ЦИСЦО ХиперФлек ХКС платформа за податке

Информације о производу

• Назив производа: ХКС безбедносно шифровање
• верзија: ХКСДП 5.01б
• Решење за шифровање: Решење засновано на софтверу користећи Интерсигхт Кеи Манагер
• Тип шифровања: Самошифрујући дискови (СЕД)
• Подржани типови диск јединица: ХДД и ССД СЕД-ови компаније Мицрон
• Стандарди усклађености: ФИПС 140-2 ниво 2 (произвођачи диск јединица) и ФИПС 140-2 ниво 1 (платформа)
• Шифровање широм кластера: Шифровање на ХКС-у је имплементирано у хардвер за податке у мировању само помоћу СЕД-ова
• Појединачно шифровање ВМ: Руковано софтвером треће стране као што је Хитруст или Ворметрицов транспарентни клијент
• ВМваре изворно ВМ шифровање: Подржава ХКС за употребу са СЕД енкрипцијом
• Управљање кључевима: Кључ за шифровање медија (МЕК) и кључ за шифровање кључа (КЕК) се користе за сваки СЕД
• Употреба меморије: Кључеви за шифровање никада нису присутни у меморији чвора
• Утицај на перформансе: Шифровањем/дешифровањем диска се управља у хардверу драјва, не утиче на укупне перформансе система
• Додатне предности СЕД-а:
  • Тренутачно криптографско брисање за смањење трошкова пензионисања и поновног распоређивања
  • Усклађеност са државним или индустријским прописима о приватности података
  • Смањен ризик од крађе диска и чворова јер подаци постају нечитљиви када се хардвер уклони

Упутства за употребу производа

Да бисте користили ХКС безбедносно шифровање, пратите ова упутства:

1. Уверите се да ваш систем подржава шифровање засновано на хардверу или да више волите софтверско решење помоћу Интерсигхт Кеи Манагер-а.
2. Погледајте административне документе или беле књиге за информације о шифровању заснованом на софтверу.
3. Ако одлучите да користите шифровање засновано на хардверу са СЕД-овима, уверите се да се ваш ХКС кластер састоји од униформних чворова (СЕД-ова или не-СЕД-ова).
4. За СЕД, имајте на уму да се користе два кључа: кључ за шифровање медија (МЕК) и кључ за шифровање кључа (КЕК).
5. МЕК контролише шифровање и дешифровање података на диску и обезбеђен је и њиме се управља у хардверу.
6. КЕК обезбеђује МЕК/ДЕК и одржава се у локалном или удаљеном складишту кључева.
7. Не брините да ће кључеви бити присутни у меморији чвора, пошто се кључеви за шифровање тамо никада не чувају.
8. Имајте на уму да се шифровањем/дешифровањем диска рукује у хардверу диск јединице, осигуравајући да то не утиче на укупне перформансе система.
9. Ако имате посебне захтеве за стандарде усклађености, имајте на уму да ХКС СЕД шифровани дискови испуњавају ФИПС 140-2 ниво 2 стандарде произвођача диск јединица, док ХКС енкрипција на платформи испуњава стандарде ФИПС 140-2 нивоа 1.
10. Ако треба да шифрујете појединачне ВМ, размислите о коришћењу софтвера треће стране као што је Хитруст или Ворметрицов транспарентни клијент. Алтернативно, можете користити ВМваре-ово изворно ВМ шифровање уведено у вСпхере 3.
11. Имајте на уму да ће коришћење клијента за шифровање ВМ-а изнад шифровања заснованог на ХКС СЕД-у довести до двоструког шифровања података.
12. Уверите се да је ваш ХКС кластер повезан преко поузданих мрежа или шифрованих тунела за безбедну репликацију, пошто ХКС репликација није шифрована.

ХКС Сецурити Енцриптион ФАК

Од ХКСДП 5.01б, ХиперФлек нуди софтверско решење које користи Интерсигхт Кеи Манагер за системе који или не подржавају шифровање засновано на хардверу или за кориснике који желе ову функционалност уместо хардверских решења. Ова најчешћа питања се фокусирају само на хардверска решења заснована на СЕД-у за ХКС енкрипцију. Погледајте административне документе или беле књиге за информације о шифровању заснованом на софтверу.

Изјава о пристрасности
Комплет документације за овај производ настоји да користи језик без пристрасности. За потребе овог скупа документације, без предрасуда се дефинише језик који не подразумева дискриминацију на основу старости, инвалидитета, пола, расног идентитета, етничког идентитета, сексуалне оријентације, социоекономског статуса и интерсекционалности. Изузеци могу бити присутни у документацији због језика који је тврдо кодиран у корисничким интерфејсима софтвера производа, језика који се користи на основу документације стандарда или језика који користи референтни производ треће стране.

Зашто Цисцо за безбедност и ХКС шифровање 

• П 1.1: Који процеси постоје за сигуран развој?
  А 1.1: Цисцо сервери се придржавају животног циклуса Цисцо безбедног развоја (ЦСДЛ):
  • Цисцо обезбеђује процесе, методологије, оквире за развој уграђене безбедности на Цисцо серверима, а не само преклапање
  • Посвећени Цисцо тим за моделирање претњи/статичку анализу на УЦС портфолију производа
  • Цисцо Адванцед Сецурити Инитиативе Гроуп (АСИГ) врши проактивно тестирање пенетрације да би разумела како претње долазе и реши проблеме побољшањем ХВ & СВ-а кроз ЦДЕТС и инжењеринг
  • Посвећени Цисцо тим за тестирање и обраду излазних рањивости и комуницирање као безбедносни саветници са клијентима
  • Сви основни производи пролазе кроз основне захтеве за безбедност производа (ПСБ) који регулишу безбедносне стандарде за Цисцо производе
  • Цисцо врши тестирање рањивости/робусности протокола на свим УЦС издањима
• П 1.2: Зашто су СЕД-ови важни?
  А 1.2: СЕД-ови се користе за енкрипцију података у мировању и представљају услов за многе, ако не и све, савезне, медицинске и финансијске институције.

Генерал Информатион Оверview

• П 2.1: Шта су СЕД-ови?
  А 2.1: СЕД (Селф-Енцриптинг Дривес) имају посебан хардвер који шифрује долазне податке и дешифрује одлазне податке у реалном времену.
• П 2.2: Који је обим енкрипције на ХКС-у?
  А 2.2: Шифровање на ХКС-у је тренутно имплементирано у хардвер за податке у мировању само користећи шифроване диск јединице (СЕД). ХКС енкрипција је у целом кластеру. Индивидуалним шифровањем ВМ-а управља софтвер треће стране као што је Хитруст или Ворметриц-ов транспарентни клијент и ван је делокруга ХКС одговорности. ХКС такође подржава употребу ВМваре-ове изворне ВМ енкрипције уведене у вСпхере 3. Коришћење клијента за шифровање ВМ-а на врху шифровања заснованог на ХКС СЕД-у ће довести до двоструког шифровања података. ХКС репликација није шифрована и ослања се на поуздане мреже или шифроване тунеле које поставља крајњи корисник.
• П 2.3: Који стандарди усклађености су испуњени са ХКС енкрипцијом?
  А 2.3: ХКС СЕД шифровани дискови испуњавају ФИПС 140-2 ниво 2 стандарде произвођача диск јединица. ХКС енкрипција на платформи испуњава стандарде ФИПС 140-2 нивоа 1.
• П 2.4: Да ли подржавамо и ХДД и ССД за шифровање?
  А 2.4: Да, подржавамо и ХДД и ССД СЕД-ове компаније Мицрон.
• П 2.5: Може ли ХКС кластер имати шифроване и нешифроване диск јединице у исто време?
  А 2.5: Сви чворови у кластеру морају бити униформни (СЕД-ови или не-СЕД-ови)
• П 2.6: Који кључеви се користе за СЕД и како се користе?
  А 2.6: За сваки СЕД се користе два кључа. Кључ за шифровање медија (МЕК) који се такође назива кључ за шифровање диска (ДЕК), контролише шифровање и дешифровање података на диску и обезбеђен је и њиме се управља у хардверу. Кључ за шифровање кључа (КЕК) обезбеђује ДЕК/МЕК и одржава се у локалном или удаљеном складишту кључева.
• П 2.7: Да ли су кључеви икада присутни у меморији?
  А 2.7: Кључеви за шифровање никада нису присутни у меморији чвора
• П 2.8: Како процес шифровања/дешифровања утиче на перформансе?
  А 2.8: Шифровање/дешифровање диска се обавља у хардверу диск јединице. Укупне перформансе система нису погођене и нису подложне нападима који циљају друге компоненте система
• П 2.9: Осим шифровања у мировању, који су други разлози за коришћење СЕД-ова?
  А 2.9: СЕД-ови могу смањити трошкове пензионисања и прераспоређивања путем тренутног криптографског брисања. Они такође служе за усклађивање са државним или индустријским прописима о приватности података. Још један адванtagе је смањени ризик од крађе дискова и чворова јер су подаци, када се хардвер уклони из екосистема, нечитљиви.
• П2.10: Шта се дешава са дедупликацијом и компресијом са СЕД-овима? Шта се дешава са шифровањем заснованим на софтверу треће стране?
  А2.10: Дедупликација и компресија са СЕД-овима на ХКС-у се одржавају пошто се шифровање података у мировању одвија као последњи корак у процесу писања. Дедупликација и компресија су се већ десили. Са производима за шифровање заснованим на софтверу треће стране, ВМ управљају својом енкрипцијом и прослеђују шифроване записе хипервизору, а потом и ХКС-у. Пошто су ови записи већ шифровани, они се не дедуплицирају или компримују. Шифровање засновано на софтверу ХКС (у кодној линији 3.к) биће софтверско решење за шифровање које се имплементира у стек након што се догоди оптимизација писања (дедупликација и компресија), тако да ће корист бити задржана у том случају.

Слика испод је крајview имплементације СЕД-а са ХКС.

Детаљи вожње 

• П 3.1: Ко производи шифроване диск јединице које се користе у ХКС-у?
  А 3.1: ХКС користи драјвове које производи Мицрон: Мицрон-специфични документи су повезани у одељку пратећих докумената овог ФАК.
• П 3.2: Да ли подржавамо било који СЕД који није усаглашен са ФИПС?
  А 3.2: Такође подржавамо неке диск јединице које нису ФИПС, али подржавају СЕД (ТЦГЕ).
• П 3.3: Шта је ТЦГ?
  А 3.3: ТЦГ је Трустед Цомпутинг Гроуп, која креира и управља стандардом спецификација за чување шифрованих података
• П 3.4: Шта се сматра безбедношћу класе предузећа када су у питању САС ССД-ови за центар података? Које специфичне карактеристике имају ови дискови које обезбеђују сигурност и штите од напада?
  А 3.4: Ова листа резимира карактеристике пословне класе СЕД-ова који се користе у ХКС-у и како се оне односе на ТЦГ стандард.
  1. Самошифрујући дискови (СЕД) пружају снажну сигурност за податке у мировању на вашем СЕД-у, спречавајући неовлашћени приступ подацима. Трустед Цомпутинг Гроуп (ТЦГ) је развила листу карактеристика и предности самошифрујућих дискова за ХДД и ССД. ТЦГ обезбеђује стандард који се зове ТЦГ Ентерприсе ССЦ (класа безбедносног подсистема) и фокусиран је на податке у мировању. Ово је услов за све СЕД. Спецификација се односи на уређаје за складиштење података и контролере који раде у складишту предузећа. Листа укључује:
     • Транспарентност: Нису потребне модификације система или апликације; кључ за шифровање који генерише сама диск јединица, користећи уграђени генератор правих случајних бројева; диск увек шифрује.
     • Лакоћа управљања: Нема кључа за шифровање за управљање; продавци софтвера користе стандардизовани интерфејс за управљање СЕД-овима, укључујући даљинско управљање, аутентификацију пре покретања и опоравак лозинке
     • Трошкови одлагања или пренамене: Са СЕД-ом, обришите уграђени кључ за шифровање
     • Поновно шифровање: Са СЕД-ом, нема потребе да икада поново шифрујете податке
     • Перформансе: Нема деградације у перформансама СЕД-а; заснован на хардверу
     • Стандардизација: Цела индустрија погона се развија према ТЦГ/СЕД спецификацијама
     • Поједностављено: Нема мешања у процесе узводно
  2. ССД СЕД-ови пружају могућност криптографског брисања диск јединице. То значи да се једноставна команда са аутентификацијом може послати на диск јединицу за промену 256-битног кључа за шифровање ускладиштеног на диску. Ово осигурава да је диск очишћен и да нема преосталих података. Чак ни оригинални хост систем не може да прочита податке, тако да ће они апсолутно бити нечитљиви за било који други систем. Операција траје само неколико секунди, за разлику од много минута или чак сати које је потребно да се изврши аналогна операција на нешифрованом ХДД-у и избегава се трошак скупе опреме или услуга за уклањање маглења ХДД-а.
  3. ФИПС (Федерал Информатион Процессинг Стандард) 140-2 је стандард америчке владе који описује шифровање и сродне безбедносне захтеве које ИТ производи треба да испуне за осетљиву, али некласификовану употребу. Ово је често услов за владине агенције и компаније у области финансијских услуга и здравствене индустрије. ССД који је валидиран ФИПС-140-2 користи снажне безбедносне праксе укључујући одобрене алгоритме шифровања. Такође наводи како појединци или други процеси морају бити овлашћени да би користили производ и како модули или компоненте морају бити дизајнирани да безбедно комуницирају са другим системима. У ствари, један од захтева за ФИПС-140-2 валидиран ССД диск је да је то СЕД. Имајте на уму да иако ТЦГ није једини начин да добијете сертификовану шифровану диск јединицу, спецификације ТЦГ Опал и Ентерприсе ССЦ пружају нам одскочну даску ка ФИПС валидацији. 4. Још једна битна карактеристика су безбедна преузимања и дијагностика. Ова функција фирмвера штити диск од софтверских напада путем дигиталног потписа који је уграђен у фирмвер. Када су преузимања потребна, дигитални потпис спречава неовлашћени приступ диск јединици, спречавајући учитавање фалсификованог фирмвера на диск јединицу.

Хиперфлек инсталација са СЕД-овима

• П 4.1: Како инсталатер поступа са имплементацијом СЕД-а? Постоје ли посебне провере?
  А 4.1: Инсталатер комуницира са УЦСМ-ом и осигурава да је фирмвер система исправан и подржан за откривени хардвер. Компатибилност шифровања се проверава и примењује (нпр. нема мешања СЕД-а и не-СЕД-а).
• П 4.2: Да ли је другачије другачије?
  А 4.2: Инсталација је слична обичној ХКС инсталацији, међутим, прилагођени ток посла није подржан за СЕД-ове. Ова операција такође захтева УЦСМ акредитиве за СЕД.
• П 4.3: Како лиценцирање функционише са шифровањем? Да ли постоји нешто додатно што треба да буде на месту?
  А 4.3: СЕД хардвер (наручен из фабрике, а не накнадно монтиран) + ХКСДП 2.5 + УЦСМ (3.1(3к)) су једине ствари које су потребне да би се омогућило шифровање уз управљање кључевима. У издању 2.5 није потребно додатно лиценцирање ван основне ХКСДП претплате.
• П 4.4: Шта се дешава када имам СЕД систем који има диск јединице које више нису доступне? Како могу проширити овај кластер?
  А 4.4: Кад год имамо неки ПИД који је на крају века од наших добављача, имамо заменски ПИД који је компатибилан са старим ПИД-ом. Овај заменски ПИД се може користити за РМА, проширење унутар чвора и проширење кластера (са новим чворовима). Све методе су подржане, међутим, могу захтевати надоградњу на одређено издање које је такође идентификовано у напоменама о прелазном издању.

Управљање кључевима

• П 5.1: Шта је управљање кључевима?
  А 5.1: Управљање кључевима је задатак који се односи на заштиту, чување, прављење резервних копија и организовање кључева за шифровање. ХКС ово примењује у политици која је усредсређена на УЦСМ.
• П 5.2: Који механизам пружа подршку за конфигурацију кључа?
  А 5.2: УЦСМ пружа подршку за конфигурисање безбедносних кључева.
• П 5.3: Који тип управљања кључевима је доступан?
  А 5.3: Подржано је локално управљање кључевима, заједно са даљинским управљањем кључевима пословне класе са серверима за управљање кључевима треће стране.
• П 5.4: Ко су даљински партнери за управљање кључевима?
  А 5.4: Тренутно подржавамо Ворметриц и Гемалто (Сафенет) и укључује високу доступност (ХА). ХиТруст је у фази тестирања.
• П 5.5: Како се имплементира даљинско управљање кључевима?
  А 5.5: Даљинским управљањем кључем управља КМИП 1.1.
• П 5.6: Како је конфигурисано локално управљање?
  А 5.6: Сигурносни кључ (КЕК) конфигурише у ХКС Цоннецт, директно од стране корисника.
• П 5.7: Како је конфигурисано даљинско управљање?
  А 5.7: Информацију о адреси сервера за даљинско управљање кључевима (КМИП) заједно са акредитивима за пријаву конфигурише корисник у ХКС Цоннецт.
• П 5.8: Који део ХКС-а комуницира са КМИП сервером ради конфигурисања?
  А 5.8: ЦИМЦ на сваком чвору користи ове информације за повезивање са КМИП сервером и преузимање безбедносног кључа (КЕК) са њега.
  
• П 5.9: Које врсте сертификата су подржане у процесу генерисања/повраћаја/ажурирања кључева?
  А 5.9: Подржани су и ЦА-потписани и самопотписани сертификати.
  
• П 5.10: Који токови посла су подржани у процесу шифровања?
  А 5.10: Заштита/укидање заштите коришћењем прилагођене лозинке је подржана заједно са конверзијом локалног у даљинско управљање кључевима. Подржане су операције поновног кључа. Подржане су и безбедне операције брисања диска.
  

Ток рада корисника: локални

• П 6.1: У ХКС Цоннецт-у, где да поставим управљање локалним кључевима?
  А 6.1: На контролној табли за шифровање изаберите дугме за конфигурисање и пратите упутства чаробњака.
• П 6.2: Шта треба да будем спреман за почетак?
  А 6.2: Мораћете да наведете безбедносну фразу од 32 знака.
• П 6.3: Шта се дешава ако треба да убацим нови СЕД?
  А 6.3: У УЦСМ-у ћете морати да уредите локалну безбедносну политику и поставите распоређени кључ на постојећи кључ чвора.
• П 6.4: Шта се дешава када убацим нови диск?
  А 6.4: Ако се безбедносни кључ на диску подудара са шифром сервера (чвора), он се аутоматски откључава. Ако се безбедносни кључеви разликују, диск ће бити приказан као „Закључан“. Можете или да обришете диск да бисте избрисали све податке или да га откључате тако што ћете дати исправан кључ. Ово је добар тренутак за ангажовање ТАЦ-а.

Ток рада корисника: даљински

• П 7.1: На које ствари треба да обратим пажњу при конфигурацији управљања даљинским кључевима?
  А 7.1: Комуникација између кластера и КМИП сервера се одвија преко ЦИМЦ-а на сваком чвору. То значи да се име хоста може користити за КМИП сервер само ако су Инбанд ИП адреса и ДНС конфигурисани на ЦИМЦ менаџменту
• П 7.2: Шта се дешава ако треба да заменим или убацим нови СЕД?
  А 7.2: Кластер ће прочитати идентификатор са диска и покушати да га аутоматски откључа. Ако аутоматско откључавање не успе, диск се појављује као „закључан“ и корисник мора ручно да откључа диск. Мораћете да копирате сертификате на КМИП сервер(е) ради размене акредитива.
• П 7.3: Како да копирам сертификате из кластера на КМИП сервер(е)?
  А 7.3: Постоје два начина да се то уради. Можете копирати сертификат са БМЦ-а на КМИП сервер директно или можете користити ЦСР да добијете ЦА-потписан сертификат и копирате ЦА-потписан сертификат у БМЦ користећи УЦСМ команде.
• П 7.4: Која разматрања постоје за додавање шифрованих чворова у кластер који користи даљинско управљање кључевима?
  А 7.4: Када додајете нове хостове на КМИП сервер(е), коришћено име хоста треба да буде серијски број сервера. Да бисте добили сертификат КМИП сервера, можете користити претраживач да бисте добили роот сертификат КМИП сервера.

Ток рада корисника: Опште

• П 8.1: Како да избришем диск?
  А 8.1: На контролној табли ХКС Цоннецт изаберите информације о систему view. Одатле можете да изаберете појединачне дискове за безбедно брисање.
• П 8.2: Шта ако сам случајно избрисао диск?
  А 8.2: Када се користи безбедно брисање, подаци се трајно уништавају
• П 8.3: Шта се дешава када желим да искључим чвор или да одвојим сервис проfile?
  А 8.3: Ниједна од ових радњи неће уклонити шифровање на диску/контролеру.
• П 8.4: Како се шифровање онемогућава?
  А 8.4: Корисник мора експлицитно да онемогући шифровање у ХКС Цоннецт-у. Ако корисник покуша да избрише безбедносну политику у УЦСМ-у када је придружени сервер обезбеђен, УЦСМ ће приказати грешку у конфигурацији и онемогућити акцију. Сигурносна политика мора бити прво онемогућена.

Ток рада корисника: Управљање сертификатима

• П 9.1: Како се рукује сертификатима током подешавања даљинског управљања?
  А 9.1: Сертификати се креирају користећи ХКС Цоннецт и удаљени КМИП сервер(е). Једном креирани сертификати скоро никада неће бити избрисани.
• П 9.2: Које врсте сертификата могу да користим?
  А 9.2: Можете користити или самопотписане сертификате или ЦА сертификате. Морате да изаберете током подешавања. За сертификате потписане од стране ЦА генерисаћете скуп захтева за потписивање сертификата (ЦСР). Потписани сертификати се учитавају на КМИП сервер(е).
• П 9.3: Које име хоста треба да користим када генеришем сертификате?
  А 9.3: Име хоста који се користи за генерисање сертификата треба да буде серијски број сервера.

Ажурирања фирмвера

• П 10.1: Постоје ли ограничења за надоградњу фирмвера диска?
  А 10.1: Ако се открије драјв са могућношћу шифровања, било какве промене фирмвера диска неће бити дозвољене за тај диск.
• П 10.2: Постоје ли ограничења за надоградњу УЦСМ фирмвера?
  А 10.2: Враћање УЦСМ/ЦИМЦ на пре-УЦСМ 3.1(3к) је ограничено ако постоји контролер који је у заштићеном стању.

Детаљи безбедног брисања

• П 11.1: Шта је безбедно брисање?
  А 11.1: Безбедно брисање је тренутно брисање података на диску (брисање кључа за шифровање диска). То значи да се једноставна команда са аутентификацијом може послати на диск јединицу за промену 256-битног кључа за шифровање ускладиштеног на диску. Ово осигурава да је диск очишћен и да нема преосталих података. Чак ни оригинални хост систем не може да прочита податке, тако да их неће моћи прочитати било који други систем. Операција траје само неколико секунди, за разлику од много минута или чак сати које је потребно да се изврши аналогна операција на нешифрованом диску и избегава се трошкови скупе опреме или услуга за размагнетавање.
• П 11.2: Како се врши безбедно брисање?
  А 11.2: Ово је ГУИ операција која се изводи један по један диск.
• П 11.3: Када се обично врши безбедно брисање?
  А 11.3: Безбедно брисање једног диска које покреће корисник је ретка операција. Ово се углавном ради када желите да физички уклоните диск ради замене, да га пренесете на други чвор или да избегнете квар у блиској будућности.
• П 11.4: Која ограничења постоје за безбедно брисање?
  А 11.4: Операције безбедног брисања могу да се изврше само ако је кластер здрав да би се обезбедило да отпорност кластера на грешке није угрожена.
• П 11.5: Шта се дешава ако треба да уклоним цео чвор?
  А 11.5: Постоје токови рада за уклањање и замену чворова који подржавају безбедно брисање свих дискова. Погледајте водич за администраторе за детаље или консултујте Цисцо ТАЦ.
• П 11.6: Да ли се безбедно обрисани диск може поново користити?
  А 11.6: Диск који је безбедно избрисан може се поново користити само у другом кластеру. Безбедно брисање СЕД-а се врши брисањем кључа за шифровање диска (ДЕК). Подаци на диску се не могу дешифровати без ДЕК-а. Ово вам омогућава да поново користите или поништите диск без компромитовања података.
• П 11.7: Шта се дешава ако диск који желим да избришем садржи последњу примарну копију података кластера?
  А 11.7: Подаци на диску треба да имају друге копије у кластеру да би се избегло губитак података. Међутим, ако се захтева безбедно брисање на диску који је последња примарна копија, онда ће ова операција бити одбијена све док не буде доступна још најмање једна копија. Ребаланс би требало да прави ову копију у позадини.
• П 11.8: Заиста треба да безбедно избришем диск, али кластер није здрав. Како могу то учинити?
  А 11.8: Командна линија (СТЦЛИ/ХКСЦЛИ) ће омогућити безбедно брисање када кластер није здрав и диск не садржи последњу примарну копију, иначе је забрањено.
• П 11.9: Како могу безбедно да обришем цео чвор?
  А 11.9: Ово је редак сценарио. Безбедно брисање свих дискова у чвору се врши када неко жели да извади чвор из кластера. Намера је или да се чвор распореди у другом кластеру или да се чвор поништи. У овом сценарију можемо класификовати уклањање чворова на два различита начина:
  1. Безбедно обришите све дискове без онемогућавања шифровања
  2. Безбедно обришите све дискове, а затим онемогућите шифровање за тај чвор (и дискове). За помоћ контактирајте Цисцо ТАЦ.

Сигурно проширење кластера

• П 12.1: Којим чвором могу да проширим шифровани кластер?
  А 12.1: Само чворови који подржавају СЕД могу се додати у ХКС кластер са СЕД-овима.
• П 12.2: Како се решава проширење са локалним управљањем кључевима?
  А 12.2: Проширење локалног кључа је беспрекорна операција без потребе за спољном конфигурацијом.
• П 12.3: Како се ради са проширењем помоћу даљинског управљања кључевима?
  А 12.3: Даљинско проширење кључа захтева закључавање са сертификатима/инфраструктуром за управљање кључевима:
  • За безбедно додавање новог чвора потребни су сертификати
  • Примена ће приказати упозорење са корацима за наставак, укључујући везу за преузимање сертификата
  • Корисник прати кораке да отпреми сертификат(е) и затим поново покушава да примени

Пратећа документа

микрон:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

ФИПС

• Листа крипто алгоритама одобрених за ФИПС 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

ЦДЕТС:

• пројекат: ЦСЦ.нуова Производ: уцс-бладе-сервер Компонента: уцсм

СЕД функционална спецификација:

• ЕДЦС: 1574090

СЕД ЦИМЦ спецификација:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Маилинг листе:

• уцсм-дев@цисцо.цом
• аск-хци-тме@цисцо.цом
• аск-хци-пм@цисцо.цом

Документи / Ресурси

ЦИСЦО ХиперФлек ХКС платформа за податке [пдфУпутства ХиперФлек ХКС Дата Платформ, ХиперФлек, ХКС Дата Платформ, Дата Платформ, Платформ

Референце

• Упутство за употребу