Platforma e të dhënave CISCO HyperFlex HX

Informacioni i produktit

• Emri i produktit: Kriptimi i sigurisë HX
• Versioni: HXDP 5.01b
• Zgjidhja e enkriptimit: Zgjidhje e bazuar në softuer duke përdorur Intersight Key Manager
• Lloji i kriptimit: Disqet vetë-kriptuese (SED)
• Llojet e diskut të mbështetur: HDD dhe SSD SED nga Micron
• Standardet e pajtueshmërisë: FIPS 140-2 niveli 2 (prodhuesit e disqeve) dhe FIPS 140-2 niveli 1 (platforma)
• Kriptimi i gjerë në grup: Kriptimi në HX zbatohet në harduer për të dhënat në pushim vetëm duke përdorur SED
• Kriptimi individual i VM: Trajtuar nga softuer i palës së tretë si klienti transparent i Hytrust ose Vormetric
• VMware Native VM Encryption: Mbështetur nga HX për përdorim me enkriptimin SED
• Menaxhimi i çelësit: Çelësi i enkriptimit të medias (MEK) dhe çelësi i enkriptimit të çelësit (KEK) përdoren për çdo SED
• Përdorimi i memories: Çelësat e enkriptimit nuk janë kurrë të pranishëm në kujtesën e nyjeve
• Ndikimi i performancës: Kriptimi/deshifrimi i diskut trajtohet në harduerin e diskut, performanca e përgjithshme e sistemit nuk ndikohet
• Përfitimet shtesë të SED-ve:
  • Fshirja e menjëhershme kriptografike për shpenzime të reduktuara të daljes në pension dhe rishpërndarjes së makinës
  • Pajtueshmëria me rregulloret e qeverisë ose industrisë për privatësinë e të dhënave
  • Zvogëlohet rreziku i vjedhjes së diskut dhe vjedhjes së nyjeve pasi të dhënat bëhen të palexueshme pasi të hiqet hardueri

Udhëzimet e përdorimit të produktit

Për të përdorur HX Security Encryption, ndiqni këto udhëzime:

1. Sigurohuni që sistemi juaj mbështet enkriptimin e bazuar në harduer ose që preferoni zgjidhjen e bazuar në softuer duke përdorur Intersight Key Manager.
2. Referojuni dokumenteve të administratës ose letrës së bardhë për informacion mbi enkriptimin e bazuar në softuer.
3. Nëse zgjidhni të përdorni kriptim të bazuar në harduer me SED, sigurohuni që grupi juaj HX të përbëhet nga nyje uniforme (SED ose jo SED).
4. Për SED, kuptoni se ka dy çelësa në përdorim: Çelësi i Enkriptimit të Medias (MEK) dhe Çelësi i Enkriptimit të Çelësve (KEK).
5. MEK kontrollon enkriptimin dhe deshifrimin e të dhënave në disk dhe sigurohet dhe menaxhohet në harduer.
6. KEK-u siguron MEK/DEK dhe mbahet në një dyqan çelësash lokal ose të largët.
7. Mos u shqetësoni se çelësat janë të pranishëm në kujtesën e nyjeve, pasi çelësat e enkriptimit nuk ruhen kurrë atje.
8. Vini re se kriptimi/deshifrimi i diskut trajtohet në harduerin e diskut, duke siguruar që performanca e përgjithshme e sistemit të mos ndikohet.
9. Nëse keni kërkesa specifike për standardet e pajtueshmërisë, kini parasysh që disqet e koduar HX SED plotësojnë standardet FIPS 140-2 të nivelit 2 nga prodhuesit e disqeve, ndërsa Kriptimi HX në platformë plotëson standardet FIPS 140-2 të nivelit 1.
10. Nëse keni nevojë të kriptoni VM-të individuale, merrni parasysh përdorimin e softuerëve të palëve të treta, siç është klienti transparent i Hytrust ose Vormetric. Përndryshe, mund të përdorni enkriptimin vendas të VM-së të VMware të prezantuar në vSphere 3.
11. Mbani në mend se përdorimi i një klienti të enkriptimit VM në krye të kriptimit të bazuar në HX SED do të rezultojë në kriptim të dyfishtë të të dhënave.
12. Sigurohuni që grupi juaj HX të jetë i lidhur përmes rrjeteve të besuara ose tuneleve të koduara për përsëritje të sigurt, pasi replikimi HX nuk është i koduar.

FAQ të kriptimit të sigurisë HX

Që nga HXDP 5.01b, HyperFlex ofron një zgjidhje të bazuar në softuer duke përdorur Intersight Key Manager për sistemet që ose nuk mbështesin enkriptimin e bazuar në harduer ose për përdoruesit që dëshirojnë këtë funksionalitet mbi zgjidhjet harduerike. Ky FAQ fokusohet vetëm në zgjidhjet harduerike të bazuara në SED për enkriptimin HX. Shikoni dokumentet e administrimit ose letrën e bardhë për informacion mbi enkriptimin e bazuar në softuer.

Deklaratë paragjykimesh
Dokumentacioni i vendosur për këtë produkt përpiqet të përdorë gjuhë pa paragjykime. Për qëllimet e këtij grupi dokumentacioni, pa paragjykime përkufizohet si gjuhë që nuk nënkupton diskriminim në bazë të moshës, paaftësisë, gjinisë, identitetit racor, identitetit etnik, orientimit seksual, statusit socio-ekonomik dhe ndërsektorialitetit. Përjashtimet mund të jenë të pranishme në dokumentacion për shkak të gjuhës që është e koduar në ndërfaqet e përdoruesit të softuerit të produktit, gjuhës së përdorur bazuar në dokumentacionin standard ose gjuhës që përdoret nga një produkt i palës së tretë të referuar.

Pse Cisco për Siguri dhe Kriptim HX 

• Pyetja 1.1: Cilat procese janë në vend për zhvillim të sigurt?
  A 1.1: Serverët Cisco i përmbahen Ciklit të Jetës së Zhvillimit të Sigurt të Cisco (CSDL):
  • Cisco ofron procese, metodologji, korniza për të zhvilluar sigurinë e integruar në serverët Cisco, jo vetëm një mbivendosje
  • Ekipi i përkushtuar i Cisco-s për modelimin e kërcënimeve/analizën statike në portofolin e produkteve UCS
  • Cisco Advanced Security Initiative Group (ASIG) kryen testime proaktive të penetrimit për të kuptuar se si vijnë kërcënimet dhe rregullojnë problemet duke përmirësuar HW & SW përmes CDETS dhe inxhinierisë
  • Ekipi i përkushtuar i Cisco-s për të testuar dhe trajtuar cenueshmërinë e jashtme dhe për të komunikuar si këshilltarë sigurie me klientët
  • Të gjitha produktet themelore kalojnë përmes kërkesave bazë të sigurisë së produktit (PSB) që rregullon standardet e sigurisë për produktet Cisco
  • Cisco kryen testimin e qëndrueshmërisë së Vulnerability/Protokollit në të gjitha lëshimet e UCS
• Pyetja 1.2: Pse janë të rëndësishme SED-të?
  A 1.2: SED-të përdoren për kriptim të të dhënave në pushim dhe janë një kërkesë për shumë, nëse jo të gjitha, institucione federale, mjekësore dhe financiare.

Informacione të Përgjithshme Mbiview

• Pyetja 2.1: Çfarë janë SED?
  A 2.1: SED (Self-encrypting Drives) kanë pajisje speciale që kodojnë të dhënat hyrëse dhe deshifrojnë të dhënat dalëse në kohë reale.
• Pyetja 2.2: Cili është qëllimi i kriptimit në HX?
  A 2.2: Enkriptimi në HX aktualisht zbatohet në harduer për të dhënat në pushim vetëm duke përdorur disqet e koduar (SED). Kriptimi HX është i gjerë në grup. Kriptimi individual i VM-së trajtohet nga softuer i palës së tretë si klienti transparent i Hytrust ose Vormetric dhe është jashtë fushëveprimit të përgjegjësive të HX. HX gjithashtu mbështet përdorimin e enkriptimit VM vendas të VMware të prezantuar në vSphere 3. Përdorimi i një klienti të kriptimit VM në krye të kriptimit të bazuar në HX SED do të rezultojë në kriptim të dyfishtë të të dhënave. Replikimi HX nuk është i koduar dhe mbështetet në rrjete të besuara ose në tunele të koduara të vendosura nga përdoruesi përfundimtar.
• Pyetja 2.3: Cilat standarde të përputhshmërisë plotësohen me enkriptimin HX?
  A 2.3: Disqet e koduar HX SED plotësojnë standardet FIPS 140-2 të nivelit 2 nga prodhuesit e disqeve. Kriptimi HX në platformë plotëson standardet FIPS 140-2 të nivelit 1.
• Pyetja 2.4: A mbështesim si HDD ashtu edhe SSD për enkriptim?
  A 2.4: Po, ne mbështesim HDD dhe SSD SED nga Micron.
• Pyetja 2.5: A mundet një grup HX të ketë disqe të enkriptuara dhe jo të koduara në të njëjtën kohë?
  A 2.5: Të gjitha nyjet në grup duhet të jenë uniforme (SED ose jo SED)
• Pyetja 2.6: Çfarë çelësash përdoren për një SED dhe si përdoren ato?
  A 2.6: Ka dy çelësa në përdorim për çdo SED. Çelësi i enkriptimit të medias (MEK) i quajtur gjithashtu Çelësi i enkriptimit të diskut (DEK), kontrollon enkriptimin dhe deshifrimin e të dhënave në disk dhe është i siguruar dhe menaxhuar në harduer. Çelësi i enkriptimit të çelësit (KEK) siguron DEK/MEK dhe mbahet në një dyqan çelësash lokal ose në distancë.
• Pyetja 2.7: A janë çelësat ndonjëherë të pranishëm në memorie?
  A 2.7: Çelësat e enkriptimit nuk janë kurrë të pranishëm në kujtesën e nyjeve
• Pyetja 2.8: Si ndikohet performanca nga procesi i kriptimit/deshifrimit?
  A 2.8: Kriptimi/deshifrimi i diskut trajtohet në harduerin e diskut. Performanca e përgjithshme e sistemit nuk ndikohet dhe nuk i nënshtrohet sulmeve që synojnë komponentë të tjerë të sistemit
• Pyetja 2.9: Përveç enkriptimit në qetësi, cilat janë arsyet e tjera për të përdorur SED?
  A 2.9: SED-të mund të zvogëlojnë kostot e daljes në pension dhe rishpërndarjes së makinës përmes fshirjes së menjëhershme kriptografike. Ato shërbejnë gjithashtu për të qenë në përputhje me rregulloret e qeverisë ose industrisë për privatësinë e të dhënave. Një tjetër avantazhtage është rreziku i reduktuar i vjedhjes së diskut dhe vjedhjes së nyjeve pasi të dhënat, pasi të hiqet hardueri nga ekosistemi, janë të palexueshme.
• Pyetja 2.10: Çfarë ndodh me dedulikimin dhe kompresimin me SED? Çfarë ndodh me kriptimin e bazuar në softuer të palës së tretë?
  A2.10: Dedulikimi dhe kompresimi me SED në HX ruhet pasi enkriptimi i të dhënave në pushim ndodh si hapi i fundit në procesin e shkrimit. Dedulikimi dhe ngjeshja tashmë kanë ndodhur. Me produktet e enkriptimit të bazuara në softuer të palëve të treta, VM-të menaxhojnë enkriptimin e tyre dhe kalojnë shkrime të koduara te hipervizori dhe më pas HX. Meqenëse këto shkrime tashmë janë të koduara, ato nuk dublikohen ose kompresohen. Kriptimi i bazuar në softuer HX (në linjën e kodit 3.x) do të jetë një zgjidhje e enkriptimit të softuerit që zbatohet në pirg pasi të kenë ndodhur optimizimet e shkrimit (zhdukja dhe kompresimi), kështu që përfitimi do të ruhet në atë rast.

Figura më poshtë është një fundview të zbatimit të SED me HX.

Detajet e makinës 

• Pyetja 3.1: Kush i prodhon disqet e koduar që përdoren në HX?
  A 3.1: HX përdor disqet e prodhuar nga Micron: Dokumentet specifike të mikronit janë të lidhura në seksionin e dokumenteve mbështetëse të këtij FAQ.
• Pyetja 3.2: A mbështesim ne ndonjë SED që nuk është në përputhje me FIPS?
  A 3.2: Ne gjithashtu mbështesim disa disqe që nuk janë FIPS, por mbështesin SED (TCGE).
• Pyetja 3.3: Çfarë është TCG?
  A 3.3: TCG është Trusted Computing Group, i cili krijon dhe menaxhon standardin e specifikimeve për ruajtjen e koduar të të dhënave
• Pyetja 3.4: Çfarë konsiderohet siguri e klasës së ndërmarrjes kur bëhet fjalë për SAS SSD për qendrën e të dhënave? Çfarë veçori specifike kanë këto disqe që sigurojnë siguri dhe mbrojnë kundër sulmeve?
  A 3.4: Kjo listë përmbledh veçoritë e klasës së ndërmarrjes të SED-ve të përdorura në HX dhe mënyrën se si ato lidhen me standardin TCG.
  1. Disqet vetë-kriptuese (SED) ofrojnë siguri të fortë për të dhënat në pushim në SED-in tuaj, duke parandaluar aksesin e paautorizuar të të dhënave. Trusted Computing Group (TCG) ka zhvilluar një listë të veçorive dhe përfitimeve të disqeve vetë-kriptuese për HDD dhe SSD. TCG ofron një standard që quhet TCG Enterprise SSC (Klasa e Nënsistemit të Sigurisë) dhe fokusohet në të dhënat në pushim. Kjo është një kërkesë për të gjitha SED. Specifikimet zbatohen për pajisjet e ruajtjes së të dhënave dhe kontrollorët që funksionojnë në ruajtjen e ndërmarrjes. Lista përfshin:
     • Transparenca: Nuk kërkohen modifikime të sistemit ose aplikacionit; çelësi i enkriptimit i krijuar nga vetë disku, duke përdorur një gjenerues të vërtetë të numrave të rastësishëm në bord; disku është gjithmonë duke enkriptuar.
     • Lehtësia e menaxhimit: Nuk ka çelës enkriptimi për të menaxhuar; shitësit e programeve kompjuterike shfrytëzojnë ndërfaqen e standardizuar për të menaxhuar SED-të, duke përfshirë menaxhimin në distancë, vërtetimin para nisjes dhe rikuperimin e fjalëkalimit
     • Kostoja e asgjësimit ose ripërdorimit: Me një SED, fshini çelësin e enkriptimit në bord
     • Rikriptimi: Me SED, nuk ka nevojë të rikriptohen të dhënat
     • Performanca: Asnjë degradim në performancën e SED; bazuar në harduer
     • Standardizimi: E gjithë industria e makinës po ndërton sipas specifikimeve TCG/SED
     • E thjeshtuar: Asnjë ndërhyrje në proceset në rrjedhën e sipërme
  2. SSD-të SED ofrojnë është aftësia për të fshirë kriptografikisht diskun. Kjo do të thotë që një komandë e thjeshtë e vërtetuar mund të dërgohet në diskun për të ndryshuar çelësin e enkriptimit 256-bit të ruajtur në disk. Kjo siguron që disku të fshihet dhe të mos mbeten të dhëna. Edhe sistemi origjinal pritës nuk mund t'i lexojë të dhënat, kështu që absolutisht do të jetë i palexueshëm nga çdo sistem tjetër. Operacioni zgjat vetëm disa sekonda, në krahasim me shumë minuta apo edhe orët që nevojiten për të kryer një operacion analog në një HDD të pakriptuar dhe shmang koston e pajisjeve ose shërbimeve të shtrenjta të heqjes së HDD-ve.
  3. FIPS (Standardi Federal i Përpunimit të Informacionit) 140-2 është një standard i qeverisë amerikane që përshkruan enkriptimin dhe kërkesat përkatëse të sigurisë që duhet të plotësojnë produktet e TI-së për përdorim të ndjeshëm, por të paklasifikuar. Kjo është shpesh një kërkesë për agjencitë dhe kompanitë qeveritare në shërbimet financiare dhe industritë e kujdesit shëndetësor. Një SSD që është i vërtetuar me FIPS-140-2 përdor praktika të forta sigurie, duke përfshirë algoritme të miratuara të enkriptimit. Ai gjithashtu specifikon se si individët ose proceset e tjera duhet të autorizohen në mënyrë që të përdorin produktin dhe si duhet të dizajnohen modulet ose komponentët për të ndërvepruar në mënyrë të sigurt me sisteme të tjera. Në fakt, një nga kërkesat e një disku SSD të vërtetuar me FIPS-140-2 është që të jetë një SED. Mbani në mend se megjithëse TCG nuk është mënyra e vetme për të marrë një disk të koduar të çertifikuar, specifikimet TCG Opal dhe Enterprise SSC na ofrojnë një hap drejt vërtetimit FIPS. 4. Një veçori tjetër thelbësore është Shkarkimet dhe Diagnostifikimi i Sigurt. Kjo veçori e firmuerit mbron diskun nga sulmet e softuerit nëpërmjet një nënshkrimi dixhital që është i integruar në firmware. Kur nevojiten shkarkime, nënshkrimi dixhital parandalon hyrjen e paautorizuar në disk, duke parandaluar ngarkimin e firmuerit të falsifikuar në disk.

Instaloni Hyperflex me SED

• Pyetja 4.1: Si e trajton instaluesi vendosjen e SED? A ka ndonjë kontroll të veçantë?
  A 4.1: Instaluesi komunikon me UCSM dhe siguron që firmware-i i sistemit është i saktë dhe i mbështetur për harduerin e zbuluar. Përputhshmëria e enkriptimit kontrollohet dhe zbatohet (p.sh., nuk ka përzierje të SED dhe jo-SED).
• Pyetja 4.2: A është vendosja ndryshe?
  A 4.2: Instalimi është i ngjashëm me një instalim të rregullt HX, megjithatë, rrjedha e punës me porosi nuk mbështetet për SED. Ky operacion kërkon kredencialet UCSM për SED gjithashtu.
• Pyetja 4.3: Si funksionon licencimi me kriptim? A ka ndonjë gjë shtesë që duhet të jetë në vend?
  A 4.3: Pajisja SED (i porositur nga fabrika, jo e rikonstruktuar) + HXDP 2.5 + UCSM (3.1 (3x)) janë të vetmet gjëra që nevojiten për të mundësuar enkriptimin me menaxhimin e çelësave. Nuk ka asnjë licencim shtesë jashtë abonimit bazë HXDP që kërkohet në versionin 2.5.
• Pyetja 4.4: Çfarë ndodh kur kam një sistem SED që ka disqe që nuk janë më të disponueshëm? Si mund ta zgjeroj këtë grup?
  A 4.4: Sa herë që kemi ndonjë PID që është në fund të jetës nga furnizuesit tanë, ne kemi një PID zëvendësues që është në përputhje me PID-in e vjetër. Ky PID zëvendësues mund të përdoret për RMA, zgjerim brenda një nyje dhe zgjerim të grupit (me nyje të reja). Të gjitha metodat mbështeten të gjitha, megjithatë, ato mund të kërkojnë përmirësim në një version specifik, i cili gjithashtu identifikohet në shënimet e lëshimit të tranzicionit.

Menaxhimi kryesor

• Pyetja 5.1: Çfarë është Menaxhimi i Çelësave?
  A 5.1: Menaxhimi i çelësave është detyrat e përfshira në mbrojtjen, ruajtjen, rezervimin dhe organizimin e çelësave të enkriptimit. HX e zbaton këtë në një politikë të përqendruar te UCSM.
• Pyetja 5.2: Cili mekanizëm ofron mbështetje për konfigurimin e çelësit?
  A 5.2: UCSM ofron mbështetje për konfigurimin e çelësave të sigurisë.
• Pyetja 5.3: Çfarë lloji i menaxhimit të çelësave është i disponueshëm?
  A 5.3: Menaxhimi lokal i çelësave mbështetet, së bashku me menaxhimin e çelësave në distancë të klasit të ndërmarrjes me serverë të menaxhimit të çelësave të palës së tretë.
• Pyetja 5.4: Cilët janë partnerët kryesorë të menaxhimit në distancë?
  A 5.4: Aktualisht ne mbështesim Vormetric dhe Gemalto (Safenet) dhe përfshin disponueshmëri të lartë (HA). HyTrust është në testim.
• Pyetja 5.5: Si zbatohet menaxhimi i çelësave në distancë?
  A 5.5: Menaxhimi i çelësave në distancë trajtohet nëpërmjet KMIP 1.1.
• Pyetja 5.6: Si është konfiguruar menaxhimi lokal?
  A 5.6: Çelësi i sigurisë (KEK) është konfiguruar në HX Connect, direkt nga përdoruesi.
• Pyetja 5.7: Si konfigurohet menaxhimi në distancë?
  A 5.7: Informacioni i adresës së serverit të menaxhimit të çelësit në distancë (KMIP) së bashku me kredencialet e hyrjes konfigurohet në HX Connect nga përdoruesi.
• Pyetja 5.8: Cila pjesë e HX komunikon me serverin KMIP për konfigurim?
  A 5.8: CIMC në secilën nyje përdor këtë informacion për t'u lidhur me serverin KMIP dhe për të marrë çelësin e sigurisë (KEK) prej tij.
  
• Pyetja 5.9: Çfarë lloje Certifikatash mbështeten në procesin e gjenerimit/rikthimit/përditësimit të çelësave?
  A 5.9: Të dyja çertifikatat e nënshkruara dhe të vetë-nënshkruara mbështeten.
  
• Pyetja 5.10: Cilat flukse pune mbështeten me procesin e kriptimit?
  A 5.10: Mbrojtja/zhmbrojtja duke përdorur një fjalëkalim të personalizuar mbështetet së bashku me konvertimin e menaxhimit të çelësave lokal në distancë. Operacionet e rivendosjes së çelësit mbështeten. Mbështetet gjithashtu funksionimi i sigurt i fshirjes së diskut.
  

Rrjedha e punës së përdoruesit: Lokal

• Pyetja 6.1: Në HX Connect, ku mund ta konfiguroj menaxhimin lokal të çelësave?
  A 6.1: Në pultin e enkriptimit zgjidhni butonin e konfigurimit dhe ndiqni magjistarin.
• Pyetja 6.2: Çfarë duhet të kem gati për të filluar këtë?
  A 6.2: Do t'ju duhet të jepni një frazë kalimi me 32 karaktere.
• Pyetja 6.3: Çfarë ndodh nëse më duhet të fus një SED të re?
  Një 6.3: Në UCSM do t'ju duhet të redaktoni politikën lokale të sigurisë dhe të vendosni çelësin e vendosur në çelësin ekzistues të nyjes.
• Pyetja 6.4: Çfarë ndodh kur fut diskun e ri?
  A 6.4: Nëse çelësi i sigurisë në disk përputhet me atë të serverit (nyjes), ai zhbllokohet automatikisht. Nëse çelësat e sigurisë janë të ndryshëm, disku do të shfaqet si "i kyçur". Ju ose mund ta pastroni diskun për të fshirë të gjitha të dhënat ose ta zhbllokoni atë duke dhënë çelësin e duhur. Kjo është një kohë e mirë për të angazhuar TAC.

Rrjedha e punës së përdoruesit: në distancë

• Pyetja 7.1: Cilat janë disa gjëra për të cilat duhet të kem kujdes me konfigurimin e menaxhimit të çelësave në distancë?
  A 7.1: Komunikimi midis grupit dhe serverit(ve) KMIP ndodh mbi CIMC në çdo nyje. Kjo do të thotë që emri i hostit mund të përdoret për serverin KMIP vetëm nëse adresa IP Inband dhe DNS janë konfiguruar në menaxhimin CIMC
• Pyetja 7.2: Çfarë ndodh nëse më duhet të zëvendësoj ose të fus një SED të re?
  A 7.2: Grupi do të lexojë identifikuesin nga disku dhe do të përpiqet ta zhbllokojë atë automatikisht. Nëse zhbllokimi automatik dështon, disku del si "i kyçur" dhe përdoruesi duhet ta zhbllokojë diskun me dorë. Ju do të duhet të kopjoni certifikatat në server(ët) KMIP për shkëmbimin e kredencialeve.
• Pyetja 7.3: Si mund t'i kopjoj certifikatat nga grupi në server(ët) KMIP?
  A 7.3: Ka dy mënyra për ta bërë këtë. Ju mund ta kopjoni certifikatën nga BMC në serverin KMIP drejtpërdrejt ose mund të përdorni CSR për të marrë një certifikatë të nënshkruar nga CA dhe të kopjoni certifikatën e nënshkruar nga CA në BMC duke përdorur komandat UCSM.
• Pyetja 7.4: Çfarë konsiderata ka për shtimin e nyjeve të koduara në një grup që përdor menaxhimin e çelësave në distancë?
  A 7.4: Kur shtoni hoste të rinj në server(ët) KMIP, emri i hostit të përdorur duhet të jetë numri serial i serverit. Për të marrë certifikatën e serverit KMIP, mund të përdorni një shfletues për të marrë certifikatën rrënjësore të serverit(ve) KMIP.

Rrjedha e punës së përdoruesit: Të përgjithshme

• Pyetja 8.1: Si mund të fshij një disk?
  A 8.1: Në pultin e HX Connect, zgjidhni informacionin e sistemit view. Nga atje mund të zgjidhni disqe individuale për fshirje të sigurt.
• Pyetja 8.2: Po sikur të fshij një disk rastësisht?
  A 8.2: Kur përdoret fshirja e sigurt, të dhënat shkatërrohen përgjithmonë
• Pyetja 8.3: Çfarë ndodh kur dua të çaktivizoj një nyje ose të shkëput një shërbim profesionalfile?
  A 8.3: Asnjë nga këto veprime nuk do të heqë enkriptimin në disk/kontrollues.
• Pyetja 8.4: Si çaktivizohet enkriptimi?
  A 8.4: Përdoruesi duhet të çaktivizojë në mënyrë eksplicite enkriptimin në HX Connect. Nëse përdoruesi përpiqet të fshijë një politikë sigurie në UCSM kur serveri i lidhur është i siguruar, UCSM do të shfaqë një dështim të konfigurimit dhe do ta ndalojë veprimin. Politika e sigurisë duhet të çaktivizohet fillimisht.

Rrjedha e punës së përdoruesit: Menaxhimi i certifikatës

• Pyetja 9.1: Si trajtohen certifikatat gjatë konfigurimit të menaxhimit në distancë?
  A 9.1: Certifikatat krijohen duke përdorur HX Connect dhe serverin(ët) KMIP në distancë. Certifikatat pasi të krijohen pothuajse kurrë nuk do të fshihen.
• Pyetja 9.2: Çfarë lloj certifikatash mund të përdor?
  A 9.2: Ju mund të përdorni ose certifikata të vetë-nënshkruara ose certifikata CA. Ju duhet të zgjidhni gjatë konfigurimit. Për certifikatat e nënshkruara nga CA, ju do të gjeneroni një grup kërkesash për nënshkrimin e certifikatës (CSR). Certifikatat e nënshkruara ngarkohen në server(ët) KMIP.
• Pyetja 9.3: Çfarë emri pritës duhet të përdor kur gjeneroj certifikatat?
  A 9.3: Emri i hostit që përdoret për gjenerimin e certifikatës duhet të jetë numri serial i serverit.

Azhurnimet e firmuerit

• Pyetja 10.1: A ka ndonjë kufizim në përmirësimin e firmuerit të diskut?
  A 10.1: Nëse zbulohet një disk me aftësi kriptimi, çdo ndryshim i firmuerit të diskut nuk do të lejohet për atë disk.
• Pyetja 10.2: A ka ndonjë kufizim në përmirësimin e firmuerit UCSM?
  A 10.2: Ulja e UCSM/CIMC në para-UCSM 3.1 (3x) është e kufizuar nëse ka një kontrollues që është në gjendje të sigurt.

Siguro fshirjen e detajeve

• Pyetja 11.1: Çfarë është fshirja e sigurt?
  A 11.1: Fshirja e sigurt është fshirja e menjëhershme e të dhënave në disk (fshirja e çelësit të enkriptimit të diskut). Kjo do të thotë që një komandë e thjeshtë e vërtetuar mund të dërgohet në diskun për të ndryshuar çelësin e enkriptimit 256-bit të ruajtur në disk. Kjo siguron që disku të fshihet dhe të mos mbeten të dhëna. Edhe sistemi pritës origjinal nuk mund t'i lexojë të dhënat kështu që do të jetë i palexueshëm nga çdo sistem tjetër. Operacioni zgjat vetëm disa sekonda, në krahasim me shumë minuta apo edhe orët që nevojiten për të kryer një operacion analog në një disk të pakriptuar dhe shmang koston e pajisjeve ose shërbimeve të shtrenjta të degausing.
• Pyetja 11.2: Si kryhet fshirja e sigurt?
  A 11.2: Ky është një operacion GUI që kryhet një disk në një kohë.
• Pyetja 11.3: Kur kryhet zakonisht fshirja e sigurt?
  A 11.3: Fshirja e sigurt e një disku të vetëm nga përdoruesi është një operacion i rrallë. Kjo bëhet kryesisht kur dëshironi të hiqni fizikisht diskun për zëvendësim, ta transferoni atë në një nyje tjetër ose të shmangni dështimin në të ardhmen.
• Pyetja 11.4: Çfarë kufizimesh ka për fshirjen e sigurt?
  A 11.4: Operacionet e fshirjes së sigurt mund të kryhen vetëm nëse grupi është i shëndetshëm për të siguruar që elasticiteti i defektit të grupit të mos ndikohet.
• Pyetja 11.5: Çfarë ndodh nëse më duhet të heq një nyje të tërë?
  A 11.5: Ka rrjedha pune për heqjen dhe zëvendësimin e nyjeve për të mbështetur fshirjen e sigurt të të gjitha disqeve. Shikoni udhëzuesin e administratorit për detaje ose konsultohuni me Cisco TAC.
• Pyetja 11.6: A mund të ripërdoret një disk i fshirë mirë?
  A 11.6: Një disk që është fshirë në mënyrë të sigurt mund të ripërdoret vetëm në një grup tjetër. Fshirja e sigurt e SED bëhet duke fshirë çelësin e enkriptimit të diskut (DEK). Të dhënat në disk nuk mund të deshifrohen pa DEK. Kjo ju lejon të ripërdorni ose çaktivizoni diskun pa ndonjë kompromis të të dhënave.
• Pyetja 11.7: Çfarë ndodh nëse disku që dua të fshij përmban kopjen e fundit kryesore të të dhënave të grupimit?
  A 11.7: Të dhënat në disk duhet të kenë kopje të tjera në grup për të shmangur humbjen e të dhënave. Megjithatë, nëse kërkohet fshirja e sigurt në një disk që është kopja e fundit kryesore, atëherë ky operacion do të refuzohet derisa të ketë të paktën një kopje të disponueshme. Rebalance duhet ta bëjë këtë kopje në sfond.
• Pyetja 11.8: Më duhet vërtet të fshij në mënyrë të sigurt një disk, por grupi nuk është i shëndetshëm. Si mund ta bëj?
  A 11.8: Linja e komandës (STCLI/HXCLI) do të lejojë fshirje të sigurt kur grupi nuk është i shëndetshëm dhe disku nuk përmban kopjen e fundit kryesore, përndryshe nuk lejohet.
• Pyetja 11.9: Si mund të fshij në mënyrë të sigurt një nyje të tërë?
  A 11.9: Ky është një skenar i rrallë. Fshirja e sigurt e të gjithë disqeve në një nyje bëhet kur dikush dëshiron të nxjerrë nyjen nga grupi. Synimi është ose të vendoset nyja në një grup tjetër ose të çaktivizohet nyja. Ne mund ta klasifikojmë heqjen e nyjeve në këtë skenar në dy mënyra të ndryshme:
  1. Fshini sigurt të gjithë disqet pa çaktivizuar enkriptimin
  2. Fshini sigurt të gjithë disqet e ndjekur nga çaktivizimi i kriptimit për atë nyje (dhe disqe). Ju lutemi kontaktoni Cisco TAC për ndihmë.

Zgjerimi i sigurt i një grupi

• Pyetja 12.1: Me çfarë lloj nyje mund të zgjeroj një grup të koduar?
  A 12.1: Vetëm nyjet e aftë për SED mund të shtohen në një grupim HX me SED.
• Pyetja 12.2: Si trajtohet zgjerimi me menaxhimin lokal të çelësave?
  A 12.2: Zgjerimi i çelësit lokal është një operacion pa probleme pa kërkuar konfigurim të jashtëm.
• Pyetja 12.3: Si trajtohet zgjerimi me menaxhimin e çelësave në distancë?
  A 12.3: Zgjerimi i çelësit në distancë kërkon hap të mbyllur me certifikata/infrastrukturë të menaxhimit të çelësave:
  • Kërkohen certifikata për të shtuar në mënyrë të sigurt një nyje të re
  • Vendosja do të shfaqë një paralajmërim me hapat për të vazhduar duke përfshirë një lidhje për shkarkimin e certifikatës
  • Përdoruesi ndjek hapat për të ngarkuar certifikatat dhe më pas riprovon vendosjen

Dokumentet Mbështetëse

Mikron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Lista e algoritmeve kripto të miratuara për FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Projekti: CSC.nuova Produkti: ucs-blade-server Komponenti: ucsm

Specifikimi funksional SED:

• EDCS: 1574090

Specifikimi i SED CIMC:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Listat e postimeve:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Dokumentet / Burimet

Platforma e të dhënave CISCO HyperFlex HX [pdfUdhëzime Platforma e të dhënave HyperFlex HX, HyperFlex, Platforma e të Dhënave HX, Platforma e të Dhënave, Platforma

Referencat

• Manuali i Përdoruesit