных только с использованием зашифрованных дисков (SED). HX-шифрование распространяется на весь кластер. Шифрование отдельных виртуальных машин осуществляется сторонним программным обеспечением, например Hytrust или прозрачным клиентом Vormetric, и выходит за рамки ответственности HX. HX также поддерживает использование собственного шифрования виртуальных машин VMware, представленного в vSphere 3. Использование клиента шифрования виртуальной машины поверх шифрования на основе HX SED приведет к двойному шифрованию данных. Репликация HX не шифруется и опирается на доверенные сети или зашифрованные туннели, развернутые конечным пользователем.
• Вопрос 2.3. Каким стандартам соответствия соответствует шифрование HX?
  А 2.3: Диски с шифрованием HX SED соответствуют стандартам FIPS 140-2 уровня 2 от производителей дисков. Шифрование HX на платформе соответствует стандартам FIPS 140-2 уровня 1.
• Вопрос 2.4: Поддерживаем ли мы шифрование как на HDD, так и на SSD?
  А 2.4: Да, мы поддерживаем как жесткие диски, так и твердотельные накопители с самошифрованием от Micron.
• Вопрос 2.5. Может ли кластер HX одновременно иметь зашифрованные и незашифрованные диски?
  А 2.5: Все узлы в кластере должны быть однородными (SED или не SED).
• Вопрос 2.6. Какие ключи используются для SED и как они используются?
  А 2.6: Для каждого SED используется два ключа. Ключ шифрования носителя (MEK), также называемый ключом шифрования диска (DEK), управляет шифрованием и дешифрованием данных на диске, а также защищается и управляется аппаратно. Ключ шифрования ключа (KEK) защищает DEK/MEK и хранится либо в локальном, либо в удаленном хранилище ключей.
• Вопрос 2.7: Присутствуют ли ключи в памяти?
  А 2.7: Ключи шифрования никогда не присутствуют в памяти узла.
• Вопрос 2.8: Как процесс шифрования/дешифрования влияет на производительность?
  А 2.8: Шифрование/дешифрование диска осуществляется аппаратным обеспечением накопителя. Общая производительность системы не страдает и не подвергается атакам, нацеленным на другие компоненты системы.
• Вопрос 2.9. Какие еще причины использовать SED, помимо шифрования данных?
  А 2.9: SED могут снизить затраты на вывод из эксплуатации и перераспределение накопителей за счет мгновенного криптографического стирания. Они также служат для соблюдения государственных или отраслевых правил в отношении конфиденциальности данных. Еще один адванtage — снижение риска кражи дисков и узлов, поскольку данные после удаления оборудования из экосистемы становятся нечитаемыми.
• Вопрос 2.10. Что происходит с дедупликацией и сжатием с помощью SED? Что происходит с сторонним программным шифрованием?
  А2.10: Дедупликация и сжатие с помощью SED в HX поддерживаются, поскольку шифрование хранящихся данных выполняется на последнем этапе процесса записи. Дедупликация и сжатие уже произошли. С помощью сторонних программных продуктов шифрования виртуальные машины управляют шифрованием и передают зашифрованные записи в гипервизор, а затем в HX. Поскольку эти записи уже зашифрованы, они не дедуплицируются и не сжимаются. Программное шифрование HX (в кодовой строке 3.x) представляет собой решение программного шифрования, которое реализуется в стеке после оптимизации записи (дедупликации и сжатия), поэтому в этом случае преимущество будет сохранено.

Рисунок ниже — это переборview реализации SED с HX.

Сведения о диске 

• Вопрос 3.1. Кто производит зашифрованные диски, используемые в HX?
  А 3.1: HX использует накопители производства Micron: ссылки на документы Micron приведены в разделе сопроводительной документации данного раздела часто задаваемых вопросов.
• Вопрос 3.2. Поддерживаем ли мы какие-либо SED, не соответствующие FIPS?
  А 3.2: Мы также поддерживаем некоторые диски, не являющиеся FIPS, но поддерживающие SED (TCGE).
• Вопрос 3.3: Что такое TCG?
  А 3.3: TCG — это группа доверенных вычислений, которая создает и управляет стандартом спецификаций для хранения зашифрованных данных.
• Вопрос 3.4. Что считается безопасностью корпоративного класса, когда речь идет о твердотельных накопителях SAS для центров обработки данных? Какие особенности имеют эти накопители, обеспечивающие безопасность и защиту от атак?
  А 3.4: В этом списке суммированы функции корпоративного класса SED, используемые в HX, и их связь со стандартом TCG.
  1. Диски с самошифрованием (SED) обеспечивают надежную защиту данных, хранящихся на SED, предотвращая несанкционированный доступ к данным. Группа Trusted Computing Group (TCG) разработала список функций и преимуществ дисков с самошифрованием как для жестких дисков, так и для твердотельных накопителей. TCG предоставляет стандарт, который называется TCG Enterprise SSC (класс подсистемы безопасности) и ориентирован на хранящиеся данные. Это требование для всех SED. Спецификация применяется к устройствам хранения данных и контроллерам, которые работают в корпоративных хранилищах. В список входят:
     • Прозрачность: Никаких модификаций системы или приложений не требуется; ключ шифрования, генерируемый самим накопителем с использованием встроенного генератора случайных чисел; диск всегда шифруется.
     • Простота управления: Нет ключа шифрования, которым нужно управлять; Поставщики программного обеспечения используют стандартизированный интерфейс для управления SED, включая удаленное управление, предзагрузочную аутентификацию и восстановление пароля.
     • Стоимость утилизации или повторного использования: С помощью SED сотрите встроенный ключ шифрования.
     • Повторное шифрование: Благодаря SED нет необходимости повторно шифровать данные.
     • Производительность: Отсутствие ухудшения производительности SED; аппаратный
     • Стандартизация: Вся индустрия приводов работает в соответствии со спецификациями TCG/SED.
     • Упрощенно: Никакого вмешательства в предшествующие процессы
  2. SSD-накопители с самошифрованием обеспечивают возможность криптографического стирания диска. Это означает, что на диск можно отправить простую аутентифицированную команду для изменения 256-битного ключа шифрования, хранящегося на диске. Это гарантирует, что диск будет очищен и на нем не останется данных. Даже исходная хост-система не может прочитать данные, поэтому они абсолютно не смогут быть прочитаны любой другой системой. Операция занимает всего пару секунд, в отличие от многих минут или даже часов, которые требуются для выполнения аналогичной операции на незашифрованном жестком диске, и позволяет избежать затрат на дорогостоящее оборудование или услуги для размагничивания жесткого диска.
  3. FIPS (Федеральный стандарт обработки информации) 140-2 — это стандарт правительства США, описывающий требования к шифрованию и связанным с ним требованиям безопасности, которым должны соответствовать ИТ-продукты для конфиденциального, но несекретного использования. Это часто является требованием для государственных учреждений и компаний в сфере финансовых услуг и здравоохранения. Твердотельный накопитель, сертифицированный по стандарту FIPS-140-2, использует надежные методы обеспечения безопасности, включая утвержденные алгоритмы шифрования. Он также определяет, как отдельные лица или другие процессы должны быть авторизованы для использования продукта и как должны быть разработаны модули или компоненты для безопасного взаимодействия с другими системами. Фактически, одним из требований к SSD-накопителю, сертифицированному по стандарту FIPS-140-2, является то, что он является самошифрующимся. Имейте в виду, что хотя TCG — не единственный способ получить сертифицированный зашифрованный диск, спецификации TCG Opal и Enterprise SSC предоставляют нам ступеньку к проверке FIPS. 4. Еще одна важная функция — безопасная загрузка и диагностика. Эта функция прошивки защищает диск от программных атак с помощью цифровой подписи, встроенной в прошивку. Когда необходима загрузка, цифровая подпись предотвращает несанкционированный доступ к диску, предотвращая загрузку на диск поддельной прошивки.

Установка Hyperflex с помощью SED

• Вопрос 4.1. Как установщик осуществляет развертывание с самошифрованием? Есть ли какие-то специальные проверки?
  А 4.1: Установщик связывается с UCSM и гарантирует, что микропрограмма системы правильна и поддерживается для обнаруженного оборудования. Совместимость шифрования проверяется и обеспечивается (например, не допускается смешивание SED и не-SED).
• Вопрос 4.2. Отличается ли развертывание в остальном?
  А 4.2: Установка аналогична обычной установке HX, однако настраиваемый рабочий процесс не поддерживается для SED. Для этой операции также требуются учетные данные UCSM для SED.
• Вопрос 4.3. Как лицензирование работает с шифрованием? Есть ли что-то дополнительное, что должно быть на месте?
  А 4.3: Аппаратное обеспечение SED (заказанное на заводе, а не модернизированное) + HXDP 2.5 + UCSM (3.1(3x)) — единственное, что необходимо для включения шифрования с управлением ключами. В выпуске 2.5 не требуется никаких дополнительных лицензий, помимо базовой подписки HXDP.
• Вопрос 4.4. Что произойдет, если в моей системе с самошифрованием есть диски, которые больше не доступны? Как я могу расширить этот кластер?
  А 4.4: Всякий раз, когда у нас есть какой-либо PID, срок службы которого истек, от наших поставщиков, у нас есть запасной PID, совместимый со старым PID. Этот заменяющий PID можно использовать для RMA, расширения внутри узла и расширения кластера (за счет новых узлов). Поддерживаются все методы, однако может потребоваться обновление до определенной версии, которая также указана в примечаниях к переходной версии.

Ключевой менеджмент

• Вопрос 5.1: Что такое управление ключами?
  А 5.1: Управление ключами — это задачи, связанные с защитой, хранением, резервным копированием и организацией ключей шифрования. HX реализует это в политике, ориентированной на UCSM.
• Вопрос 5.2: Какой механизм обеспечивает поддержку конфигурации ключей?
  А 5.2: UCSM обеспечивает поддержку настройки ключей безопасности.
• Вопрос 5.3: Какой тип управления ключами доступен?
  А 5.3: Поддерживается локальное управление ключами, а также удаленное управление ключами корпоративного класса с помощью сторонних серверов управления ключами.
• Вопрос 5.4: Кто является партнерами по удаленному управлению ключами?
  А 5.4: В настоящее время мы поддерживаем Vormetric и Gemalto (Safenet), а также высокую доступность (HA). HyTrust находится в стадии тестирования.
• Вопрос 5.5: Как осуществляется удаленное управление ключами?
  А 5.5: Удаленное управление ключами осуществляется через KMIP 1.1.
• Вопрос 5.6: Как настроено локальное управление?
  А 5.6: Ключ безопасности (KEK) настраивается в HX Connect непосредственно пользователем.
• Вопрос 5.7: Как настроено удаленное управление?
  А 5.7: Информация об адресе сервера удаленного управления ключами (KMIP) вместе с учетными данными для входа настраивается в HX Connect пользователем.
• Вопрос 5.8: Какая часть HX взаимодействует с сервером KMIP для настройки?
  А 5.8: CIMC на каждом узле использует эту информацию для подключения к серверу KMIP и получения от него ключа безопасности (KEK).
  
• Вопрос 5.9. Какие типы сертификатов поддерживаются в процессе генерации/извлечения/обновления ключей?
  А 5.9: Поддерживаются как подписанные CA, так и самозаверяющие сертификаты.
  
• Вопрос 5.10. Какие рабочие процессы поддерживаются процессом шифрования?
  А 5.10: Поддерживается защита/снятие защиты с использованием специального пароля, а также преобразование локального управления ключами в удаленное. Поддерживаются операции повторного ключа. Также поддерживается операция безопасного стирания диска.
  

Рабочий процесс пользователя: локальный

• Вопрос 6.1: Где в HX Connect настроить локальное управление ключами?
  А 6.1: На панели управления шифрованием выберите кнопку настройки и следуйте указаниям мастера.
• Вопрос 6.2: Что мне нужно иметь наготове, чтобы начать?
  А 6.2: Вам потребуется ввести 32-значную кодовую фразу безопасности.
• Вопрос 6.3. Что произойдет, если мне понадобится вставить новый SED?
  А 6.3: В UCSM вам нужно будет отредактировать локальную политику безопасности и установить развернутый ключ на существующий ключ узла.
• В 6.4: Что произойдет, когда я вставлю новый диск?
  А 6.4: Если ключ безопасности на диске совпадает с ключом сервера (узла), он автоматически разблокируется. Если ключи безопасности разные, диск будет отображаться как «Заблокирован». Вы можете либо очистить диск, чтобы удалить все данные, либо разблокировать его, введя правильный ключ. Это хорошее время для привлечения TAC.

Рабочий процесс пользователя: удаленный

• Вопрос 7.1. На что следует обратить внимание при настройке удаленного управления ключами?
  А 7.1: Связь между кластером и сервером(ами) KMIP осуществляется через CIMC на каждом узле. Это означает, что имя хоста можно использовать для сервера KMIP только в том случае, если внутриполосный IP-адрес и DNS настроены в управлении CIMC.
• Вопрос 7.2. Что произойдет, если мне потребуется заменить или вставить новый SED?
  А 7.2: Кластер прочитает идентификатор с диска и попытается его автоматически разблокировать. Если автоматическая разблокировка не удалась, диск отображается как «заблокированный», и пользователю придется разблокировать диск вручную. Вам придется скопировать сертификаты на сервер(ы) KMIP для обмена учетными данными.
• Вопрос 7.3: Как скопировать сертификаты из кластера на сервер(ы) KMIP?
  А 7.3: Есть два способа сделать это. Вы можете скопировать сертификат с BMC на сервер KMIP напрямую или использовать CSR для получения сертификата, подписанного центром сертификации, и скопировать сертификат, подписанный центром сертификации, на BMC с помощью команд UCSM.
• Вопрос 7.4. Какие соображения следует учитывать при добавлении зашифрованных узлов в кластер, использующий удаленное управление ключами?
  А 7.4: При добавлении новых хостов к серверам KMIP в качестве имени хоста должен использоваться серийный номер сервера. Чтобы получить сертификат сервера KMIP, вы можете использовать браузер для получения корневого сертификата сервера(ов) KMIP.

Рабочий процесс пользователя: общий

• Вопрос 8.1: Как стереть диск?
  А 8.1: На панели управления HX Connect выберите информацию о системе. view. Оттуда вы можете выбрать отдельные диски для безопасного удаления.
• Вопрос 8.2: Что делать, если я случайно удалил данные с диска?
  А 8.2: При использовании безопасного удаления данные уничтожаются безвозвратно.
• Вопрос 8.3. Что произойдет, если я захочу вывести из эксплуатации узел или отключить сервисную службу?file?
  А 8.3: Ни одно из этих действий не приведет к удалению шифрования на диске/контроллере.
• Вопрос 8.4: Как отключить шифрование?
  А 8.4: Пользователь должен явно отключить шифрование в HX Connect. Если пользователь попытается удалить политику безопасности в UCSM, когда связанный сервер защищен, UCSM отобразит ошибку конфигурации и запретит действие. Сначала необходимо отключить политику безопасности.

Рабочий процесс пользователя: управление сертификатами

• Вопрос 9.1. Как обрабатываются сертификаты во время настройки удаленного управления?
  А 9.1: Сертификаты создаются с помощью HX Connect и удаленных серверов KMIP. Однажды созданные сертификаты практически никогда не удаляются.
• Вопрос 9.2: Какие сертификаты я могу использовать?
  А 9.2: Вы можете использовать либо самоподписанные сертификаты, либо сертификаты CA. Вам придется выбирать во время установки. Для сертификатов, подписанных центром сертификации, вы создадите набор запросов на подпись сертификатов (CSR). Подписанные сертификаты загружаются на сервер(ы) KMIP.
• Вопрос 9.3: Какое имя хоста мне следует использовать при создании сертификатов?
  А 9.3: Имя хоста, используемое для создания сертификата, должно быть серийным номером сервера.

Обновления прошивки

• Вопрос 10.1: Есть ли ограничения на обновление прошивки диска?
  А 10.1: Если обнаружен диск с возможностью шифрования, любые изменения микропрограммы для этого диска будут запрещены.
• Вопрос 10.2: Существуют ли какие-либо ограничения на обновление прошивки UCSM?
  А 10.2: Понижение версии UCSM/CIMC до версии до UCSM 3.1(3x) ограничено, если имеется контроллер, находящийся в защищенном состоянии.

Безопасное удаление данных

• Вопрос 11.1. Что такое безопасное удаление?
  А 11.1: Безопасное удаление — это мгновенное удаление данных на диске (стирание ключа шифрования диска). Это означает, что на диск можно отправить простую аутентифицированную команду для изменения 256-битного ключа шифрования, хранящегося на диске. Это гарантирует, что диск будет очищен и на нем не останется данных. Даже исходная хост-система не может прочитать данные, поэтому они будут недоступны для чтения любой другой системой. Операция занимает всего пару секунд, в отличие от многих минут или даже часов, которые требуются для выполнения аналогичной операции на незашифрованном диске, и позволяет избежать затрат на дорогостоящее оборудование или услуги для размагничивания.
• Вопрос 11.2: Как выполняется безопасное удаление?
  А 11.2: Это операция графического интерфейса, которая выполняется по одному диску за раз.
• Вопрос 11.3. Когда обычно выполняется безопасное удаление?
  А 11.3: Безопасное удаление одного диска по инициативе пользователя — редкая операция. Чаще всего это делается, когда вы хотите физически извлечь диск для замены, перенести его на другой узел или избежать сбоя в ближайшем будущем.
• Вопрос 11.4. Какие существуют ограничения на безопасное удаление данных?
  А 11.4: Операции безопасного стирания можно выполнять только в том случае, если кластер работоспособен, чтобы гарантировать, что отказоустойчивость кластера не пострадает.
• Вопрос 11.5: Что произойдет, если мне понадобится удалить весь узел?
  А 11.5: Существуют рабочие процессы удаления и замены узлов для поддержки безопасного удаления всех дисков. Подробную информацию см. в руководстве администратора или обратитесь в центр технической поддержки Cisco.
• Вопрос 11.6. Можно ли повторно использовать безопасно стертый диск?
  А 11.6: Диск, который был надежно стерт, можно повторно использовать только в другом кластере. Безопасное удаление SED осуществляется путем очистки ключа шифрования диска (DEK). Данные на диске невозможно расшифровать без DEK. Это позволяет повторно использовать или вывести из эксплуатации диск без какого-либо риска для данных.
• Вопрос 11.7. Что произойдет, если диск, который я хочу стереть, содержит последнюю первичную копию данных кластера?
  А 11.7: Данные на диске должны иметь другие копии в кластере, чтобы избежать потери данных. Однако если безопасное удаление запрошено на диске, который является последней основной копией, эта операция будет отклонена до тех пор, пока не останется хотя бы еще одна доступная копия. Ребалансировка должна делать эту копию в фоновом режиме.
• Вопрос 11.8: Мне действительно нужно безопасно стереть диск, но кластер неработоспособен. Как мне это сделать?
  А 11.8: Командная строка (STCLI/HXCLI) разрешит безопасное удаление, если кластер неработоспособен и на диске нет последней основной копии; в противном случае оно будет запрещено.
• В 11.9: Как я могу безопасно стереть весь узел?
  А 11.9: Это редкий сценарий. Безопасное удаление всех дисков в узле выполняется, когда кто-то хочет вывести узел из кластера. Цель состоит в том, чтобы либо развернуть узел в другом кластере, либо вывести его из эксплуатации. Мы можем классифицировать удаление узла в этом сценарии двумя разными способами:
  1. Безопасное стирание всех дисков без отключения шифрования.
  2. Безопасное удаление всех дисков с последующим отключением шифрования для этого узла (и дисков). Обратитесь в центр технической поддержки Cisco за помощью.

Безопасное расширение кластера

• Вопрос 12.1. Каким узлом я могу расширить зашифрованный кластер?
  А 12.1: В кластер HX с SED можно добавлять только узлы с поддержкой SED.
• Вопрос 12.2. Как осуществляется расширение с помощью локального управления ключами?
  А 12.2: Расширение локального ключа — это простая операция, не требующая внешней настройки.
• Вопрос 12.3: Как осуществляется расширение с помощью удаленного управления ключами?
  А 12.3: Удаленное расширение ключей требует согласования с инфраструктурой управления сертификатами/ключами:
  • Сертификаты необходимы для безопасного добавления нового узла
  • При развертывании отобразится предупреждение с инструкциями по продолжению, включая ссылку для загрузки сертификата.
  • Пользователь выполняет действия по загрузке сертификатов, а затем повторяет попытку развертывания.

Подтверждающие документы

Микрон:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

ФИПС

• Список криптоалгоритмов, одобренных для FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

СДЕТС:

• Проект: CSC.nuova Продукт: ucs-blade-server Компонент: ucsm

Функциональная спецификация SED:

• ЕДЦ: 1574090

Спецификация SED CIMC:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Списки рассылки:

• ucsm-dev@cisco.com
• Ask-hci-tme@cisco.com
• Ask-hci-pm@cisco.com

Документы/Ресурсы

Платформа данных CISCO HyperFlex HX [pdf] Инструкции Платформа данных HyperFlex HX, HyperFlex, Платформа данных HX, Платформа данных, Платформа

Ссылки

• Руководство пользователя