Платформа даних CISCO HyperFlex HX

Інформація про продукт

• Назва продукту: Шифрування безпеки HX
• Версія: HXDP 5.01b
• Рішення для шифрування: Програмне рішення з використанням Intersight Key Manager
• Тип шифрування: Диски з самошифруванням (SED)
• Підтримувані типи дисків: HDD і SSD SED від Micron
• Стандарти відповідності: FIPS 140-2 рівень 2 (виробники дисків) і FIPS 140-2 рівень 1 (платформа)
• Кластерне шифрування: Шифрування на HX реалізовано апаратно для даних у стані спокою лише за допомогою SED
• Індивідуальне шифрування віртуальної машини: Обробляється програмним забезпеченням сторонніх розробників, таким як Hytrust або прозорий клієнт Vormetric
• VMware Native VM Encryption: Підтримується HX для використання з шифруванням SED
• Управління ключами: Ключ шифрування медіа (MEK) і ключ шифрування ключа (KEK) використовуються для кожного SED
• Використання пам'яті: Ключі шифрування ніколи не присутні в пам'яті вузла
• Вплив на продуктивність: Шифрування/дешифрування диска виконується апаратним забезпеченням накопичувача, загальна продуктивність системи не впливає
• Додаткові переваги SED:
  • Миттєве криптографічне видалення для зменшення витрат на виведення диска з експлуатації та перерозподіл
  • Дотримання державних або галузевих норм щодо конфіденційності даних
  • Зменшення ризику крадіжки диска та вузла, оскільки дані стають нечитабельними після видалення обладнання

Інструкція з використання продукту

Щоб використовувати HX Security Encryption, дотримуйтесь цих інструкцій:

1. Переконайтеся, що ваша система підтримує апаратне шифрування або що ви віддаєте перевагу програмному рішенню за допомогою Intersight Key Manager.
2. Щоб отримати інформацію про програмне шифрування, зверніться до адміністративних документів або офіційних документів.
3. Якщо ви вирішите використовувати апаратне шифрування з SED, переконайтеся, що ваш кластер HX складається з однакових вузлів (SED або не SED).
4. Для SED пам’ятайте, що використовуються два ключі: ключ шифрування медіа (MEK) і ключ шифрування ключа (KEK).
5. MEK контролює шифрування та дешифрування даних на диску, захищається та керується апаратним забезпеченням.
6. KEK захищає MEK/DEK і зберігається в локальному або віддаленому сховищі ключів.
7. Не турбуйтеся про наявність ключів у пам’яті вузла, оскільки ключі шифрування там ніколи не зберігаються.
8. Зверніть увагу, що шифрування/дешифрування диска виконується апаратним забезпеченням накопичувача, що гарантує, що це не впливає на загальну продуктивність системи.
9. Якщо у вас є особливі вимоги до стандартів відповідності, майте на увазі, що диски з шифруванням HX SED відповідають стандартам FIPS 140-2 рівня 2 від виробників дисків, тоді як шифрування HX на платформі відповідає стандартам FIPS 140-2 рівня 1.
10. Якщо вам потрібно зашифрувати окремі віртуальні машини, розгляньте можливість використання стороннього програмного забезпечення, наприклад Hytrust або прозорого клієнта Vormetric. Крім того, ви можете використовувати власне шифрування віртуальної машини VMware, представлене у vSphere 3.
11. Майте на увазі, що використання клієнта шифрування віртуальної машини на основі шифрування на основі HX SED призведе до подвійного шифрування даних.
12. Переконайтеся, що ваш кластер HX підключено через надійні мережі або зашифровані тунелі для безпечної реплікації, оскільки реплікація HX не шифрується.

Поширені запитання щодо шифрування безпеки HX

Починаючи з HXDP 5.01b, HyperFlex пропонує програмне рішення з використанням Intersight Key Manager для систем, які або не підтримують апаратне шифрування, або для користувачів, яким потрібна ця функція замість апаратних рішень. Ці поширені запитання стосуються лише апаратних рішень на основі SED для шифрування HX. Щоб отримати інформацію про програмне шифрування, перегляньте адміністративні документи або технічну документацію.

Заява про упередженість
Набір документації для цього продукту намагається використовувати вільну мову. Для цілей цього комплекту документації безупередженість визначається як мова, яка не передбачає дискримінації за віком, обмеженими можливостями, статтю, расовою приналежністю, етнічною приналежністю, сексуальною орієнтацією, соціально-економічним статусом і взаємозв’язком. У документації можуть бути винятки через мову, жорстко закодовану в інтерфейсі користувача програмного забезпечення продукту, мову, яка використовується на основі стандартної документації, або мову, яка використовується в посиланні стороннього продукту.

Чому Cisco для безпеки та шифрування HX 

• Q 1.1: Які процеси існують для безпечної розробки?
  A 1.1: Сервери Cisco відповідають життєвому циклу безпечної розробки Cisco (CSDL):
  • Cisco надає процеси, методології та інфраструктури для розробки вбудованої безпеки на серверах Cisco, а не просто оверлей
  • Спеціальна команда Cisco для моделювання загроз/статичного аналізу портфоліо продуктів UCS
  • Ініціативна група Cisco Advanced Security Initiative Group (ASIG) проводить проактивне тестування на проникнення, щоб зрозуміти, як надходять загрози, і виправити проблеми шляхом удосконалення апаратного та програмного забезпечення за допомогою CDETS та розробки.
  • Спеціалізована команда Cisco для тестування та обробки вихідної вразливості та спілкування з клієнтами в якості радників із безпеки
  • Усі базові продукти проходять базові вимоги безпеки продукту (PSB), які регулюють стандарти безпеки для продуктів Cisco
  • Cisco проводить перевірку надійності вразливості/протоколу для всіх випусків UCS
• П 1.2: Чому SED важливі?
  A 1.2: SED використовуються для шифрування даних у стані спокою та є обов’язковими для багатьох, якщо не для всіх, федеральних, медичних і фінансових установ.

Загальна інформація закінченаview

• Q 2.1: Що таке SED?
  A 2.1: SED (Self-Encrypting Drives) має спеціальне обладнання, яке шифрує вхідні дані та розшифровує вихідні дані в режимі реального часу.
• Q 2.2: Який обсяг шифрування на HX?
  A 2.2: Шифрування на HX наразі реалізовано в апаратному забезпеченні для даних у стані спокою лише за допомогою зашифрованих дисків (SED). Шифрування HX є загальнокластерним. Шифрування окремої віртуальної машини виконується стороннім програмним забезпеченням, таким як Hytrust або прозорий клієнт Vormetric, і не входить до сфери обов’язків HX. HX також підтримує використання власного шифрування віртуальних машин VMware, представленого у vSphere 3. Використання клієнта шифрування віртуальної машини на основі шифрування на основі HX SED призведе до подвійного шифрування даних. Реплікація HX не шифрується й покладається на надійні мережі або зашифровані тунелі, розгорнуті кінцевим користувачем.
• Питання 2.3: Яким стандартам відповідності відповідає шифрування HX?
  A 2.3: Диски з шифруванням HX SED відповідають стандартам FIPS 140-2 рівня 2 від виробників дисків. Шифрування HX на платформі відповідає стандартам FIPS 140-2 рівня 1.
• Питання 2.4: Чи підтримуємо ми HDD і SSD для шифрування?
  A 2.4: Так, ми підтримуємо як HDD, так і SSD SED від Micron.
• Q 2.5: Чи може кластер HX мати зашифровані та незашифровані диски одночасно?
  A 2.5: Усі вузли в кластері мають бути однорідними (SED або не SED)
• Q 2.6: Які ключі використовуються для SED і як вони використовуються?
  A 2.6: Для кожного SED використовується два ключі. Ключ шифрування медіа (MEK), також званий ключем шифрування диска (DEK), керує шифруванням і дешифруванням даних на диску, захищається та керується апаратним забезпеченням. Ключ шифрування ключа (KEK) захищає DEK/MEK і зберігається в локальному або віддаленому сховищі ключів.
• Q 2.7: Чи є ключі в пам’яті?
  A 2.7: Ключі шифрування ніколи не присутні в пам'яті вузла
• Питання 2.8: Як процес шифрування/дешифрування впливає на продуктивність?
  A 2.8: Шифрування/дешифрування диска виконується апаратним забезпеченням накопичувача. Це не впливає на загальну продуктивність системи та не піддається атакам, спрямованим на інші компоненти системи
• Q 2.9: Які інші причини використовувати SED, крім шифрування в стані спокою?
  A 2.9: SED можуть зменшити витрати на виведення диска з експлуатації та перерозподіл завдяки миттєвому криптографічному стиранню. Вони також служать для дотримання державних або галузевих норм щодо конфіденційності даних. Ще одна перевагаtage — це знижений ризик крадіжки диска та вузла, оскільки дані після видалення апаратного забезпечення з екосистеми стають нечитабельними.
• Q2.10: Що відбувається з дедуплікацією та стисненням за допомогою SED? Що відбувається з шифруванням на основі програмного забезпечення третьої сторони?
  A2.10: Дедуплікація та стиснення за допомогою SED на HX підтримується, оскільки шифрування даних у стані спокою відбувається як останній крок у процесі запису. Дедуплікація та стиснення вже відбулися. За допомогою продуктів шифрування на основі програмного забезпечення сторонніх розробників віртуальні машини керують своїм шифруванням і передають зашифровані записи в гіпервізор і згодом у HX. Оскільки ці записи вже зашифровані, вони не дедуплікуються або не стискаються. Шифрування на основі програмного забезпечення HX (у лінії коду 3.x) буде програмним рішенням для шифрування, яке впроваджується в стек після оптимізації запису (дедуплікації та стиснення), тому в цьому випадку перевага буде збережено.

Малюнок нижче є надview впровадження SED з HX.

Деталі диска 

• Q 3.1: Хто виробляє зашифровані диски, які використовуються в HX?
  A 3.1: HX використовує накопичувачі виробництва Micron: посилання на документи, що стосуються Micron, наведено в розділі супровідних документів цього поширеного запитання.
• Q 3.2: Чи підтримуємо ми SED, які не відповідають FIPS?
  A 3.2: Ми також підтримуємо деякі накопичувачі, які не є FIPS, але підтримують SED (TCGE).
• Q 3.3: Що таке TCG?
  A 3.3: TCG — це Trusted Computing Group, яка створює та керує стандартом специфікацій для зберігання зашифрованих даних
• Питання 3.4: Що вважається безпекою корпоративного класу, коли йдеться про SAS SSD для центру обробки даних? Які особливості мають ці накопичувачі, що забезпечують безпеку та захист від атак?
  A 3.4: Цей список підсумовує функції корпоративного класу SED, що використовуються в HX, і те, як вони пов’язані зі стандартом TCG.
  1. Диски з самошифруванням (SED) забезпечують надійний захист даних, що знаходяться на вашому SED, запобігаючи несанкціонованому доступу до даних. Trusted Computing Group (TCG) розробила список функцій і переваг дисків із самошифруванням як для HDD, так і для SSD. TCG надає стандарт, який називається TCG Enterprise SSC (Security Subsystem Class) і зосереджений на даних у стані спокою. Це вимога для всіх СЕД. Специфікація стосується пристроїв зберігання даних і контролерів, які працюють у корпоративних сховищах. Список включає:
     • Прозорість: Не потрібно змінювати систему чи програму; ключ шифрування, створений самим накопичувачем за допомогою вбудованого генератора випадкових чисел; диск завжди шифрується.
     • Простота управління: Немає ключа шифрування для керування; Постачальники програмного забезпечення використовують стандартизований інтерфейс для керування SED, включаючи віддалене керування, автентифікацію перед завантаженням і відновлення пароля
     • Вартість утилізації або перепрофілювання: За допомогою SED зітріть вбудований ключ шифрування
     • Повторне шифрування: Завдяки SED немає необхідності повторно шифрувати дані
     • Продуктивність: Відсутність погіршення продуктивності SED; на апаратній основі
     • Стандартизація: Уся індустрія приводів будує специфікації TCG/SED
     • Спрощено: Відсутність втручання в процеси, що передують
  2. SSD SED забезпечують можливість криптографічного видалення даних з диска. Це означає, що на диск можна надіслати просту автентифіковану команду для зміни 256-бітного ключа шифрування, який зберігається на диску. Це гарантує, що диск буде очищено, і дані не залишаться. Навіть вихідна хост-система не може прочитати дані, тому їх абсолютно не зможе прочитати жодна інша система. Операція займає лише пару секунд, на відміну від багатьох хвилин або навіть годин, необхідних для виконання аналогічної операції на незашифрованому жорсткому диску, і дозволяє уникнути витрат на дороге обладнання або послуги дегаусування жорсткого диска.
  3. FIPS (Федеральний стандарт обробки інформації) 140-2 — це урядовий стандарт США, який описує шифрування та відповідні вимоги безпеки, яким мають відповідати ІТ-продукти для конфіденційного, але незасекреченого використання. Це також часто є вимогою для державних установ і компаній у сфері фінансових послуг і охорони здоров’я. SSD, перевірений FIPS-140-2, використовує надійні методи безпеки, включаючи затверджені алгоритми шифрування. Він також визначає, як особи або інші процеси повинні бути авторизовані для використання продукту, і як модулі або компоненти повинні бути розроблені для безпечної взаємодії з іншими системами. Фактично, одна з вимог до підтвердженого FIPS-140-2 твердотільного накопичувача полягає в тому, щоб він був SED. Майте на увазі, що хоча TCG — не єдиний спосіб отримати сертифікований зашифрований диск, специфікації TCG Opal і Enterprise SSC забезпечують нам сходинку до перевірки FIPS. 4. Ще однією важливою функцією є безпечні завантаження та діагностика. Ця функція мікропрограми захищає накопичувач від програмних атак за допомогою цифрового підпису, вбудованого в мікропрограму. Коли потрібні завантаження, цифровий підпис запобігає несанкціонованому доступу до диска, запобігаючи завантаженню на диск підробленого мікропрограмного забезпечення.

Встановлення Hyperflex за допомогою SED

• Питання 4.1: Як інсталятор обробляє розгортання SED? Чи є якісь спеціальні перевірки?
  A 4.1: Програма встановлення зв’язується з UCSM і гарантує, що мікропрограма системи правильна та підтримується для виявленого обладнання. Сумісність шифрування перевіряється та забезпечується (наприклад, заборонено змішувати SED і не-SED).
• Питання 4.2: Чи відрізняється розгортання?
  A 4.2: Встановлення схоже на звичайне встановлення HX, однак спеціальний робочий процес не підтримується для SED. Для цієї операції також потрібні облікові дані UCSM для SED.
• З. 4.3. Як працює ліцензування з шифруванням? Чи є щось додаткове, що має бути на місці?
  A 4.3: Апаратне забезпечення SED (замовлене на заводі, а не модернізація) + HXDP 2.5 + UCSM (3.1(3x)) – єдине, що потрібно для ввімкнення шифрування з керуванням ключами. У випуску 2.5 немає додаткового ліцензування, окрім базової підписки HXDP.
• Q 4.4: Що станеться, якщо у мене є система SED, яка містить диски, які більше не доступні? Як я можу розширити цей кластер?
  A 4.4: Щоразу, коли ми маємо будь-який PID, термін служби якого закінчився від наших постачальників, у нас є PID на заміну, який сумісний зі старим PID. Цей замінний PID можна використовувати для RMA, розширення в межах вузла та розширення кластера (за допомогою нових вузлів). Усі методи підтримуються, однак для них може знадобитися оновлення до певного випуску, який також зазначено в примітках до випуску переходу.

Керування ключами

• Q 5.1: Що таке керування ключами?
  A 5.1: Керування ключами — це завдання, пов’язані із захистом, зберіганням, резервним копіюванням і впорядкуванням ключів шифрування. HX реалізує це в політиці, орієнтованій на UCSM.
• Q 5.2: Який механізм забезпечує підтримку конфігурації ключів?
  A 5.2: UCSM надає підтримку для налаштування ключів безпеки.
• Q 5.3: Який тип керування ключами доступний?
  A 5.3: Підтримується локальне керування ключами, а також віддалене керування ключами корпоративного класу за допомогою сторонніх серверів керування ключами.
• Q 5.4: Хто такі партнери з дистанційного керування ключами?
  A 5.4: Зараз ми підтримуємо Vormetric і Gemalto (Safenet) і включає високу доступність (HA). HyTrust знаходиться на стадії тестування.
• Q 5.5: Як реалізовано дистанційне керування ключами?
  A 5.5: Віддалене керування ключами здійснюється через KMIP 1.1.
• Q 5.6: Як налаштовано локальне керування?
  A 5.6: Ключ безпеки (KEK) налаштовується в HX Connect безпосередньо користувачем.
• Q 5.7: Як налаштовано віддалене керування?
  A 5.7: Інформація про адресу сервера віддаленого керування ключами (KMIP) разом із обліковими даними для входу налаштовується користувачем у HX Connect.
• Q 5.8: Яка частина HX спілкується з сервером KMIP для налаштування?
  A 5.8: CIMC на кожному вузлі використовує цю інформацію для підключення до сервера KMIP і отримання з нього ключа безпеки (KEK).
  
• Запитання 5.9. Які типи сертифікатів підтримуються в процесі створення/відтворення/оновлення ключів?
  A 5.9: Підтримуються сертифікати з підписом ЦС і самопідписані.
  
• Q 5.10: Які робочі процеси підтримуються процесом шифрування?
  A 5.10: Захист/зняття захисту за допомогою спеціального пароля підтримується разом із перетворенням керування ключами з локального на віддалене. Підтримуються операції повторного введення ключів. Також підтримується операція безпечного стирання диска.
  

Робочий процес користувача: локальний

• Q 6.1: Де в HX Connect налаштувати локальне керування ключами?
  A 6.1: На інформаційній панелі шифрування виберіть кнопку налаштувати та дотримуйтеся вказівок майстра.
• Q 6.2: Що мені потрібно підготувати, щоб розпочати це?
  A 6.2: Вам потрібно буде ввести 32-значну парольну фразу безпеки.
• Q 6.3: Що станеться, якщо мені потрібно буде вставити новий SED?
  A 6.3: У UCSM вам потрібно буде відредагувати локальну політику безпеки та встановити розгорнутий ключ на існуючий ключ вузла.
• Q 6.4: Що станеться, коли я вставлю новий диск?
  A 6.4: Якщо ключ безпеки на диску збігається з ключем безпеки сервера (вузла), він автоматично розблоковується. Якщо ключі безпеки відрізняються, диск відображатиметься як «Заблоковано». Ви можете очистити диск, щоб видалити всі дані, або розблокувати його, надавши правильний ключ. Це гарний час для залучення TAC.

Робочий процес користувача: віддалений

• Питання 7.1. На які речі мені потрібно звернути увагу під час налаштування віддаленого керування ключами?
  A 7.1: Зв’язок між кластером і сервером(ами) KMIP відбувається через CIMC на кожному вузлі. Це означає, що ім’я хоста можна використовувати для сервера KMIP, лише якщо внутрішню IP-адресу та DNS налаштовано в управлінні CIMC
• Q 7.2: Що станеться, якщо мені потрібно замінити або вставити новий SED?
  A 7.2: Кластер зчитує ідентифікатор з диска і спробує автоматично розблокувати його. Якщо автоматичне розблокування не вдається, диск відображається як «заблокований», і користувач повинен розблокувати диск вручну. Вам потрібно буде скопіювати сертифікати на сервер(и) KMIP для обміну обліковими даними.
• Q 7.3: Як скопіювати сертифікати з кластера на сервер(и) KMIP?
  A 7.3: Це можна зробити двома способами. Ви можете скопіювати сертифікат із BMC безпосередньо на сервер KMIP або скористатися CSR, щоб отримати сертифікат із підписом ЦС, і скопіювати сертифікат із підписом ЦС на BMC за допомогою команд UCSM.
• Q 7.4: Які міркування існують для додавання зашифрованих вузлів до кластера, який використовує віддалене керування ключами?
  A 7.4: Під час додавання нових хостів до серверів KMIP використовуване ім’я хоста має бути серійним номером сервера. Щоб отримати сертифікат сервера KMIP, ви можете скористатися браузером, щоб отримати кореневий сертифікат сервера(ів) KMIP.

Робочий процес користувача: загальні

• Q 8.1: Як стерти диск?
  A 8.1: На інформаційній панелі HX Connect виберіть інформацію про систему view. Звідти ви можете вибрати окремі диски для безпечного стирання.
• Q 8.2: Що робити, якщо я випадково стер диск?
  A 8.2: У разі використання безпечного стирання дані знищуються назавжди
• Запитання 8.3: Що станеться, коли я хочу вивести вузол з експлуатації або від’єднати професіонала службиfile?
  A 8.3: Жодна з цих дій не видалить шифрування на диску/контролері.
• Питання 8.4: Як вимкнути шифрування?
  A 8.4: Користувач повинен явно вимкнути шифрування в HX Connect. Якщо користувач намагається видалити політику безпеки в UCSM, коли пов’язаний сервер захищено, UCSM відобразить повідомлення про помилку конфігурації та заборонить дію. Спочатку потрібно вимкнути політику безпеки.

Робочий процес користувача: керування сертифікатами

• Q 9.1: Як обробляються сертифікати під час налаштування віддаленого керування?
  A 9.1: Сертифікати створюються за допомогою HX Connect і віддаленого(их) сервера(ів) KMIP. Створені сертифікати майже ніколи не будуть видалені.
• Q 9.2: Які типи сертифікатів я можу використовувати?
  A 9.2: Ви можете використовувати або самопідписані сертифікати, або сертифікати ЦС. Ви повинні вибрати під час налаштування. Для сертифікатів, підписаних ЦС, ви створите набір запитів на підписання сертифікатів (CSR). Підписані сертифікати завантажуються на сервер(и) KMIP.
• Q 9.3: Яке ім’я хоста слід використовувати під час створення сертифікатів?
  A 9.3: Ім’я хоста, яке використовується для створення сертифіката, має бути серійним номером сервера.

Оновлення мікропрограми

• Питання 10.1: Чи існують якісь обмеження щодо оновлення прошивки диска?
  A 10.1: Якщо буде виявлено диск з можливістю шифрування, будь-які зміни мікропрограми для цього диска будуть заборонені.
• Q 10.2: Чи існують якісь обмеження щодо оновлення мікропрограми UCSM?
  A 10.2: Пониження версії UCSM/CIMC до попередньої версії UCSM 3.1(3x) обмежено, якщо є контролер у захищеному стані.

Деталі безпечного видалення

• Q 11.1: Що таке Secure Erase?
  A 11.1: Безпечне стирання — це миттєве стирання даних на диску (видалення ключа шифрування диска). Це означає, що на диск можна надіслати просту автентифіковану команду для зміни 256-бітного ключа шифрування, який зберігається на диску. Це гарантує, що диск буде очищено, і дані не залишаться. Навіть оригінальна хост-система не може прочитати дані, тому їх не зможе прочитати жодна інша система. Операція займає лише пару секунд, на відміну від багатьох хвилин або навіть годин, необхідних для виконання аналогічної операції на незашифрованому диску, і дозволяє уникнути витрат на дороге обладнання або послуги розмагнічування.
• Q 11.2: Як виконується безпечне видалення?
  A 11.2: Це операція GUI, яка виконується по одному диску за раз.
• Q 11.3: Коли зазвичай виконується безпечне видалення?
  A 11.3: Безпечне стирання окремого диска, ініційоване користувачем, є рідкісною операцією. Здебільшого це робиться, коли ви хочете фізично видалити диск для заміни, перенести його на інший вузол або уникнути збою в найближчому майбутньому.
• Q 11.4: Які існують обмеження щодо безпечного видалення?
  A 11.4: Операції безпечного стирання можна виконувати, лише якщо кластер справний, щоб гарантувати, що стійкість кластера до відмов не вплине.
• Q 11.5: Що станеться, якщо мені потрібно буде видалити весь вузол?
  A 11.5: Існують робочі цикли видалення та заміни вузла для підтримки безпечного видалення всіх дисків. Перегляньте посібник адміністратора, щоб дізнатися більше, або зверніться до Cisco TAC.
• Q 11.6: Чи можна повторно використати надійно стертий диск?
  A 11.6: Диск, який було надійно стерто, можна повторно використовувати лише в іншому кластері. Безпечне видалення SED виконується видаленням ключа шифрування диска (DEK). Дані на диску неможливо розшифрувати без DEK. Це дозволяє повторно використовувати або виводити з експлуатації диск без будь-якої шкоди для даних.
• Q 11.7: Що станеться, якщо диск, який я хочу стерти, містить останню первинну копію даних кластера?
  A 11.7: Дані на диску повинні мати інші копії в кластері, щоб уникнути втрати даних. Однак, якщо безпечне стирання запитується на диску, який є останньою основною копією, ця операція буде відхилена, доки не буде доступна принаймні одна копія. Rebalance має робити цю копію у фоновому режимі.
• Q 11.8: Мені дійсно потрібно безпечно стерти диск, але кластер несправний. Як я можу це зробити?
  A 11.8: Командний рядок (STCLI/HXCLI) дозволить безпечне видалення, якщо кластер несправний і диск не містить останньої первинної копії, інакше це заборонено.
• Q 11.9: Як безпечно стерти весь вузол?
  A 11.9: Це рідкісний сценарій. Безпечне стирання всіх дисків у вузлі виконується, коли потрібно вивести вузол із кластера. Намір полягає в тому, щоб розгорнути вузол в іншому кластері або вивести вузол з експлуатації. Ми можемо класифікувати видалення вузла в цьому сценарії двома різними способами:
  1. Безпечне стирання всіх дисків без вимкнення шифрування
  2. Безпечне видалення всіх дисків із подальшим вимкненням шифрування для цього вузла (і дисків). Будь ласка, зверніться до Cisco TAC для отримання допомоги.

Безпечне розширення кластера

• Q 12.1: За допомогою якого типу вузла я можу розширити зашифрований кластер?
  A 12.1: Лише вузли, сумісні з SED, можна додати до кластера HX із SED.
• Q 12.2: Як обробляється розширення за допомогою локального керування ключами?
  A 12.2: Розширення локального ключа — це безпроблемна операція, яка не вимагає зовнішнього налаштування.
• Q 12.3: Як відбувається розширення за допомогою віддаленого керування ключами?
  A 12.3: Для віддаленого розширення ключів потрібен lockstep із сертифікатами/інфраструктурою керування ключами:
  • Щоб безпечно додати новий вузол, потрібні сертифікати
  • Розгортання відобразить попередження з кроками для продовження, включаючи посилання для завантаження сертифіката
  • Користувач виконує дії, щоб завантажити сертифікат(и), а потім повторює спробу розгортання

Супровідні документи

мікрон:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Список криптоалгоритмів, затверджених для FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Демонструвати: CSC.nuova Продукт: ucs-blade-server Компонент: ucsm

Функціональна специфікація SED:

• EDCS: 1574090

Специфікація SED CIMC:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Списки розсилки:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Документи / Ресурси

Платформа даних CISCO HyperFlex HX [pdfІнструкції Платформа даних HyperFlex HX, HyperFlex, платформа даних HX, платформа даних, платформа

Список літератури

• Посібник користувача