CISCO HyperFlex HX Data Platform

Émbaran produk

• Ngaran produk: Énkripsi Kaamanan HX
• Vérsi: HXDP 5.01b
• Solusi enkripsi: Solusi dumasar kana parangkat lunak nganggo Intersight Key Manager
• Jenis énkripsi: Drive Énkripsi Mandiri (SED)
• Jinis Drive anu Dirojong: HDD sareng SSD SEDs ti Micron
• Standar minuhan: FIPS 140-2 tingkat 2 (produsén drive) jeung FIPS 140-2 tingkat 1 (platform)
• Énkripsi Lega Klaster: Énkripsi on HX dilaksanakeun dina hardware pikeun data dina sésana ngan ngagunakeun SEDs
• Énkripsi VM individu: Diurus ku parangkat lunak pihak ka-3 sapertos Hytrust atanapi klien transparan Vormetric
• Énkripsi VM Asli VMware: Dirojong ku HX pikeun dianggo sareng enkripsi SED
• Konci Manajemén: Media Encryption Key (MEK) jeung Key Encryption Key (KEK) dipaké pikeun tiap SED
• Pamakéan mémori: Konci énkripsi henteu pernah aya dina mémori titik
• Pangaruh Kinerja: Enkripsi disk / dekripsi diurus dina hardware drive, kinerja sistem sakabéh henteu kapangaruhan
• Kauntungan tambahan tina SEDs:
  • Hapusan kriptografi sakedapan pikeun ngirangan pangsiun drive sareng biaya redeployment
  • Patuh kana peraturan pamaréntah atanapi industri pikeun privasi data
  • Ngurangan résiko maling disk sareng maling node sabab data teu tiasa dibaca saatos hardware dipiceun

Parentah Pamakéan Produk

Pikeun nganggo Enkripsi Kaamanan HX, tuturkeun pitunjuk ieu:

1. Pastikeun yén sistem anjeun ngadukung enkripsi dumasar-hardware atanapi yén anjeun resep solusi dumasar-software nganggo Intersight Key Manager.
2. Tingali kana dokumén administrasi atanapi whitepaper kanggo inpormasi ngeunaan énkripsi dumasar kana parangkat lunak.
3. Upami anjeun milih ngagunakeun enkripsi dumasar-hardware sareng SED, pastikeun kluster HX anjeun diwangun ku titik seragam (SED atanapi non-SED).
4. Pikeun SEDs, ngarti yén aya dua konci dipaké: Media Encryption Key (MEK) jeung Key Encryption Key (KEK).
5. MEK ngadalikeun énkripsi sareng dekripsi data kana disk sareng diamankeun sareng diatur dina hardware.
6. KEK ngamankeun MEK / DEK sareng dijaga di toko konci lokal atanapi jauh.
7. Tong hariwang ngeunaan konci anu aya dina mémori titik, sabab konci énkripsi henteu pernah disimpen di dinya.
8. Catet yén enkripsi disk / dekripsi diatur dina hardware drive, mastikeun yén kinerja sistem sakabéh henteu kapangaruhan.
9. Upami Anjeun gaduh sarat husus pikeun standar minuhan, jadi sadar yen HX SED drive énkripsi minuhan FIPS 140-2 tingkat 2 standar ti pabrik drive, bari HX Énkripsi on platform meets FIPS 140-2 tingkat 1 standar.
10. Upami anjeun kedah énkripsi VM individu, pertimbangkeun ngagunakeun parangkat lunak pihak ka-3 sapertos Hytrust atanapi klien transparan Vormetric. Alternatipna, anjeun tiasa nganggo énkripsi VM asli VMware anu diwanohkeun dina vSphere 6.5.
11. Émut yén ngagunakeun klien énkripsi VM di luhur énkripsi dumasar HX SED bakal ngahasilkeun énkripsi ganda data.
12. Pastikeun yén klaster HX anjeun disambungkeun ngaliwatan jaringan dipercaya atawa torowongan énkripsi pikeun réplikasi aman, sabab réplikasi HX teu énkripsi.

HX Kaamanan Énkripsi FAQ

Dina HXDP 5.01b, HyperFlex nawiskeun solusi dumasar kana parangkat lunak nganggo Intersight Key Manager pikeun sistem anu henteu ngadukung enkripsi dumasar-hardware atanapi pikeun pangguna anu mikahayang fungsionalitas ieu tina solusi hardware. FAQ ieu ngan museurkeun kana solusi hardware basis SED pikeun enkripsi HX. Tempo dokumén administrasi atawa whitepaper (s) pikeun inpo tentang enkripsi basis software.

Pernyataan bias
Dokuméntasi set pikeun produk ieu narékahan pikeun ngagunakeun basa bébas bias. Pikeun kaperluan susunan dokuméntasi ieu, bébas bias dihartikeun salaku basa nu teu imply diskriminasi dumasar kana umur, cacad, gender, identitas ras, identitas étnis, orientasi seksual, status sosial ékonomi, sarta intersectionality. Pangecualian bisa jadi aya dina dokuméntasi alatan basa anu hardcoded dina interfaces pamaké software produk, basa dipaké dumasar kana dokuméntasi standar, atawa basa nu dipaké ku hiji referenced produk pihak katilu.

Naha Cisco pikeun Kaamanan sarta HX Énkripsi 

• Q 1.1: Prosés naon anu dilaksanakeun pikeun pangwangunan anu aman?
  A 1.1: Server Cisco taat kana Cisco Secure Development Lifecycle (CSDL):
  • Cisco nyadiakeun prosés, metodologi, frameworks pikeun ngembangkeun kaamanan embedded on server Cisco, teu ngan hiji overlay
  • Dedicated tim Cisco pikeun modeling anceman / analisis statik on portopolio Produk UCS
  • Cisco Advanced Security Initiative Group (ASIG) ngalaksanakeun tés penetrasi proaktif pikeun ngartos kumaha ancaman asup sareng ngalereskeun masalah ku ningkatkeun HW & SW ngaliwatan CDETS sareng rékayasa.
  • Tim Cisco dedicated pikeun nguji jeung nanganan kerentanan outbound sarta komunikasi salaku Advisors kaamanan pikeun konsumén
  • Sadaya produk dasar ngalangkungan syarat dasar kaamanan produk (PSB) anu ngatur standar kaamanan pikeun produk Cisco
  • Cisco ngalakukeun kerentanan / uji ketahanan Protokol dina sadaya sékrési UCS
• Q 1.2: Naha SEDs penting?
  A 1.2: SEDs dipaké pikeun enkripsi data-di-istirahat sarta mangrupakeun sarat pikeun loba, lamun teu kabeh, féderal, médis, sarta lembaga keuangan.

Émbaran Umum Leuwihview

• Q 2.1: Naon SEDs?
  A 2.1: SED (Self-Encrypting Drives) gaduh hardware khusus anu énkripsi data anu asup sareng ngadekrip data anu kaluar sacara real-time.
• Q 2.2: Naon ruang lingkup enkripsi dina HX?
  A 2.2: Enkripsi dina HX ayeuna dilaksanakeun dina hardware pikeun data dina sésana ngan ngagunakeun drive énkripsi (SED). Enkripsi HX nyaéta cluster-lega. Enkripsi VM individu diurus ku parangkat lunak pihak ka-3 sapertos Hytrust atanapi klien transparan Vormetric sareng di luar lingkup tanggung jawab HX. HX ogé ngadukung panggunaan énkripsi VM asli VMware anu diwanohkeun dina vSphere 6.5. Pamakéan klien enkripsi VM dina luhureun enkripsi dumasar HX SED bakal ngahasilkeun enkripsi ganda data. Réplikasi HX henteu énkripsi sareng ngandelkeun jaringan anu dipercaya atanapi torowongan énkripsi anu disebarkeun ku pangguna akhir.
• Q 2.3: Standar patuh naon anu kapendak sareng enkripsi HX?
  A 2.3: HX SED drive énkripsi minuhan FIPS 140-2 tingkat 2 standar ti pabrik drive. HX Encryption on platform meets FIPS 140-2 tingkat 1 standar.
• Q 2.4: Naha urang ngadukung HDD sareng SSD pikeun énkripsi?
  A 2.4: Leres, kami ngadukung HDD sareng SSD SEDs ti Micron.
• Q 2.5: Naha kluster HX tiasa gaduh drive énkripsi sareng non-énkripsi dina waktos anu sami?
  A 2.5: Sadaya titik dina klaster kedah seragam (SED atanapi non-SED)
• Q 2.6: Konci naon anu dianggo pikeun SED sareng kumaha aranjeunna dianggo?
  A 2.6: Aya dua konci anu dianggo pikeun tiap SED. Media Encryption Key (MEK) disebut oge Disk Encryption Key (DEK), ngadalikeun enkripsi sareng dekripsi data kana disk sareng diamankeun sareng dikokolakeun dina hardware. Key Encryption Key (KEK) ngamankeun DEK/MEK sareng dijaga di toko konci lokal atanapi jauh.
• Q 2.7: Naha konci anu kantos aya dina mémori?
  A 2.7: Konci énkripsi henteu pernah aya dina mémori titik
• Q 2.8: Kumaha kinerja dipangaruhan ku prosés enkripsi/dekripsi?
  A 2.8: Enkripsi disk / dekripsi diatur dina hardware drive. Gemblengna kinerja sistem teu kapangaruhan sarta henteu tunduk kana serangan nargétkeun komponén séjén tina sistem
• Q 2.9: Lian ti énkripsi dina sésana, naon alesan séjén pikeun ngagunakeun SEDs?
  A 2.9: SEDs bisa ngurangan pangsiun drive na redeployment waragad ngaliwatan erasure cryptographic sakedapan. Éta ogé nyayogikeun pikeun sasuai sareng peraturan pamaréntah atanapi industri pikeun privasi data. Advan sejentage nyaéta ngurangan résiko maling disk jeung maling titik saprak data, sakali hardware dicabut tina ékosistem, teu bisa dibaca.
• Q2.10: Naon kajadian kalawan deduplication na komprési kalawan SEDs? Naon kajadian ku enkripsi dumasar software pihak ka-3?
  A2.10: Deduplikasi sareng komprési sareng SED dina HX dijaga saprak data dina énkripsi istirahat lumangsung salaku léngkah terakhir dina prosés nyerat. Deduplikasi sareng komprési parantos dilaksanakeun. Kalayan produk enkripsi dumasar-software pihak ka-3, VM ngatur énkripsina sareng ngalangkungan tulisan énkripsi ka hypervisor sareng salajengna HX. Kusabab tulisan-tulisan ieu parantos énkripsi, aranjeunna henteu kéngingkeun duplikat atanapi dikomprés. HX Software Based Encryption (dina 5.x codeline) bakal janten solusi enkripsi software anu dilaksanakeun dina tumpukan saatos optimasi nyerat (deduplikasi sareng komprési) parantos kajantenan ku kituna kauntungan bakal dipikagaduh dina kasus éta.

Sosok di handap mangrupa leuwihview tina palaksanaan SED kalawan HX.

Rinci drive 

• Q 3.1: Saha anu ngahasilkeun drive énkripsi anu dianggo dina HX?
  A 3.1: HX nganggo drive anu didamel ku Micron: Dokumén khusus Micron dihubungkeun dina bagian dokumén anu ngadukung FAQ ieu.
• Q 3.2: Naha urang ngadukung SED anu henteu patuh FIPS?
  A 3.2: Urang ogé ngarojong sababaraha drive nu non-FIPS, tapi ngarojong SED (TCGE).
• Q 3.3: Naon TCG?
  A 3.3: TCG nyaéta Grup Komputasi Dipercanten, anu nyiptakeun sareng ngatur standar spésifikasi pikeun neundeun data énkripsi
• Q 3.4: Naon anu dianggap kaamanan kelas perusahaan nalika SAS SSD pikeun pusat data? Naon fitur khusus anu gaduh drive ieu anu mastikeun kaamanan sareng ngajagi tina serangan?
  A 3.4: Daptar ieu nyimpulkeun fitur kelas perusahaan tina SED anu dianggo dina HX sareng kumaha hubunganana sareng standar TCG.
  1. Drive énkripsi diri (SED) nyayogikeun kaamanan anu kuat pikeun data anu aya dina SED anjeun, nyegah aksés data anu henteu sah. Grup Komputasi Dipercaya (TCG) parantos ngembangkeun daptar fitur sareng mangpaat drive énkripsi mandiri pikeun HDD sareng SSD. TCG nyayogikeun standar anu disebut TCG Enterprise SSC (Kelas Subsistem Kaamanan) sareng fokus kana data dina sésana. Ieu sarat pikeun sakabéh SEDs. Spesifikasina manglaku ka alat panyimpen data sareng pangendali anu beroperasi dina panyimpenan perusahaan. daftar ngawengku:
     • Transparansi: Taya sistem atawa modifikasi aplikasi diperlukeun; konci enkripsi dihasilkeun ku drive sorangan, ngagunakeun on-board generator angka acak leres; drive salawasna encrypting.
     • Gampang manajemén: Taya konci enkripsi pikeun ngatur; ngical paralatan ngeksploitasi antarmuka standar pikeun ngatur SED, kalebet manajemén jauh, auténtikasi pra-boot, sareng pamulihan kecap akses
     • Biaya pembuangan atanapi re-purposing: Kalayan SED, mupus konci enkripsi on-board
     • Énkripsi deui: Kalawan SED, aya teu kudu kantos ulang encrypt data
     • Kinerja: Taya degradasi dina kinerja SED; hardware basis
     • Standarisasi: Industri drive sadayana ngawangun kana TCG / SED spésifikasi
     • Saderhana: Henteu aya gangguan kana prosés hulu
  2. SSD SEDs nyadiakeun nyaéta kamampuhan pikeun cryptographically mupus drive. Ieu ngandung harti yén paréntah dioténtikasi basajan bisa dikirim ka drive pikeun ngarobah konci enkripsi 256-bit disimpen dina drive. Ieu ensures yén drive geus musnah beresih jeung euweuh data sésana. Malah sistem host aslina teu bisa maca data, jadi eta kacida bakal unreadable ku sagala sistem lianna. Operasina ngan ukur sababaraha detik, sabalikna tina sababaraha menit atanapi malah jam anu diperyogikeun pikeun ngalakukeun operasi analog dina HDD anu henteu énkripsi sareng ngahindarkeun biaya alat atanapi jasa de-gaussing HDD anu mahal.
  3. FIPS (Federal Information Processing Standard) 140-2 mangrupikeun standar pamaréntah AS anu ngajelaskeun énkripsi sareng syarat kaamanan anu aya hubunganana sareng produk IT pikeun panggunaan anu sénsitip, tapi henteu diklasifikasikeun. Ieu sering sarat pikeun lembaga pamaréntah sareng perusahaan dina jasa kauangan sareng industri kasehatan ogé. SSD anu divalidasi FIPS-140-2 ngagunakeun prakték kaamanan anu kuat kalebet algoritma enkripsi anu disatujuan. Ogé nangtukeun kumaha individu atawa prosés séjén kudu otorisasi guna ngamangpaatkeun produk, sarta kumaha modul atawa komponén kudu dirancang pikeun aman berinteraksi sareng sistem lianna. Kanyataanna, salah sahiji sarat a FIPS-140-2 disahkeun SSD drive téh nya éta SED a. Émut yén sanaos TCG sanés hiji-hijina cara pikeun kéngingkeun drive énkripsi anu disertipikasi, spésifikasi TCG Opal sareng Enterprise SSC nyayogikeun kami batu léngkah pikeun validasi FIPS. 4. Fitur penting séjén nyaéta Undeuran Aman sareng Diagnostik. Fitur firmware ieu ngajaga drive tina serangan software ngaliwatan tanda tangan digital anu diwangun kana firmware. Nalika undeuran diperyogikeun, tanda tangan digital nyegah aksés anu henteu sah kana drive, nyegah firmware palsu dimuat kana drive.

Hyperflex install kalawan SEDs

• Q 4.1: Kumaha pamasangan ngadamel panyebaran SED? Dupi aya cék husus?
  A 4.1: Pamasang komunikasi sareng UCSM sareng mastikeun yén firmware sistem leres sareng dirojong pikeun hardware anu dideteksi. Kasaluyuan enkripsi dipariksa sareng dikuatkeun (contona, henteu aya campuran SED sareng non-SED).
• Q 4.2: Naha panyebaranna béda-béda?
  A 4.2: Pamasanganna sami sareng pamasangan HX biasa, tapi, alur kerja khusus henteu dirojong pikeun SED. Operasi ieu merlukeun kredensial UCSM pikeun SEDs ogé.
• Q 4.3: Kumaha lisénsi dianggo sareng enkripsi? Aya nanaon tambahan nu kudu di tempat?
  A 4.3: hardware SED (maréntahkeun ti pabrik, moal retrofit) + HXDP 2.5 + UCSM (3.1 (3x)) mangrupa hiji-hijina hal diperlukeun pikeun ngaktipkeun enkripsi kalawan manajemén konci. Henteu aya lisénsi tambahan di luar langganan dasar HXDP anu diperyogikeun dina sékrési 2.5.
• Q 4.4: Naon anu lumangsung nalika kuring gaduh sistem SED anu gaduh drive anu henteu sayogi? Kumaha carana abdi tiasa dilegakeun klaster ieu?
  A 4.4: Iraha waé urang ngagaduhan PID anu akhir-akhirna ti panyadia kami, kami gaduh PID panggantian anu cocog sareng PID anu lami. PID ngagantian ieu tiasa dianggo pikeun RMA, ékspansi dina titik, sareng ékspansi klaster (kalayan titik énggal). Sadaya metodeu sadayana dirojong, tapi, aranjeunna tiasa meryogikeun paningkatan kana rilis khusus anu ogé dicirikeun dina catetan pelepasan transisi.

Manajemén Konci

• Q 5.1: Naon ari Manajemén Utama?
  A 5.1: Manajemén konci mangrupikeun tugas anu kalebet ngajagaan, nyimpen, nyadangkeun sareng ngatur konci enkripsi. HX ngalaksanakeun ieu dina kawijakan UCSM-centric.
• Q 5.2: mékanisme Naon nyadiakeun rojongan pikeun konfigurasi konci?
  A 5.2: UCSM nyadiakeun rojongan pikeun ngonpigurasikeun konci kaamanan.
• Q 5.3: Naon jinis manajemén konci anu sayogi?
  A 5.3: Pangaturan konci lokal dirojong, sareng manajemén konci jarak jauh kelas perusahaan sareng server manajemén konci pihak ka-3.
• Q 5.4: Saha mitra manajemén konci jauh?
  A 5.4: Kami ayeuna ngadukung Vormetric sareng Gemalto (Safenet) sareng kalebet kasadiaan anu luhur (HA). HyTrust nuju diuji.
• Q 5.5: Kumaha manajemén konci jauh dilaksanakeun?
  A 5.5: Manajemén konci jauh diurus via KMIP 1.1.
• Q 5.6: Kumaha manajemén lokal ngonpigurasi?
  A 5.6: Konci kaamanan (KEK) dikonpigurasi dina HX Connect, langsung ku pamaké.
• Q 5.7: Kumaha manajemén jauh ngonpigurasi?
  A 5.7: Inpormasi alamat server manajemén konci jauh (KMIP) sareng kredensial login dikonpigurasi dina HX Connect ku pangguna.
• Q 5.8: Bagian mana HX komunikasi sareng server KMIP pikeun konfigurasi?
  A 5.8: CIMC dina unggal titik ngagunakeun inpormasi ieu pikeun nyambung ka server KMIP sareng kéngingkeun konci kaamanan (KEK) ti dinya.
  
• Q 5.9: Jenis Sértipikat naon anu dirojong dina prosés ngahasilkeun / ngamutahirkeun / update konci?
  A 5.9: Sertipikat anu ditandatanganan CA sareng ditandatanganan diri duanana dirojong.
  
• Q 5.10: Alur kerja naon anu dirojong ku prosés énkripsi?
  A 5.10: Ngajagi / ngalindungan nganggo sandi khusus dirojong sareng konversi manajemén konci lokal ka jauh. Operasi konci ulang dirojong. Operasi mupus disk aman ogé dirojong.
  

Aliran kerja pamaké: Lokal

• Q 6.1: Dina HX Connect, dimana kuring nyetél manajemén konci lokal?
  A 6.1: Dina dasbor Énkripsi pilih tombol Konpigurasikeun tur turutan wizard.
• P 6.2: Naon anu kuring kedah siapkeun pikeun ngamimitian ieu?
  A 6.2: Anjeun kedah nyayogikeun frasa sandi kaamanan 32 karakter.
• Q 6.3: Naon kajadian lamun kuring kudu nyelapkeun SED anyar?
  A 6.3: Dina UCSM anjeun bakal kudu ngédit kawijakan kaamanan lokal tur nyetel konci deployed kana konci titik aya.
• Q 6.4: Naon anu lumangsung nalika kuring nyelapkeun disk anyar?
  A 6.4: Upami konci kaamanan dina disk cocog sareng pangladén (titik) éta otomatis dikonci. Upami konci kaamanan béda, disk bakal ditingalikeun salaku "Konci". Anjeun tiasa mupus disk pikeun mupus sadaya data atanapi muka konci ku nyayogikeun konci anu leres. Ieu waktu nu sae pikeun kalibet TAC.

Aliran kerja pamaké: Jauh

• Q 7.1: Naon sababaraha hal anu kuring kedah awas sareng konfigurasi manajemén konci jauh?
  A 7.1: Komunikasi antara klaster jeung server KMIP (s) lumangsung ngaliwatan CIMC on unggal titik. Ieu ngandung harti yén hostname tiasa dianggo pikeun server KMIP ngan upami alamat IP Inband sareng DNS dikonpigurasi dina manajemén CIMC.
• Q 7.2: Naon kajadian lamun kuring kudu ngaganti atawa nyelapkeun SED anyar?
  A 7.2: Kluster bakal maca identifier tina disk sareng nyobian muka konci éta sacara otomatis. Upami muka konci otomatis gagal, disk muncul salaku "dikonci" sareng pangguna kedah muka konci disk sacara manual. Anjeun kedah nyalin sertipikat ka server KMIP pikeun tukeur kredensial.
• Q 7.3: Kumaha kuring nyalin sertipikat ti klaster ka server KMIP?
  A 7.3: Aya dua cara pikeun ngalakukeun ieu. Anjeun tiasa nyalin sertipikat ti BMC ka server KMIP langsung atanapi anjeun tiasa nganggo CSR pikeun kéngingkeun sertipikat anu ditandatanganan CA sareng nyalin sertipikat anu ditandatanganan CA ka BMC nganggo paréntah UCSM.
• Q 7.4: Naon pertimbangan anu aya pikeun nambahkeun titik énkripsi kana klaster anu ngagunakeun manajemén konci jauh?
  A 7.4: Nalika nambahkeun host anyar kana server KMIP (s), hostname dipaké kudu nomer serial server. Pikeun meunangkeun sertipikat pangladén KMIP, Anjeun bisa maké browser pikeun meunangkeun sertipikat akar pangladén KMIP.

Aliran kerja pamaké: Umum

• Q 8.1: Kumaha kuring mupus disk?
  A 8.1: Dina dasbor HX Connect, pilih inpormasi sistem view. Ti dinya anjeun tiasa milih disk individu pikeun ngahapus aman.
• Q 8.2: Kumaha upami kuring ngahapus disk ku teu kahaja?
  A 8.2: Nalika ngahapus aman dianggo, data bakal musnah sacara permanen
• Q 8.3: Naon anu lumangsung nalika kuring hoyong nganonaktipkeun titik atanapi ngapisahkeun jasa profile?
  A 8.3: Taya lampah ieu bakal miceun enkripsi dina disk / controller.
• Q 8.4: Kumaha énkripsi ditumpurkeun?
  A 8.4: Pamaké kedah nganonaktipkeun énkripsi sacara eksplisit dina HX Connect. Lamun pamaké nyoba mupus kawijakan kaamanan di UCSM nalika server pakait geus diamankeun, UCSM bakal nembongkeun hiji config-gagal na disallow tindakan. Kabijakan kaamanan kedah ditumpurkeun heula.

Aliran Kerja Pamaké: Manajemén Sertipikat

• Q 9.1: Kumaha sertipikat diatur salami pangaturan manajemén jauh?
  A 9.1: Sertipikat dijieun maké HX Connect jeung server KMIP jauh (s). Sertipikat sakali dijieun ampir moal pernah dihapus.
• Q 9.2: Jenis sertipikat naon anu kuring tiasa dianggo?
  A 9.2: Anjeun tiasa nganggo sertipikat anu ditandatanganan nyalira atanapi sertipikat CA. Anjeun kudu milih salila setelan. Pikeun sertipikat anu ditandatanganan CA anjeun bakal ngahasilkeun sakumpulan Permintaan Penandatanganan Sertipikat (CSR). Sertipikat anu ditandatanganan diunggah ka server KMIP.
• Q 9.3: Ngaran host naon anu kuring kedah dianggo nalika ngahasilkeun sertipikat?
  A 9.3: Ngaran host anu dianggo pikeun ngahasilkeun sertipikat kedah janten Nomer Serial server.

Pembaruan firmware

• Q 10.1: Naha aya larangan pikeun ningkatkeun firmware disk?
  A 10.1: Upami drive anu tiasa enkripsi dideteksi, parobahan firmware disk moal diidinan pikeun disk éta.
• Q 10.2: Naha aya larangan pikeun ningkatkeun firmware UCSM?
  A 10.2: Downgrade of UCSM / CIMC ka pre-UCSM 3.1 (3x) diwatesan lamun aya controller nu aya dina kaayaan aman.

Rincian Hapus Aman

• P 11.1: Naon Dupi Aman Hapus?
  A 11.1: Hapus aman nyaéta mupus instan data dina drive (ngusap konci énkripsi disk). Ieu ngandung harti yén paréntah dioténtikasi basajan bisa dikirim ka drive pikeun ngarobah konci enkripsi 256-bit disimpen dina drive. Ieu ensures yén drive geus musnah beresih jeung euweuh data sésana. Malah sistem host aslina teu bisa maca data jadi bakal unreadable ku sagala sistem lianna. Operasi ngan butuh sababaraha detik, sabalikna tina sababaraha menit atawa malah jam nu diperlukeun pikeun ngalakukeun hiji operasi analog dina disk unencrypted tur ngahindarkeun biaya parabot degaussing mahal atawa jasa.
• P 11.2: Kumaha cara ngahapus aman?
  A 11.2: Ieu operasi GUI anu dipigawé hiji drive dina hiji waktu.
• P 11.3: Iraha ngahapus aman biasana dilaksanakeun?
  A 11.3: Hapus aman anu diprakarsai ku pangguna tina hiji disk mangrupikeun operasi anu jarang. Hal ieu biasana dilakukeun nalika anjeun badé ngahapus disk sacara fisik pikeun ngagantian, mindahkeun kana titik anu sanés, atanapi ngahindarkeun kagagalan anu bakal datang.
• P 11.4: Naon larangan anu aya dina mupus aman?
  A 11.4: Operasi mupus aman ngan bisa dipigawé lamun klaster cageur pikeun mastikeun yén resiliency sesar tina klaster teu impacted.
• Q 11.5: Naon kajadian lamun kuring kudu miceun sakabéh titik?
  A 11.5: Aya titik ngahapus sareng node ngagentos alur kerja pikeun ngadukung ngahapus aman sadaya drive. Tempo pituduh admin pikeun detil atawa konsultasi Cisco TAC.
• Q 11.6: Naha disk anu dihapus aman tiasa dianggo deui?
  A 11.6: Disk anu parantos dihapus sacara aman tiasa dianggo deui dina klaster anu béda waé. Ngahapus aman SED dilakukeun ku ngusap konci enkripsi disk (DEK). Data dina disk teu tiasa didekripsi tanpa DEK. Ieu ngidinan Anjeun pikeun make deui atawa decommission disk tanpa kompromi data.
• Q 11.7: Naon kajadian lamun piringan Abdi hoyong mupus ngandung salinan primér panungtungan data klaster?
  A 11.7: Data dina disk kudu boga salinan séjén dina klaster pikeun nyegah leungitna data. Nanging, upami mupus aman dipénta dina disk anu mangrupikeun salinan primér anu terakhir, maka operasi ieu bakal ditolak dugi ka sahenteuna aya hiji salinan deui anu sayogi. Rebalance kedah ngadamel salinan ieu di latar tukang.
• Q 11.8: Nyaan kudu aman mupus disk, tapi klaster teu cageur. Kumaha carana abdi tiasa ngalakukeun eta?
  A 11.8: Baris paréntah (STCLI / HXCLI) bakal ngidinan mupus aman nalika klaster teu sehat sarta disk teu ngandung salinan primér panungtungan, disebutkeun eta disallowed.
• Q 11.9: Kumaha carana abdi tiasa mupus hiji sakabéh titik aman?
  A 11.9: Ieu skenario langka. Hapusan aman sadaya disk dina titik anu dilakukeun nalika hiji hoyong nyandak titik kaluar tina kluster. Maksudna nyaéta pikeun nyebarkeun titik dina kluster anu béda atanapi ngaleungitkeun titik éta. Urang tiasa mengklasifikasikan panyabutan titik dina skenario ieu ku dua cara:
  1. Aman ngahapus sadaya disk tanpa nganonaktipkeun énkripsi
  2. Hapus sadaya disk anu aman diteruskeun ku nganonaktipkeun enkripsi pikeun titik éta (sareng disk). Mangga ngahubungan Cisco TAC pikeun pitulung.

Ékspansi Aman tina Kluster

• Q 12.1: Naon jenis titik abdi tiasa dilegakeun hiji klaster énkripsi kalawan?
  A 12.1: Ngan titik-titik anu sanggup SED tiasa ditambah kana Kluster HX sareng SED.
• Q 12.2: Kumaha ékspansi jeung manajemén konci lokal diatur?
  A 12.2: Ekspansi konci lokal mangrupikeun operasi anu lancar tanpa konfigurasi luar anu diperyogikeun.
• Q 12.3: Kumaha ékspansi sareng manajemén konci jauh diurus?
  A 12.3: Ekspansi konci jauh merlukeun lockstep kalawan sertipikat / infrastruktur manajemén konci:
  • Sertipikat diperlukeun pikeun nambahkeun titik anyar aman
  • Deployment bakal nunjukkeun peringatan kalayan léngkah-léngkah pikeun neraskeun kalebet tautan pikeun unduh sertipikat
  • Pamaké nuturkeun léngkah-léngkah pikeun unggah sertipikat (s) teras nyobian deui panyebaran

Dokumén Pangrojong

Mikron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Daptar algoritma crypto anu disatujuan pikeun FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• proyék: CSC.nuova Produk: ucs-agul-server Komponén: ucsm

Spésifikasi Fungsional SED:

• EDCS: 1574090

SED CIMC spésifikasi:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Daptar Surat:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Dokumén / Sumberdaya

CISCO HyperFlex HX Data Platform [pdf] Parentah Platform Data HyperFlex HX, HyperFlex, Platform Data HX, Platform Data, Platform

Rujukan

• Manual pamaké