CISCO HyperFlex HX Veri Platformu

Ürün Bilgileri

• Ürün Adı: HX Güvenlik Şifrelemesi
• Sürüm: HXDP 5.01b
• Şifreleme Çözümü: Intersight Key Manager'ı kullanan yazılım tabanlı çözüm
• Şifreleme tipi: Kendini Şifreleyen Sürücüler (SED'ler)
• Desteklenen Sürücü Türleri: Micron'dan HDD ve SSD SED'ler
• Uyumluluk Standartları: FIPS 140-2 seviye 2 (sürücü üreticileri) ve FIPS 140-2 seviye 1 (platform)
• Küme Genelinde Şifreleme: HX üzerindeki şifreleme, yalnızca SED'ler kullanılarak hareketsiz veriler için donanımda uygulanır
• Bireysel VM Şifrelemesi: Hytrust veya Vormetric'in şeffaf istemcisi gibi üçüncü taraf yazılımlar tarafından işlenir
• VMware Yerel VM Şifrelemesi: SED şifrelemesiyle kullanım için HX tarafından desteklenir
• Anahtar yönetimi: Her SED için Medya Şifreleme Anahtarı (MEK) ve Anahtar Şifreleme Anahtarı (KEK) kullanılır
• Bellek Kullanımı: Şifreleme anahtarları düğüm belleğinde asla bulunmaz
• Performans Etkisi: Disk şifreleme/şifre çözme işlemi sürücü donanımında gerçekleştirilir, genel sistem performansı etkilenmez
• SED’lerin Ek Faydaları:
  • Sürücü emekliliğini ve yeniden dağıtım maliyetlerini azaltmak için anında kriptografik silme
  • Veri gizliliğine ilişkin hükümet veya endüstri düzenlemelerine uyum
  • Donanım kaldırıldığında veriler okunamaz hale geldiğinden disk hırsızlığı ve düğüm hırsızlığı riski azalır

Ürün Kullanım Talimatları

HX Security Encryption'ı kullanmak için şu talimatları izleyin:

1. Sisteminizin donanım tabanlı şifrelemeyi desteklediğinden veya Intersight Key Manager'ı kullanarak yazılım tabanlı çözümü tercih ettiğinizden emin olun.
2. Yazılım tabanlı şifreleme hakkında bilgi için yönetim belgelerine veya teknik dokümanlara bakın.
3. SED'lerle donanım tabanlı şifreleme kullanmayı seçerseniz, HX kümenizin tek tip düğümlerden (SED veya SED olmayan) oluştuğundan emin olun.
4. SED'ler için kullanımda olan iki anahtar olduğunu unutmayın: Medya Şifreleme Anahtarı (MEK) ve Anahtar Şifreleme Anahtarı (KEK).
5. MEK, diske gönderilen verilerin şifrelenmesini ve şifresinin çözülmesini kontrol eder ve donanımda güvence altına alınır ve yönetilir.
6. KEK, MEK/DEK'i güvence altına alır ve yerel veya uzak anahtar deposunda tutulur.
7. Anahtarların düğüm belleğinde bulunması konusunda endişelenmeyin, çünkü şifreleme anahtarları hiçbir zaman orada saklanmaz.
8. Disk şifreleme/şifre çözme işleminin sürücü donanımında gerçekleştirildiğini ve bu sayede genel sistem performansının etkilenmediğini unutmayın.
9. Uyumluluk standartlarına ilişkin özel gereksinimleriniz varsa, HX SED şifreli sürücülerin sürücü üreticilerinin FIPS 140-2 seviye 2 standartlarını karşıladığını, platformdaki HX Şifrelemenin ise FIPS 140-2 seviye 1 standartlarını karşıladığını unutmayın.
10. Bireysel VM'leri şifrelemeniz gerekiyorsa, Hytrust veya Vormetric'in şeffaf istemcisi gibi üçüncü taraf yazılımları kullanmayı düşünün. Alternatif olarak, vSphere 3'te tanıtılan VMware'in yerel VM şifrelemesini kullanabilirsiniz.
11. HX SED tabanlı şifrelemenin üzerine bir VM şifreleme istemcisi kullanmanın verilerin iki kez şifrelenmesine yol açacağını unutmayın.
12. Güvenli çoğaltma için HX kümenizin güvenilir ağlar veya şifrelenmiş tüneller üzerinden bağlandığından emin olun, çünkü HX çoğaltması şifrelenmez.

HX Güvenlik Şifreleme SSS

HXDP 5.01b itibarıyla HyperFlex, donanım tabanlı şifrelemeyi desteklemeyen sistemler veya donanım çözümleri yerine bu işlevselliği isteyen kullanıcılar için Intersight Key Manager kullanan yazılım tabanlı bir çözüm sunmaktadır. Bu SSS yalnızca HX şifrelemesi için SED tabanlı donanım çözümlerine odaklanır. Yazılım tabanlı şifreleme hakkında bilgi için yönetim belgelerine veya teknik belgelere bakın.

Önyargı Beyanı
Bu ürün için belge seti önyargısız bir dil kullanmaya çalışır. Bu belge seti amaçları doğrultusunda, önyargısız, yaşa, engelliliğe, cinsiyete, ırksal kimliğe, etnik kimliğe, cinsel yönelime, sosyoekonomik statüye ve kesişimselliğe dayalı ayrımcılığı ima etmeyen bir dil olarak tanımlanır. Ürün yazılımının kullanıcı arayüzlerinde sabit kodlanmış dil, standart belgelerine göre kullanılan dil veya referans verilen üçüncü taraf bir ürün tarafından kullanılan dil nedeniyle belgelerde istisnalar bulunabilir.

Güvenlik ve HX Şifreleme için Neden Cisco? 

• S 1.1: Güvenli geliştirme için hangi süreçler mevcut?
  A 1.1: Cisco Sunucuları Cisco Güvenli Geliştirme Yaşam Döngüsü'ne (CSDL) uygundur:
  • Cisco, Cisco sunucularında gömülü güvenlik geliştirmek için süreçler, metodolojiler ve çerçeveler sağlar; yalnızca bir katman değil
  • UCS Ürün Portföyündeki tehdit modellemesi/statik analiz için özel Cisco ekibi
  • Cisco Gelişmiş Güvenlik Girişim Grubu (ASIG), tehditlerin nasıl ortaya çıktığını anlamak ve CDETS ve mühendislik yoluyla HW ve SW'yi geliştirerek sorunları gidermek için proaktif penetrasyon testleri gerçekleştirir
  • Müşterilere güvenlik danışmanları olarak giden güvenlik açıklarını test etmek ve yönetmek ve iletişim kurmak için özel Cisco ekibi
  • Tüm temel ürünler, Cisco ürünleri için güvenlik standartlarını yöneten ürün güvenliği temel gereksinimlerinden (PSB) geçer
  • Cisco, tüm UCS sürümlerinde Güvenlik Açığı/Protokol sağlamlığı testi gerçekleştirir
• S 1.2: SED'ler neden önemlidir?
  A 1.2: SED'ler, hareketsiz verilerin şifrelenmesi için kullanılır ve tüm federal, tıbbi ve finansal kurumların çoğu için bir gerekliliktir.

Genel Bilgilerview

• S 2.1: SED’ler nelerdir?
  A 2.1: SED (Kendi Kendini Şifreleyen Sürücüler), gelen verileri şifreleyen ve giden verileri gerçek zamanlı olarak şifresini çözen özel bir donanıma sahiptir.
• S 2.2: HX'te şifrelemenin kapsamı nedir?
  A 2.2: HX'te şifreleme şu anda yalnızca şifrelenmiş sürücüler (SED'ler) kullanılarak hareketsiz veriler için donanımda uygulanmaktadır. HX şifrelemesi küme genelindedir. Bireysel VM şifrelemesi, Hytrust veya Vormetric'in şeffaf istemcisi gibi üçüncü taraf yazılımlar tarafından işlenir ve HX sorumluluklarının kapsamı dışındadır. HX ayrıca vSphere 3'te tanıtılan VMware'in yerel VM şifrelemesinin kullanımını da destekler. HX SED tabanlı şifrelemenin üstünde bir VM şifreleme istemcisinin kullanılması, verilerin iki kez şifrelenmesiyle sonuçlanacaktır. HX çoğaltması şifrelenmez ve son kullanıcı tarafından dağıtılan güvenilir ağlara veya şifrelenmiş tünellere dayanır.
• S 2.3: HX şifrelemesi ile hangi uyumluluk standartları karşılanıyor?
  A 2.3: HX SED şifreli sürücüler, sürücü üreticilerinin FIPS 140-2 seviye 2 standartlarını karşılar. Platformdaki HX Şifreleme, FIPS 140-2 seviye 1 standartlarını karşılar.
• S 2.4: Şifreleme için hem HDD hem de SSD'yi destekliyor muyuz?
  A 2.4: Evet, Micron'un hem HDD hem de SSD SED'lerini destekliyoruz.
• S 2.5: Bir HX kümesinde aynı anda hem şifrelenmiş hem de şifrelenmemiş sürücüler bulunabilir mi?
  A 2.5: Kümedeki tüm düğümler tekdüze olmalıdır (SED'ler veya SED olmayanlar)
• S 2.6: SED için hangi anahtarlar kullanılıyor ve nasıl kullanılıyor?
  A 2.6: Her SED için kullanılan iki anahtar vardır. Medya Şifreleme Anahtarı (MEK), Disk Şifreleme Anahtarı (DEK) olarak da bilinir, diske verilerin şifrelenmesini ve şifresinin çözülmesini kontrol eder ve donanımda güvence altına alınır ve yönetilir. Anahtar Şifreleme Anahtarı (KEK), DEK/MEK'i güvence altına alır ve yerel veya uzak bir anahtar deposunda tutulur.
• S 2.7: Anahtarlar hafızada her zaman mevcut mudur?
  A 2.7: Şifreleme anahtarları düğüm belleğinde asla bulunmaz
• S 2.8: Şifreleme/şifre çözme işlemi performansı nasıl etkiler?
  A 2.8: Disk şifreleme/şifre çözme işlemi sürücü donanımında gerçekleştirilir. Genel sistem performansı etkilenmez ve sistemin diğer bileşenlerini hedef alan saldırılara maruz kalmaz
• S 2.9: Bekleme durumunda şifrelemenin dışında, SED'leri kullanmanın başka nedenleri nelerdir?
  A 2.9: SED'ler, anında kriptografik silme yoluyla sürücü emekliliğini ve yeniden dağıtım maliyetlerini azaltabilir. Ayrıca, veri gizliliği için hükümet veya endüstri düzenlemelerine uymaya da hizmet ederler. Başka bir avantajtage, donanım ekosistemden çıkarıldığında verilerin okunamaz hale gelmesi nedeniyle disk hırsızlığı ve düğüm hırsızlığı riskinin azalmasıdır.
• S2.10: SED'lerle veri çoğaltma ve sıkıştırmaya ne olur? Üçüncü taraf yazılım tabanlı şifrelemeye ne olur?
  A2.10: HX'te SED'lerle çoğaltma ve sıkıştırma, veri dinlenme şifrelemesi yazma sürecinin son adımı olarak gerçekleştiğinden korunur. Çoğaltma ve sıkıştırma zaten gerçekleşmiştir. 3. taraf yazılım tabanlı şifreleme ürünleriyle, VM'ler şifrelemelerini yönetir ve şifrelenmiş yazmaları hipervizöre ve ardından HX'e iletir. Bu yazmalar zaten şifrelenmiş olduğundan, çoğaltılmaz veya sıkıştırılmaz. HX Yazılım Tabanlı Şifreleme (5.x kod satırında), yazma optimizasyonları (çoğaltma ve sıkıştırma) gerçekleştikten sonra yığında uygulanan bir yazılım şifreleme çözümü olacaktır, bu nedenle bu durumda fayda korunacaktır.

Aşağıdaki şekil birview SED'in HX ile uygulanması.

Sürücü Ayrıntıları 

• S 3.1: HX'te kullanılan şifreli sürücüleri kim üretiyor?
  A 3.1: HX, Micron tarafından üretilen sürücüleri kullanır: Micron'a özgü belgeler, bu SSS'nin destekleyici belgeler bölümünde bağlantılıdır.
• S 3.2: FIPS uyumlu olmayan herhangi bir SED'i destekliyor muyuz?
  A 3.2: Ayrıca FIPS olmayan ancak SED (TCGE) destekleyen bazı sürücüleri de destekliyoruz.
• S 3.3: TCG nedir?
  A 3.3: TCG, şifreli veri depolama için teknik özellik standartlarını oluşturan ve yöneten Güvenilir Bilgi İşlem Grubudur
• S 3.4: Veri merkezleri için SAS SSD'ler söz konusu olduğunda kurumsal sınıf güvenlik olarak ne kabul edilir? Bu sürücüler güvenliği sağlayan ve saldırılara karşı koruma sağlayan hangi özelliklere sahiptir?
  A 3.4: Bu liste, HX'te kullanılan SED'lerin kurumsal sınıf özelliklerini ve bunların TCG standardıyla ilişkisini özetlemektedir.
  1. Kendi kendini şifreleyen sürücüler (SED'ler), SED'inizde hareketsiz duran veriler için güçlü güvenlik sağlayarak yetkisiz veri erişimini önler. Güvenilir Hesaplama Grubu (TCG), hem HDD'ler hem de SSD'ler için kendi kendini şifreleyen sürücülerin özelliklerinin ve avantajlarının bir listesini geliştirdi. TCG, TCG Enterprise SSC (Güvenlik Alt Sistem Sınıfı) adı verilen ve hareketsiz duran verilere odaklanan bir standart sağlar. Bu, tüm SED'ler için bir gerekliliktir. Bu özellik, kurumsal depolamada çalışan veri depolama aygıtları ve denetleyicileri için geçerlidir. Liste şunları içerir:
     • Şeffaflık: Hiçbir sistem veya uygulama değişikliği gerekmez; şifreleme anahtarı, sürücü tarafından yerleşik gerçek rastgele sayı üreteci kullanılarak üretilir; sürücü her zaman şifreleme yapar.
     • Yönetim kolaylığı: Yönetilecek bir şifreleme anahtarı yok; yazılım satıcıları, uzaktan yönetim, önyükleme öncesi kimlik doğrulama ve parola kurtarma dahil olmak üzere SED'leri yönetmek için standartlaştırılmış arayüzü kullanır
     • Bertaraf veya yeniden kullanım maliyeti: Bir SED ile yerleşik şifreleme anahtarını silin
     • Yeniden şifreleme: SED ile verileri tekrar şifrelemeye gerek kalmaz
     • Performans: SED performansında bozulma yok; donanım tabanlı
     • Standardizasyon: Tüm sürücü endüstrisi TCG/SED Spesifikasyonlarına göre inşa ediliyor
     • Basitleştirilmiş: Yukarı akış süreçlerine müdahale yok
  2. SSD SED'ler, sürücüyü kriptografik olarak silme yeteneği sağlar. Bu, sürücüde depolanan 256 bit şifreleme anahtarını değiştirmek için sürücüye basit bir kimlik doğrulamalı komut gönderilebileceği anlamına gelir. Bu, sürücünün temizlendiğinden ve hiçbir veri kalmadığından emin olur. Orijinal ana bilgisayar sistemi bile verileri okuyamaz, bu nedenle kesinlikle başka hiçbir sistem tarafından okunamaz. İşlem, şifrelenmemiş bir HDD'de benzer bir işlemi gerçekleştirmek için gereken dakikalar veya hatta saatlerin aksine yalnızca birkaç saniye sürer ve pahalı HDD de-gaussing ekipmanı veya hizmetlerinin maliyetinden kaçınılır.
  3. FIPS (Federal Bilgi İşleme Standardı) 140-2, BT ürünlerinin hassas ancak sınıflandırılmamış kullanım için karşılaması gereken şifreleme ve ilgili güvenlik gereksinimlerini tanımlayan bir ABD hükümet standardıdır. Bu genellikle finansal hizmetler ve sağlık sektörlerindeki hükümet kurumları ve şirketler için de bir gerekliliktir. FIPS-140-2 tarafından doğrulanan bir SSD, onaylı şifreleme algoritmaları dahil olmak üzere güçlü güvenlik uygulamaları kullanır. Ayrıca, bireylerin veya diğer süreçlerin ürünü kullanmak için nasıl yetkilendirilmesi gerektiğini ve modüllerin veya bileşenlerin diğer sistemlerle güvenli bir şekilde etkileşime girecek şekilde nasıl tasarlanması gerektiğini belirtir. Aslında, FIPS-140-2 tarafından doğrulanan bir SSD sürücüsünün gereksinimlerinden biri, SED olmasıdır. TCG'nin sertifikalı şifreli bir sürücü elde etmenin tek yolu olmadığını, TCG Opal ve Enterprise SSC özelliklerinin bize FIPS doğrulamasına giden bir basamak taşı sağladığını unutmayın. 4. Bir diğer önemli özellik ise Güvenli İndirmeler ve Tanılama'dır. Bu aygıt yazılımı özelliği, aygıt yazılımına yerleştirilmiş bir dijital imza aracılığıyla sürücüyü yazılım saldırılarına karşı korur. İndirmeler gerektiğinde, dijital imza sürücüye yetkisiz erişimi önleyerek sürücüye sahte aygıt yazılımının yüklenmesini engeller.

SED'lerle Hyperflex kurulumu

• S 4.1: Yükleyici bir SED dağıtımını nasıl yönetir? Herhangi bir özel kontrol var mı?
  A 4.1: Yükleyici UCSM ile iletişim kurar ve sistem aygıt yazılımının doğru olduğundan ve algılanan donanım için desteklendiğinden emin olur. Şifreleme uyumluluğu kontrol edilir ve uygulanır (örneğin, SED ve SED olmayanın karıştırılmaması).
• S 4.2: Dağıtım başka bir şekilde farklı mı olacak?
  A 4.2: Kurulum normal bir HX kurulumuna benzer, ancak özel iş akışı SED'ler için desteklenmez. Bu işlem SED'ler için de UCSM kimlik bilgilerini gerektirir.
• S 4.3: Lisanslama şifrelemeyle nasıl çalışır? Yerinde olması gereken ekstra bir şey var mı?
  A 4.3: SED donanımı (fabrikadan sipariş edilir, sonradan takılmaz) + HXDP 2.5 + UCSM (3.1(3x)) anahtar yönetimiyle şifrelemeyi etkinleştirmek için gereken tek şeylerdir. 2.5 sürümünde temel HXDP aboneliğinin dışında ek bir lisanslama gerekmez.
• S 4.4: Artık mevcut olmayan sürücülere sahip bir SED sistemim olduğunda ne olur? Bu kümeyi nasıl genişletebilirim?
  A 4.4: Tedarikçilerimizden kullanım ömrü sona ermiş herhangi bir PID'miz olduğunda, eski PID ile uyumlu bir yedek PID'miz olur. Bu yedek PID, RMA, bir düğüm içinde genişleme ve kümenin genişlemesi (yeni düğümlerle) için kullanılabilir. Tüm yöntemler desteklenir, ancak geçiş sürümü notlarında da belirtilen belirli bir sürüme yükseltme gerektirebilirler.

Anahtar yönetimi

• S 5.1: Anahtar Yönetimi Nedir?
  A 5.1: Anahtar yönetimi, şifreleme anahtarlarını koruma, depolama, yedekleme ve düzenleme ile ilgili görevlerdir. HX bunu UCSM merkezli bir politikada uygular.
• S 5.2: Anahtar yapılandırması için hangi mekanizma destek sağlar?
  A 5.2: UCSM, güvenlik anahtarlarının yapılandırılması için destek sağlar.
• S 5.3: Hangi anahtar yönetimi türü mevcuttur?
  A 5.3: Anahtarların yerel yönetimi desteklenirken, 3. parti anahtar yönetim sunucuları ile kurumsal düzeyde uzaktan anahtar yönetimi de desteklenmektedir.
• S 5.4: Uzaktan anahtar yönetimi ortakları kimlerdir?
  A 5.4: Şu anda Vormetric ve Gemalto'yu (Safenet) destekliyoruz ve yüksek kullanılabilirlik (HA) içeriyor. HyTrust test aşamasında.
• S 5.5: Uzaktan anahtar yönetimi nasıl uygulanır?
  A 5.5: Uzaktan anahtar yönetimi KMIP 1.1 üzerinden gerçekleştirilir.
• S 5.6: Yerel yönetim nasıl yapılandırılır?
  A 5.6: Güvenlik anahtarı (KEK), doğrudan kullanıcı tarafından HX Connect'te yapılandırılır.
• S 5.7: Uzaktan yönetim nasıl yapılandırılır?
  A 5.7: Uzaktan anahtar yönetimi (KMIP) sunucusu adres bilgileri, oturum açma kimlik bilgileriyle birlikte HX Connect'te kullanıcı tarafından yapılandırılır.
• S 5.8: HX'in hangi kısmı yapılandırma için KMIP sunucusuyla iletişim kurar?
  A 5.8: Her düğümdeki CIMC, bu bilgiyi KMIP sunucusuna bağlanmak ve ondan güvenlik anahtarını (KEK) almak için kullanır.
  
• S 5.9: Anahtar oluşturma/geri alma/güncelleme sürecinde hangi tür Sertifikalar destekleniyor?
  A 5.9: Hem CA tarafından imzalanan hem de kendi kendine imzalanan sertifikalar desteklenmektedir.
  
• S 5.10: Şifreleme süreciyle hangi iş akışları destekleniyor?
  A 5.10: Özel bir parola kullanarak koruma/korumayı kaldırma, yerelden uzaktan anahtar yönetimi dönüşümüyle birlikte desteklenir. Yeniden anahtarlama işlemleri desteklenir. Güvenli disk silme işlemleri de desteklenir.
  

Kullanıcı İş Akışı: Yerel

• S 6.1: HX Connect'te yerel anahtar yönetimini nereye ayarlayabilirim?
  A 6.1: Şifreleme panosunda yapılandır düğmesini seçin ve sihirbazı izleyin.
• S 6.2: Başlamak için hazırda ne bulundurmam gerekiyor?
  A 6.2: 32 karakterden oluşan bir güvenlik parolası sağlamanız gerekecektir.
• S 6.3: Yeni bir SED takmam gerekirse ne olur?
  6.3 bir: UCSM'de yerel güvenlik politikasını düzenlemeniz ve dağıtılan anahtarı mevcut düğüm anahtarına ayarlamanız gerekecektir.
• S 6.4: Yeni diski taktığımda ne olur?
  A 6.4: Diskteki güvenlik anahtarı sunucunun (düğümün) anahtarıyla eşleşirse otomatik olarak kilidi açılır. Güvenlik anahtarları farklıysa disk "Kilitli" olarak gösterilir. Tüm verileri silmek için diski temizleyebilir veya doğru anahtarı sağlayarak kilidini açabilirsiniz. Bu, TAC'yi devreye sokmak için iyi bir zamandır.

Kullanıcı İş Akışı: Uzaktan

• S 7.1: Uzaktan anahtar yönetimi yapılandırmasında dikkat etmem gereken şeyler nelerdir?
  A 7.1: Küme ile KMIP sunucusu(ları) arasındaki iletişim her düğümdeki CIMC üzerinden gerçekleşir. Bu, ana bilgisayar adının yalnızca CIMC yönetiminde Bant İçi IP adresi ve DNS yapılandırılmışsa KMIP sunucusu için kullanılabileceği anlamına gelir
• S 7.2: Yeni bir SED takmam veya değiştirmem gerekirse ne olur?
  A 7.2: Küme tanımlayıcıyı diskten okuyacak ve otomatik olarak kilidini açmaya çalışacaktır. Otomatik kilit açma başarısız olursa, disk "kilitli" olarak gelir ve kullanıcı diski manuel olarak kilidini açmak zorundadır. Sertifikaları kimlik bilgisi değişimi için KMIP sunucusuna/sunucularına kopyalamanız gerekecektir.
• S 7.3: Sertifikaları kümeden KMIP sunucusuna/sunucularına nasıl kopyalarım?
  A 7.3: Bunu yapmanın iki yolu vardır. Sertifikayı BMC'den KMIP sunucusuna doğrudan kopyalayabilir veya CA tarafından imzalanmış bir sertifika almak için CSR'yi kullanabilir ve CA tarafından imzalanmış sertifikayı UCSM komutlarını kullanarak BMC'ye kopyalayabilirsiniz.
• S 7.4: Uzaktan anahtar yönetimi kullanan bir kümeye şifreli düğümler eklerken hangi hususlara dikkat edilmelidir?
  A 7.4: KMIP sunucusuna(sunucularına) yeni ana bilgisayarlar eklerken, kullanılan ana bilgisayar adı sunucunun seri numarası olmalıdır. KMIP sunucusunun sertifikasını almak için, KMIP sunucusunun(sunucularının) kök sertifikasını almak üzere bir tarayıcı kullanabilirsiniz.

Kullanıcı İş Akışı: Genel

• S 8.1: Bir diski nasıl silerim?
  A 8.1: HX Connect panosunda sistem bilgilerini seçin view. Buradan güvenli silme için ayrı ayrı diskleri seçebilirsiniz.
• S 8.2: Yanlışlıkla bir diski silersem ne olur?
  A 8.2: Güvenli silme kullanıldığında veriler kalıcı olarak yok edilir
• S 8.3: Bir düğümü devre dışı bırakmak veya bir hizmet sağlayıcısını ayırmak istediğimde ne olur?file?
  A 8.3: Bu işlemlerin hiçbiri disk/denetleyici üzerindeki şifrelemeyi kaldırmayacaktır.
• S 8.4: Şifreleme nasıl devre dışı bırakılır?
  A 8.4: Kullanıcının HX Connect'te şifrelemeyi açıkça devre dışı bırakması gerekir. Kullanıcı, ilişkili sunucu güvenli hale getirildiğinde UCSM'de bir güvenlik politikasını silmeye çalışırsa, UCSM bir yapılandırma hatası görüntüler ve eyleme izin vermez. Güvenlik politikasının önce devre dışı bırakılması gerekir.

Kullanıcı İş Akışı: Sertifika Yönetimi

• S 9.1: Uzaktan yönetim kurulumu sırasında sertifikalar nasıl işlenir?
  A 9.1: Sertifikalar HX Connect ve uzak KMIP sunucusu(ları) kullanılarak oluşturulur. Bir kez oluşturulan sertifikalar neredeyse hiç silinmez.
• S 9.2: Hangi tür sertifikaları kullanabilirim?
  A 9.2: Kendi imzalı sertifikaları veya CA sertifikalarını kullanabilirsiniz. Kurulum sırasında seçmeniz gerekir. CA imzalı sertifikalar için bir dizi Sertifika İmzalama İsteği (CSR) üreteceksiniz. İmzalı sertifikalar KMIP sunucusuna/sunucularına yüklenir.
• S 9.3: Sertifikaları oluştururken hangi ana bilgisayar adını kullanmalıyım?
  A 9.3: Sertifikanın oluşturulmasında kullanılan ana bilgisayar adı sunucunun Seri Numarası olmalıdır.

Firmware güncellemeleri

• S 10.1: Disk aygıt yazılımının yükseltilmesinde herhangi bir kısıtlama var mı?
  A 10.1: Şifreleme yeteneğine sahip bir sürücü algılanırsa, söz konusu disk için herhangi bir disk yazılımı değişikliğine izin verilmez.
• S 10.2: UCSM aygıt yazılımının yükseltilmesinde herhangi bir kısıtlama var mı?
  A 10.2: Güvenli durumda bir denetleyici varsa, UCSM/CIMC'nin UCSM öncesi 3.1(3x) sürümüne düşürülmesi kısıtlanmıştır.

Güvenli Silme Ayrıntıları

• S 11.1: Güvenli Silme Nedir?
  A 11.1: Güvenli silme, sürücüdeki verilerin anında silinmesidir (disk şifreleme anahtarının silinmesi). Bu, sürücüde depolanan 256 bit şifreleme anahtarını değiştirmek için sürücüye basit bir kimlik doğrulamalı komutun gönderilebileceği anlamına gelir. Bu, sürücünün temizlendiğinden ve hiçbir veri kalmadığından emin olur. Orijinal ana bilgisayar sistemi bile verileri okuyamayacağından, başka hiçbir sistem tarafından okunamaz. İşlem, şifrelenmemiş bir diskte benzer bir işlemi gerçekleştirmek için gereken dakikalar hatta saatler yerine yalnızca birkaç saniye sürer ve pahalı degaussing ekipmanı veya hizmetlerinin maliyetinden kaçınılır.
• S 11.2: Güvenli silme nasıl yapılır?
  A 11.2: Bu, her seferinde bir sürücüde gerçekleştirilen bir GUI işlemidir.
• S 11.3: Güvenli silme genellikle ne zaman gerçekleştirilir?
  A 11.3: Tek bir diskin kullanıcı tarafından başlatılan güvenli silinmesi nadir bir işlemdir. Bu çoğunlukla diski değiştirmek için fiziksel olarak çıkarmak, başka bir düğüme aktarmak veya yakın gelecekte arızalanmayı önlemek istediğinizde yapılır.
• S 11.4: Güvenli silme konusunda hangi kısıtlamalar vardır?
  A 11.4: Güvenli silme işlemleri yalnızca kümenin sağlıklı olması durumunda gerçekleştirilebilir; böylece kümenin hata dayanıklılığı etkilenmez.
• S 11.5: Bir düğümü tamamen kaldırmam gerekirse ne olur?
  A 11.5: Tüm sürücülerin güvenli şekilde silinmesini desteklemek için düğüm kaldırma ve düğüm değiştirme iş akışları vardır. Ayrıntılar için yönetici kılavuzuna bakın veya Cisco TAC'ye danışın.
• S 11.6: Güvenli bir şekilde silinen bir disk yeniden kullanılabilir mi?
  A 11.6: Güvenli bir şekilde silinen bir disk yalnızca farklı bir kümede yeniden kullanılabilir. SED'in güvenli bir şekilde silinmesi, disk şifreleme anahtarının (DEK) silinmesiyle yapılır. Diskteki veriler DEK olmadan şifresi çözülemez. Bu, verilerde herhangi bir taviz vermeden diski yeniden kullanmanıza veya devre dışı bırakmanıza olanak tanır.
• S 11.7: Silmek istediğim disk küme verilerinin son birincil kopyasını içeriyorsa ne olur?
  A 11.7: Diskteki verilerin kümede veri kaybını önlemek için başka kopyaları olmalıdır. Ancak, son birincil kopya olan bir diskte güvenli silme istendiğinde, en az bir kopya daha kullanılabilir olana kadar bu işlem reddedilecektir. Yeniden dengeleme bu kopyayı arka planda yapmalıdır.
• S 11.8: Bir diski güvenli bir şekilde silmem gerekiyor ancak küme sağlıklı değil. Bunu nasıl yapabilirim?
  A 11.8: Komut satırı (STCLI/HXCLI), küme sağlıklı olmadığında ve disk son birincil kopyayı içermediğinde güvenli silmeye izin verir, aksi takdirde izin verilmez.
• S 11.9: Bir düğümün tamamını güvenli bir şekilde nasıl silebilirim?
  A 11.9: Bu nadir bir senaryodur. Bir düğümdeki tüm disklerin güvenli bir şekilde silinmesi, düğümü kümeden çıkarmak istendiğinde yapılır. Amaç, düğümü farklı bir kümeye dağıtmak veya düğümü devre dışı bırakmaktır. Bu senaryoda düğüm kaldırmayı iki farklı şekilde sınıflandırabiliriz:
  1. Şifrelemeyi devre dışı bırakmadan tüm diskleri güvenli bir şekilde silin
  2. Tüm diskleri güvenli bir şekilde silin ve ardından bu düğüm (ve diskler) için şifrelemeyi devre dışı bırakın. Lütfen yardım için Cisco TAC ile iletişime geçin.

Bir Kümenin Güvenli Genişletilmesi

• S 12.1: Şifrelenmiş bir kümeyi hangi tür düğümle genişletebilirim?
  A 12.1: SED'leri olan bir HX Kümesine yalnızca SED yeteneğine sahip düğümler eklenebilir.
• S 12.2: Yerel anahtar yönetimiyle genişleme nasıl gerçekleştirilir?
  A 12.2: Yerel anahtar genişletme, dışarıdan herhangi bir yapılandırma gerektirmeyen sorunsuz bir işlemdir.
• S 12.3: Uzaktan anahtar yönetimi ile genişleme nasıl gerçekleştirilir?
  A 12.3: Uzaktan anahtar genişletme, sertifikalar/anahtar yönetim altyapısı ile uyumlu çalışmayı gerektirir:
  • Yeni düğümü güvenli bir şekilde eklemek için sertifikalar gereklidir
  • Dağıtım, sertifika indirme bağlantısı da dahil olmak üzere devam edilecek adımların yer aldığı bir uyarı gösterecektir
  • Kullanıcı sertifika(lar)ı yüklemek için adımları izler ve ardından dağıtımı yeniden dener

Destekleyici Belgeler

Mikron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIP'ler

• FIPS 140-2 için onaylanan kripto algoritmalarının listesi: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDET'LER:

• Proje: CSC.nuova Ürün: ucs-blade-server Bileşen: ucsm

SED Fonksiyonel Spesifikasyonu:

• EDCS: 1574090

SED CIMC Özellikleri:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Posta Listeleri:

• ucsm-dev@cisco.com
• sor-hci-tme@cisco.com
• sor-hci-pm@cisco.com

Belgeler / Kaynaklar

CISCO HyperFlex HX Veri Platformu [pdf] Talimatlar HyperFlex HX Veri Platformu, HyperFlex, HX Veri Platformu, Veri Platformu, Platform

Referanslar

• Kullanıcı Kılavuzu