CISCO HyperFlex HX Data Platform

פּראָדוקט אינפֿאָרמאַציע

• פּראָדוקט נאָמען: הקס זיכערהייַט ענקריפּשאַן
• ווערסיע: הקסדפּ 5.01ב
• ענקריפּשאַן לייזונג: ווייכווארג-באזירט לייזונג ניצן ינטערסיגהט קיי מאַנאַגער
• ענקריפּשאַן טיפּ: זיך-ענקריפּטינג דרייווז (SEDs)
• שטיצט דרייוו טייפּס: HDD און SSD SEDs פֿון מיקראָן
• סטאַנדאַרדס: FIPS 140-2 מדרגה 2 (פאָר מאַניאַפאַקטשערערז) און FIPS 140-2 מדרגה 1 (פּלאַטפאָרמע)
• קלאַסטער-ברייט ענקריפּשאַן: ענקריפּשאַן אויף הקס איז ימפּלאַמענאַד אין ייַזנוואַרג פֿאַר דאַטן אין מנוחה בלויז ניצן SEDs
• יחיד VM ענקריפּשאַן: כאַנדאַלד דורך 3rd פּאַרטיי ווייכווארג אַזאַ ווי Hytrust אָדער Vormetric ס טראַנספּעראַנט קליענט
• VMware Native VM Encryption: געשטיצט דורך הקס פֿאַר נוצן מיט SED ענקריפּשאַן
• שליסל מאַנאַגעמענט: מעדיע ענקריפּשאַן קיי (מעק) און שליסל ענקריפּטיאָן קיי (קעק) זענען געניצט פֿאַר יעדער סעד
• זכּרון באַניץ: ענקריפּשאַן שליסלען זענען קיינמאָל פאָרשטעלן אין נאָדע זכּרון
• פאָרשטעלונג פּראַל: דיסק ענקריפּשאַן / דעקריפּטיאָן איז כאַנדאַלד אין די פאָר ייַזנוואַרג, די קוילעלדיק סיסטעם פאָרשטעלונג איז נישט אַפעקטאַד
• נאָך בענעפיץ פון SEDs:
  • ינסטאַנטאַניאַס קריפּטאָגראַפיק מעקן פֿאַר רידוסט פאָר ריטייערמאַנט און ריפּלוימאַנט קאָס
  • העסקעם מיט רעגירונג אָדער ינדאַסטרי רעגיאַליישאַנז פֿאַר דאַטן פּריוואַטקייט
  • רידוסט ריזיקירן פון דיסק גנייווע און נאָדע גנייווע ווי דאַטן ווערט אַנרידאַבאַל אַמאָל די ייַזנוואַרג איז אַוועקגענומען

פּראָדוקט באַניץ אינסטרוקציעס

צו נוצן HX Security Encryption, נאָכגיין די ינסטראַקשאַנז:

1. פאַרזיכערן אַז דיין סיסטעם שטיצט ייַזנוואַרג-באזירט ענקריפּשאַן אָדער אַז איר בעסער וועלן די ווייכווארג-באזירט לייזונג ניצן ינטערסיגהט קיי מאַנאַגער.
2. אָפּשיקן צו די אַדמיניסטראַציע דאָקומענטן אָדער ווייַס פּאַפּיר (s) פֿאַר אינפֿאָרמאַציע אויף ווייכווארג-באזירט ענקריפּשאַן.
3. אויב איר קלייַבן צו נוצן ייַזנוואַרג-באזירט ענקריפּשאַן מיט SEDs, מאַכן זיכער אַז דיין הקס קנויל באשטייט פון מונדיר נאָודז (SEDs אָדער ניט-SEDs).
4. פֿאַר SEDs, פֿאַרשטיין אַז עס זענען צוויי שליסלען אין נוצן: די מעדיע ענקריפּטיאָן קיי (מעק) און די שליסל ענקריפּטיאָן קיי (קעק).
5. די MEK קאָנטראָלס די ענקריפּשאַן און דעקריפּטיאָן פון די דאַטן צו די דיסק און איז סיקיורד און געראטן אין ייַזנוואַרג.
6. די KEK סיקיורז די MEK / DEK און איז מיינטיינד אין אַ היגע אָדער ווייַט קייסטאָרע.
7. דו זאלסט נישט זאָרג וועגן די שליסלען אין נאָדע זכּרון, ווייַל ענקריפּשאַן שליסלען זענען קיינמאָל סטאָרד דאָרט.
8. באַמערקונג אַז דיסק ענקריפּשאַן / דעקריפּטיאָן איז כאַנדאַלד אין די פאָר ייַזנוואַרג, ינשורינג אַז די קוילעלדיק סיסטעם פאָרשטעלונג איז נישט אַפעקטאַד.
9. אויב איר האָבן ספּעציפיש רעקווירעמענץ פֿאַר העסקעם סטאַנדאַרדס, זיין אַווער אַז HX SED ינקריפּטיד דרייווז טרעפן FIPS 140-2 מדרגה 2 סטאַנדאַרדס פון די פאָר מאַניאַפאַקטשערערז, בשעת הקס ענקריפּטיאָן אויף דער פּלאַטפאָרמע טרעפן FIPS 140-2 מדרגה 1 סטאַנדאַרדס.
10. אויב איר דאַרפֿן צו ינקריפּט יחיד VMS, באַטראַכטן ניצן 3rd פּאַרטיי ווייכווארג אַזאַ ווי Hytrust אָדער Vormetric ס טראַנספּעראַנט קליענט. אַלטערנאַטיוועלי, איר קענען נוצן VMware ס געבוירן VM ענקריפּשאַן באַקענענ אין vSphere 6.5.
11. האַלטן אין מיינונג אַז ניצן אַ VM ענקריפּשאַן קליענט אויף שפּיץ פון HX SED-באזירט ענקריפּשאַן וועט רעזולטאַט אין טאָפּל ענקריפּשאַן פון די דאַטן.
12. פאַרזיכערן אַז דיין הקס קנויל איז קאָננעקטעד דורך טראַסטיד נעטוואָרקס אָדער ינקריפּטיד טאַנאַלז פֿאַר זיכער רעפּלאַקיישאַן, ווייַל הקס רעפּלאַקיישאַן איז נישט ינקריפּטיד.

HX Security Encryption FAQ

זינט HXDP 5.01b, HyperFlex אָפפערס אַ ווייכווארג-באזירט לייזונג ניצן ינטערסיגהט קיי מאַנאַגער פֿאַר סיסטעמען וואָס טאָן ניט שטיצן ייַזנוואַרג-באזירט ענקריפּשאַן אָדער פֿאַר יוזערז וואָס ווילן דעם פאַנגקשאַנאַליטי איבער ייַזנוואַרג סאַלושאַנז. די FAQ פאָוקיסיז בלויז אויף SED-באזירט ייַזנוואַרג סאַלושאַנז פֿאַר הקס ענקריפּשאַן. זען די אַדמיניסטראַציע דאָקומענטן אָדער ווייַס פּאַפּיר (s) פֿאַר אינפֿאָרמאַציע אויף ווייכווארג-באזירט ענקריפּשאַן.

פאָרורטייל דערקלערונג
די דאַקיומענטיישאַן שטעלן פֿאַר דעם פּראָדוקט סטרייווז צו נוצן פאָרורטייל-פריי שפּראַך. פֿאַר צילן פון דעם דאַקיומענטיישאַן שטעלן, פאָרורטייל-פריי איז דיפיינד ווי שפּראַך וואָס טוט נישט מיינען דיסקרימינאַציע באזירט אויף עלטער, דיסאַביליטי, דזשענדער, ראַסיש אידענטיטעט, עטניק אידענטיטעט, געשלעכט אָריענטירונג, סאָסיאָעקאָנאָמיש סטאַטוס און ינטערסעקשאַנאַליטי. יקסעפּשאַנז קען זיין פאָרשטעלן אין די דאַקיומענטיישאַן רעכט צו שפּראַך וואָס איז שווער קאָדעד אין די באַניצער ינטערפייסיז פון די פּראָדוקט ווייכווארג, שפּראַך געניצט באזירט אויף סטאַנדאַרדס דאַקיומענטיישאַן אָדער שפּראַך וואָס איז געניצט דורך אַ רעפעראַנסט דריט-פּאַרטיי פּראָדוקט.

פארוואס Cisco for Security and HX Encryption 

• ק 1.1: וואָס פּראַסעסאַז זענען אין פּלאַץ פֿאַר זיכער אַנטוויקלונג?
  א 1.1: Cisco Servers אַדכיר צו Cisco Secure Development Lifecycle (CSDL):
  • סיסקאָ גיט פּראַסעסאַז, מעטאַדאַלאַדזשיז, פראַמעוואָרקס צו אַנטוויקלען עמבעדיד זיכערהייט אויף סיסקאָ סערווערס, ניט נאָר אַ אָוווערליי
  • דעדאַקייטאַד סיסקאָ מאַנשאַפֿט פֿאַר סאַקאָנע מאָדעלינג / סטאַטיק אַנאַליסיס אויף UCS פּראָדוקט פּאָרטפעל
  • Cisco Advanced Security Initiative Group (ASIG) פּערפאָרמז פּראָואַקטיוו דורכדרונג טעסטינג צו פֿאַרשטיין ווי טרעץ קומען אין און פאַרריכטן ישוז דורך ענכאַנסינג HW & SW דורך CDETS און ינזשעניעריע
  • דעדאַקייטאַד סיסקאָ מאַנשאַפֿט צו פּרובירן און שעפּן אַוטבאַונד וואַלנעראַביליטי און יבערגעבן ווי זיכערהייט אַדווייזערז צו קאַסטאַמערז
  • אַלע אַנדערלייינג פּראָדוקטן גיין דורך פּראָדוקט זיכערהייט באַסעלינע רעקווירעמענץ (PSB) וואָס רעגיאַלייץ זיכערהייט סטאַנדאַרדס פֿאַר סיסקאָ פּראָדוקטן
  • סיסקאָ פּערפאָרמז וואַלנעראַביליטי / פּראָטאָקאָל ראָובאַסטנאַס טעסטינג אויף אַלע UCS ריליסיז
• ק 1.2: פארוואס זענען SEDs וויכטיק?
  א 1.2: SEDs זענען געניצט פֿאַר דאַטן-אין-רו ענקריפּשאַן און זענען אַ פאָדערונג פֿאַר פילע, אויב ניט אַלע, פעדעראלע, מעדיציניש און פינאַנציעל אינסטיטוציעס.

אַלגעמיינע אינפֿאָרמאַציע איבערview

• ק 2.1: וואָס זענען SEDs?
  א 2.1: SED (Self-Encrypting Drives) האָבן ספּעציעל ייַזנוואַרג וואָס ענקריפּץ ינקאַמינג דאַטן און דעקריפּט אַוטגאָוינג דאַטן אין פאַקטיש צייט.
• ק 2.2: וואָס איז די פאַרנעם פון ענקריפּשאַן אויף הקס?
  א 2.2: ענקריפּשאַן אויף הקס איז דערווייַל ימפּלאַמענאַד אין ייַזנוואַרג פֿאַר דאַטן אין מנוחה בלויז ניצן ינקריפּטיד דרייווז (SEDs). הקס ענקריפּשאַן איז קנויל-ברייט. יחיד VM ענקריפּשאַן איז כאַנדאַלד דורך 3rd פּאַרטיי ווייכווארג אַזאַ ווי Hytrust אָדער Vormetric ס טראַנספּעראַנט קליענט און איז אַרויס די פאַרנעם פון הקס ריספּאַנסאַבילאַטיז. HX אויך שטיצט די נוצן פון VMware ס געבוירן VM ענקריפּשאַן באַקענענ אין vSphere 6.5. ניצן אַ VM ענקריפּשאַן קליענט אויף שפּיץ פון HX SED באזירט ענקריפּשאַן וועט רעזולטאַט אין טאָפּל ענקריפּשאַן פון די דאַטן. הקס רעפּלאַקיישאַן איז נישט ינקריפּטיד און רילייז אויף טראַסטיד נעטוואָרקס אָדער ינקריפּטיד טאַנאַלז דיפּלויד דורך די סוף באַניצער.
• ק 2.3: וואָס העסקעם סטאַנדאַרדס זענען באגעגנט מיט הקס ענקריפּשאַן?
  א 2.3: HX SED ינקריפּטיד דרייווז טרעפן FIPS 140-2 מדרגה 2 סטאַנדאַרדס פון די פאָר מאַניאַפאַקטשערערז. הקס ענקריפּשאַן אויף דער פּלאַטפאָרמע מיץ FIPS 140-2 מדרגה 1 סטאַנדאַרדס.
• ק 2.4: צי מיר שטיצן ביידע הדד און ססד פֿאַר ענקריפּשאַן?
  א 2.4: יאָ, מיר שטיצן ביידע HDD און SSD SEDs פֿון Micron.
• ק 2.5: קענען אַ הקס קנויל האָבן ינקריפּטיד און ניט-ינקריפּטיד דרייווז אין דער זעלביקער צייט?
  א 2.5: כל נאָודז אין קנויל מוזן זיין מונדיר (SEDs אָדער ניט-SEDs)
• ק 2.6: וואָס שליסלען זענען אין נוצן פֿאַר אַ SED און ווי זענען זיי געוויינט?
  א 2.6: עס זענען צוויי שליסלען אין נוצן פֿאַר יעדער SED. די מעדיע ענקריפּטיאָן שליסל (MEK) אויך גערופן די דיסק ענקריפּטיאָן קיי (DEK), קאָנטראָלס ענקריפּשאַן און דעקריפּטיאָן פון די דאַטן צו די דיסק און איז סיקיורד און געראטן אין ייַזנוואַרג. דער שליסל ענקריפּשאַן שליסל (KEK) סיקיורז די DEK / MEK און איז מיינטיינד אין אַ היגע אָדער ווייַט קייסטאָרע.
• ק 2.7: זענען די שליסלען אלץ פאָרשטעלן אין זכּרון?
  א 2.7: ענקריפּשאַן שליסלען זענען קיינמאָל פאָרשטעלן אין נאָדע זכּרון
• ק 2.8: ווי איז די פאָרשטעלונג ימפּאַקטיד דורך די ענקריפּשאַן / דעקריפּטיאָן פּראָצעס?
  א 2.8: דיסק ענקריפּשאַן / דעקריפּטיאָן איז כאַנדאַלד אין די פאָר ייַזנוואַרג. קוילעלדיק סיסטעם פאָרשטעלונג איז נישט אַפעקטאַד און איז נישט אונטערטעניק צו אנפאלן טאַרגאַטינג אנדערע קאַמפּאָונאַנץ פון די סיסטעם
• ק 2.9: אנדערע ווי ענקריפּשאַן אין מנוחה, וואָס זענען אנדערע סיבות צו נוצן SEDs?
  א 2.9: SEDs קענען רעדוצירן פאָר ריטייערמאַנט און ריפּלוימאַנט קאָס דורך ינסטאַנטאַניאַס קריפּטאָגראַפיק מעקן. זיי אויך דינען צו נאָכקומען מיט רעגירונג אָדער ינדאַסטרי רעגיאַליישאַנז פֿאַר דאַטן פּריוואַטקייט. אן אנדער אַדוואַנטtage איז די רידוסט ריזיקירן פון דיסק גנייווע און נאָדע גנייווע זינט די דאַטן, אַמאָל די ייַזנוואַרג איז אַוועקגענומען פון די יקאָוסיסטאַם, איז אַנרידאַבאַל.
• ק 2.10: וואָס כאַפּאַנז מיט דעדופּליקאַטיאָן און קאַמפּרעשאַן מיט SEDs? וואָס כאַפּאַנז מיט 3rd פּאַרטיי ווייכווארג-באזירט ענקריפּשאַן?
  A2.10: דעדופּליקאַטיאָן און קאַמפּרעשאַן מיט SEDs אויף הקס איז מיינטיינד זינט די ענקריפּשאַן פון דאַטן אין רו איז אַ לעצטע שריט אין די שרייַבן פּראָצעס. דעדופּליקאַטיאָן און קאַמפּרעשאַן האָבן שוין פארגעקומען. מיט 3rd פּאַרטיי ווייכווארג-באזירט ענקריפּשאַן פּראָדוקטן, די VMS פירן זייער ענקריפּשאַן און פאָרן ינקריפּטיד שרייבט צו די כייפּערווייזער און דערנאָך הקס. זינט די שרייבט זענען שוין ינקריפּטיד, זיי טאָן ניט באַקומען דעדופּליקייטיד אָדער קאַמפּרעסט. הקס ווייכווארג באַזירט ענקריפּשאַן (אין די 5.x קאָדעלינע) וועט זיין אַ ווייכווארג ענקריפּשאַן לייזונג וואָס איז ימפּלאַמענאַד אין די אָנלייגן נאָך שרייַבן אָפּטימיזאַטיאָנס (דעדופּליקאַטיאָן און קאַמפּרעשאַן) אַזוי די נוץ וועט זיין ריטיינד אין דעם פאַל.

די פיגור אונטן איז אַן איבערview פון די ימפּלאַמענטיישאַן פון SED מיט הקס.

פאָר דעטאַילס 

• ק 3.1: ווער מאַניאַפאַקטשערז די ינקריפּטיד דרייווז וואָס זענען געניצט אין הקס?
  א 3.1: הקס ניצט דרייווז מאַניאַפאַקטשערד דורך מיקראָן: מיקראָן-ספּעציפיש דאָקומענטן זענען לינגקט אין די שטיצן דאָקומענטן אָפּטיילונג פון דעם FAQ.
• ק 3.2: צי מיר שטיצן קיין SEDs וואָס זענען נישט FIPS-געהאָרכיק?
  א 3.2: מיר אויך שטיצן עטלעכע דרייווז וואָס זענען ניט-FIPS, אָבער שטיצן SED (TCGE).
• ק 3.3: וואָס איז די TCG?
  א 3.3: TCG איז די טראַסטיד קאַמפּיוטינג גרופע, וואָס קריייץ און מאַנידזשיז די ספּעסאַפאַקיישאַנז נאָרמאַל פֿאַר ינקריפּטיד דאַטן סטאָרידזש
• ק 3.4: וואָס איז געהאלטן פאַרנעמונג קלאַס זיכערהייט ווען עס קומט צו SAS SSDs פֿאַר די דאַטן צענטער? וואָס ספּעציפיש פֿעיִקייטן האָבן די דרייווז וואָס ענשור זיכערהייט און באַשיצן קעגן באַפאַלן?
  א 3.4: די רשימה סאַמערייזיז די ענטערפּרייז-קלאַס פֿעיִקייטן פון די SEDs געניצט אין HX און ווי זיי פאַרבינדן צו די TCG נאָרמאַל.
  1. זיך-ענקריפּטינג דרייווז (SEDs) צושטעלן שטאַרק זיכערהייט פֿאַר דאַטן אין מנוחה אויף דיין SED, פּרעווענטינג אַנאָטערייזד דאַטן אַקסעס. די Trusted Computing Group (TCG) האט דעוועלאָפּעד אַ רשימה פון די פֿעיִקייטן און בענעפיץ פון זיך-ענקריפּטינג דרייווז פֿאַר ביידע הדד און ססדס. די TCG גיט אַ סטאַנדאַרט וואָס איז גערופן די TCG Enterprise SSC (Security Subsystem Class) און איז פאָוקיסט אויף דאַטן אין מנוחה. דאָס איז אַ פאָדערונג פֿאַר אַלע SEDs. דער ספּעק אַפּלייז צו דאַטן סטאָרידזש דעוויסעס און קאַנטראָולערז וואָס אַרבעטן אין פאַרנעמונג סטאָרידזש. די רשימה כולל:
     • דורכזעיקייַט: קיין סיסטעם אָדער אַפּלאַקיישאַן מאָדיפיקאַטיאָנס פארלאנגט; ענקריפּשאַן שליסל דזשענערייטאַד דורך די פאָר זיך, ניצן אַן אמת טראַפ - נומער גענעראַטאָר אויף ברעט; פאָר איז שטענדיק ענקריפּטינג.
     • יז פון פאַרוואַלטונג: קיין ענקריפּשאַן שליסל צו פירן; ווייכווארג ווענדאָרס נוצן סטאַנדערדייזד צובינד צו פירן SEDs, אַרייַנגערעכנט ווייַט פאַרוואַלטונג, פאַר-שטיוול אָטענטאַקיישאַן און שפּריכוואָרט אָפּזוך
     • באַזייַטיקונג אָדער ריפּיוסינג קאָס: מיט אַ SED, מעקן די ענקריפּשאַן שליסל אויף ברעט
     • שייַעך ענקריפּשאַן: מיט SED, עס איז ניט דאַרפֿן צו שייַעך ינקריפּט די דאַטן
     • פאָרשטעלונג: קיין דערנידעריקונג אין SED פאָרשטעלונג; ייַזנוואַרג-באזירט
     • סטאַנדאַרדיזאַטיאָן: די גאנצע פאָר אינדוסטריע איז געבויט צו די TCG / SED ספּעסאַפאַקיישאַנז
     • סימפּליפיעד: קיין ינטערפיראַנס מיט אַפּסטרים פּראַסעסאַז
  2. SSD SEDs צושטעלן איז די פיייקייט צו קריפּטאָגראַפיקלי מעקן די פאָר. דעם מיטל אַז אַ פּשוט אָטענטאַקייטאַד באַפֿעל קענען זיין געשיקט צו די פאָר צו טוישן די 256-ביסל ענקריפּשאַן שליסל סטאָרד אויף די פאָר. דעם ינשורז אַז די פאָר איז אפגעווישט ריין און עס איז קיין דאַטן רוען. אפילו דער אָריגינעל באַלעבאָס סיסטעם קען נישט לייענען די דאַטן, אַזוי עס וועט זיין אַנרידאַבאַל דורך קיין אנדערע סיסטעם. די אָפּעראַציע נעמט בלויז אַ פּאָר סעקונדעס, קעגן די פילע מינוט אָדער אפילו שעה וואָס עס נעמט צו דורכפירן אַן אַנענקריפּטיד הדד און ויסמיידן די קאָס פון טייַער הדד די-גאַססינג ויסריכט אָדער באַדינונגס.
  3. FIPS (פעדעראַל אינפארמאציע פּראַסעסינג סטאַנדאַרד) 140-2 איז אַן יו. דאָס איז אָפט אַ פאָדערונג פֿאַר רעגירונג יידזשאַנסיז און קאָמפּאַניעס אין די פינאַנציעל באַדינונגס און כעלטקער ינדאַסטריז. אַ SSD וואָס איז FIPS-140-2 וואַלאַדייטאַד ניצט שטאַרק זיכערהייט פּראַקטיסיז אַרייַנגערעכנט באוויליקט ענקריפּשאַן אַלגערידאַמז. עס אויך ספּעציפיצירט ווי מענטשן אָדער אנדערע פּראַסעסאַז מוזן זיין אָטערייזד צו נוצן די פּראָדוקט, און ווי מאַדזשולז אָדער קאַמפּאָונאַנץ מוזן זיין דיזיינד צו סיקיורלי ינטעראַקט מיט אנדערע סיסטעמען. אין פאַקט, איינער פון די באדערפענישן פון אַ FIPS-140-2 וואַלאַדייטאַד ססד פאָר איז אַז עס איז אַ SED. האַלטן אין מיינונג אַז כאָטש TCG איז נישט דער בלויז וועג צו באַקומען אַ סערטאַפייד ענקריפּטיד פאָר, די TCG Opal און Enterprise SSC ספּעסאַפאַקיישאַנז צושטעלן אונדז אַ סטעפּינג שטיין צו FIPS וואַלאַדיישאַן. 4. אן אנדער יקערדיק שטריך איז זיכער דאַונלאָודז און דיאַגנאָסטיקס. די פירמוואַרע שטריך פּראַטעקץ די פאָר פון ווייכווארג אנפאלן דורך אַ דיגיטאַל כסימע וואָס איז געבויט אין די פירמוואַרע. ווען דאַונלאָודז זענען דארף, די דיגיטאַל כסימע פּריווענץ אַנאָטערייזד אַקסעס צו די פאָר, פּרעווענטינג פאַלש פירמוואַרע צו זיין לאָודיד צו די פאָר.

היפּערפלעקס ינסטאַלירן מיט SEDs

• ק 4.1: ווי טוט די ינסטאַללער שעפּן אַ SED דיפּלוימאַנט? זענען עס קיין ספּעציעל טשעקס?
  א 4.1: די ינסטאַללער קאַמיונאַקייץ מיט UCSM און ינשורז אַז סיסטעם פירמוואַרע איז ריכטיק און געשטיצט פֿאַר די דיטעקטאַד ייַזנוואַרג. ענקריפּשאַן קאַמפּאַטאַבילאַטי איז אָפּגעשטעלט און ענפאָרסט (למשל, קיין מיקסינג פון סעד און ניט-סעד).
• ק 4.2: איז די דיפּלוימאַנט אַנדערש אַנדערש?
  א 4.2: די ינסטאַלירונג איז ענלעך צו אַ רעגולער הקס ינסטאַלירונג, אָבער, מנהג וואָרקפלאָוו איז נישט געשטיצט פֿאַר SEDs. די אָפּעראַציע ריקווייערז UCSM קראַדענטשאַלז אויך פֿאַר די SEDs.
• ק 4.3: ווי אַזוי אַרבעט לייסאַנסינג מיט ענקריפּשאַן? איז עס עפּעס עקסטרע וואָס דאַרף זיין אין פּלאַץ?
  א 4.3: SED ייַזנוואַרג (אָרדערד פֿון פאַבריק, ניט רעטראָפיט) + HXDP 2.5 + UCSM (3.1 (3x)) זענען די בלויז טינגז וואָס זענען דארף צו געבן ענקריפּשאַן מיט שליסל פאַרוואַלטונג. עס איז קיין נאָך לייסאַנסינג אַרויס פון די באַזע HXDP אַבאָנעמענט פארלאנגט אין די 2.5 מעלדונג.
• ק 4.4: וואָס כאַפּאַנז ווען איך האָבן אַ SED סיסטעם וואָס האט דרייווז וואָס זענען ניט מער בנימצא? ווי קענען איך יקספּאַנד דעם קנויל?
  א 4.4: ווען מיר האָבן קיין PID וואָס איז סוף-פון-לעבן פֿון אונדזער סאַפּלייערז, מיר האָבן אַ פאַרבייַט PID וואָס איז קאַמפּאַטאַבאַל מיט די אַלט PID. דער פאַרבייַט PID קענען זיין געוויינט פֿאַר רמאַ, יקספּאַנשאַן אין אַ נאָדע און יקספּאַנשאַן פון קנויל (מיט נייַע נאָודז). אַלע מעטהאָדס זענען אַלע געשטיצט, אָבער, זיי קען דאַרפן אַפּגריידינג צו אַ ספּעציפיש מעלדונג וואָס איז אויך יידענאַפייד אין די יבערגאַנג מעלדונג הערות.

שליסל מאַנאַגעמענט

• ק 5.1: וואָס איז שליסל מאַנאַגעמענט?
  א 5.1: שליסל פאַרוואַלטונג איז די טאַסקס ינוואַלווד מיט פּראַטעקטינג, סטאָרינג, באַקינג אַרויף און אָרגאַנייזינג ענקריפּשאַן שליסלען. הקס ימפּלאַמאַנץ דעם אין אַ UCSM-סענטריק פּאָליטיק.
• ק 5.2: וואָס מעקאַניזאַם גיט שטיצן פֿאַר שליסל קאַנפיגיעריישאַן?
  א 5.2: UCSM גיט שטיצן צו קאַנפיגיער זיכערהייט שליסלען.
• ק 5.3: וואָס טיפּ פון שליסל פאַרוואַלטונג איז בנימצא?
  א 5.3: לאקאלע פאַרוואַלטונג פון שליסלען איז געשטיצט, צוזאמען מיט פאַרנעמונג-קלאַס ווייַט שליסל פאַרוואַלטונג מיט 3rd פּאַרטיי שליסל פאַרוואַלטונג סערווערס.
• ק 5.4: ווער זענען די ווייַט שליסל פאַרוואַלטונג פּאַרטנערס?
  א 5.4: מיר דערווייַל שטיצן וואָרמעטריק און געמאַלטאָ (סאַפענעט) און כולל הויך אַוויילאַבילאַטי (האַ). HyTrust איז אין טעסטינג.
• ק 5.5: ווי איז ימפּלאַמענאַד ווייַט שליסל פאַרוואַלטונג?
  א 5.5: רימאָוט שליסל פאַרוואַלטונג איז כאַנדאַלד דורך KMIP 1.1.
• ק 5.6: ווי איז היגע פאַרוואַלטונג קאַנפיגיערד?
  א 5.6: די זיכערהייט שליסל (KEK) איז קאַנפיגיערד אין HX Connect, גלייַך דורך דער באַניצער.
• ק 5.7: ווי איז ווייַט פאַרוואַלטונג קאַנפיגיערד?
  א 5.7: די רימאָוט שליסל פאַרוואַלטונג (KMIP) סערווער אַדרעס אינפֿאָרמאַציע צוזאמען מיט לאָגין קראַדענטשאַלז איז קאַנפיגיערד אין HX Connect דורך דער באַניצער.
• ק 5.8: וואָס טייל פון הקס קאַמיונאַקייץ מיט די KMIP סערווער פֿאַר קאַנפיגיעריישאַן?
  א 5.8: די CIMC אויף יעדער נאָדע ניצט די אינפֿאָרמאַציע צו פאַרבינדן צו די KMIP סערווער און צוריקקריגן די זיכערהייט שליסל (KEK) פֿון אים.
  
• ק 5.9: וואָס טייפּס פון סערטיפיקאַץ זענען געשטיצט אין די שליסל דורינג / ריטריוואַל / דערהייַנטיקן פּראָצעס?
  א 5.9: CA-געחתמעט און זיך-געחתמעט סערטיפיקאַץ זענען ביידע געשטיצט.
  
• ק 5.10: וואָס וואָרקפלאָווס זענען געשטיצט מיט די ענקריפּשאַן פּראָצעס?
  א 5.10: באַשיצן / ונפּראָטעקט ניצן אַ מנהג פּאַראָל איז געשטיצט צוזאמען מיט היגע צו ווייַט שליסל פאַרוואַלטונג קאַנווערזשאַן. שייַעך-שליסל אַפּעריישאַנז זענען געשטיצט. זיכער דיסק מעקן אָפּעראַציע זענען אויך געשטיצט.
  

באַניצער וואָרקפלאָוו: לאקאלע

• ק 6.1: אין HX Connect, ווו אַזוי איך שטעלן אַרויף היגע שליסל פאַרוואַלטונג?
  א 6.1: אין די ענקריפּשאַן דאַשבאָרד סעלעקטירן דעם קאַנפיגיער קנעפּל און נאָכגיין די מאַזעק.
• ק 6.2: וואָס זאָל איך האָבן גרייט צו גיין צו אָנהייבן דעם?
  א 6.2: איר וועט דאַרפֿן צו צושטעלן אַ 32-כאַראַקטער זיכערהייט פּאַספראַסע.
• ק 6.3: וואָס כאַפּאַנז אויב איך דאַרפֿן צו אַרייַנלייגן אַ נייַע SED?
  א 6.3: אין UCSM איר וועט דאַרפֿן צו רעדאַגירן די היגע זיכערהייט פּאָליטיק און שטעלן די דיפּלויד שליסל צו די יגזיסטינג נאָדע שליסל.
• ק 6.4: וואָס כאַפּאַנז ווען איך אַרייַנלייגן די נייַ דיסק?
  א 6.4: אויב די זיכערהייט שליסל אויף דעם דיסק איז גלייך צו די סערווער (נאָדע), עס איז אויטאָמאַטיש אַנלאַקט. אויב די זיכערהייט שליסלען זענען אַנדערש, דער דיסק וועט זיין געוויזן ווי אַ "לאַקט". איר קענען אָדער ויסמעקן די דיסק צו ויסמעקן אַלע דאַטן אָדער ופשליסן עס דורך פּראַוויידינג די ריכטיק שליסל. דאָס איז אַ גוט צייַט צו דינגען TAC.

באַניצער וואָרקפלאָוו: רימאָוט

• ק 7.1: וואָס זענען עטלעכע טינגז וואָס איך דאַרפֿן צו היטן מיט קאַנפיגיעריישאַן פון ווייַט שליסל פאַרוואַלטונג?
  א 7.1: קאָמוניקאַציע צווישן די קנויל און די KMIP סערווער (s) כאַפּאַנז איבער די CIMC אויף יעדער נאָדע. דעם מיטל אַז די האָסטנאַמע קענען זיין געוויינט פֿאַר KMIP סערווער בלויז אויב די ינבאַנד IP אַדרעס און דנס איז קאַנפיגיערד אויף די CIMC פאַרוואַלטונג
• ק 7.2: וואָס כאַפּאַנז אויב איך דאַרפֿן צו פאַרבייַטן אָדער אַרייַנלייגן אַ נייַע SED?
  א 7.2: דער קנויל וועט לייענען די אידענטיפיצירן פון די דיסק און פּרובירן צו ופשליסן עס אויטאָמאַטיש. אויב אָטאַמאַטיק ופשליסן פיילז, דער דיסק קומט ווי "פארשפארט" און דער באַניצער מוזן ופשליסן די דיסק מאַניואַלי. איר וועט האָבן צו נאָכמאַכן די סערטיפיקאַץ צו KMIP סערווער (s) פֿאַר קראַדענטשאַל וועקסל.
• ק 7.3: ווי טאָן איך נאָכמאַכן סערטיפיקאַץ פון דעם קנויל צו די KMIP סערווער (s)?
  א 7.3: עס זענען צוויי וועגן צו טאָן דאָס. איר קענט נאָכמאַכן די באַווייַזן פון די BMC צו KMIP סערווער גלייך אָדער איר קענט נוצן די CSR צו באַקומען אַ CA-געחתמעט באַווייַזן און נאָכמאַכן די CA-געחתמעט באַווייַזן צו די BMC ניצן UCSM קאַמאַנדז.
• ק 7.4: וואָס קאַנסידעריישאַנז זענען דאָרט פֿאַר אַדינג ינקריפּטיד נאָודז צו אַ קנויל וואָס ניצט ווייַט שליסל פאַרוואַלטונג?
  א 7.4: ווען אַדינג נייַ מחנות צו די KMIP סערווער (s), די האָסטנאַמע געניצט זאָל זיין די סיריאַל נומער פון די סערווער. צו באַקומען די KMIP סערווער ס באַווייַזן, איר קענען נוצן אַ בלעטערער צו באַקומען די וואָרצל באַווייַזן פון די KMIP סערווער(s).

באַניצער וואָרקפלאָוו: אַלגעמיינע

• ק 8.1: ווי אַזוי טאָן איך מעקן אַ דיסק?
  א 8.1: אין די HX Connect דאַשבאָרד, אויסקלייַבן די סיסטעם אינפֿאָרמאַציע view. פֿון דאָרט איר קענען אויסקלייַבן יחיד דיסקס פֿאַר זיכער מעקן.
• ק 8.2: וואָס אויב איך ירייסט אַ דיסק דורך צופאַל?
  א 8.2: ווען זיכער מעקן איז געניצט, די דאַטן זענען חרובֿ פּערמאַנאַנטלי
• ק 8.3: וואָס כאַפּאַנז ווען איך ווילן צו דיקאַמישאַן אַ נאָדע אָדער דיססאָסיאַטע אַ סערוויס פּראָfile?
  א 8.3: קיינער פון די אַקשאַנז וועט באַזייַטיקן די ענקריפּשאַן אויף די דיסק / קאַנטראָולער.
• ק 8.4: ווי אַזוי ווערט ענקריפּשאַן פאַרקריפּלט?
  א 8.4: דער באַניצער מוזן בפירוש דיסייבאַל ענקריפּשאַן אין HX Connect. אויב דער באַניצער פרוווט צו ויסמעקן אַ זיכערהייט פּאָליטיק אין UCSM ווען דער פֿאַרבונדן סערווער איז סיקיורד, UCSM וועט ווייַזן אַ קאָנפיגוראַטיאָן דורכפאַל און ניט לאָזן דעם קאַמף. די זיכערהייט פּאָליטיק מוזן זיין פאַרקריפּלט ערשטער.

באַניצער וואָרקפלאָוו: סערטיפיקאַט מאַנאַגעמענט

• ק 9.1: ווי זענען סערטיפיקאַץ כאַנדאַלד בעשאַס ווייַט פאַרוואַלטונג סעטאַפּ?
  א 9.1: סערטיפיקאַץ זענען באשאפן מיט HX Connect און די ווייַט KMIP סערווער (s). סערטיפיקאַץ אַמאָל באשאפן וועט כּמעט קיינמאָל ווערן אויסגעמעקט.
• ק 9.2: וואָס סאָרט פון סערטיפיקאַץ קענען איך נוצן?
  א 9.2: איר קענען נוצן זיך-געחתמעט סערטיפיקאַץ אָדער CA סערטיפיקאַץ. איר האָבן צו קלייַבן בעשאַס סעטאַפּ. פֿאַר CA געחתמעט סערטיפיקאַץ איר וועט דזשענערייט אַ סכום פון סערטיפיקאַט סיינינג ריקוועס (CSRs). די געחתמעט סערטיפיקאַץ זענען ופּלאָאַדעד צו די KMIP סערווער (s).
• ק 9.3: וואָס האָסטנאַמע זאָל איך נוצן ווען דזשענערייטינג די סערטיפיקאַץ?
  א 9.3: די האָסטנאַמע געניצט פֿאַר דזשענערייטינג די באַווייַזן זאָל זיין די סיריאַל נומער פון די סערווער.

Firmware דערהייַנטיקונגען

• ק 10.1: זענען עס קיין ריסטריקשאַנז אויף אַפּגריידינג די דיסק פירמוואַרע?
  א 10.1: אויב אַ ענקריפּשאַן-טויגעוודיק פאָר איז דיטעקטאַד, קיין דיסק פירמוואַרע ענדערונגען וועט נישט זיין ערלויבט פֿאַר דעם דיסק.
• ק 10.2: זענען עס קיין ריסטריקשאַנז אויף אַפּגריידינג UCSM פירמוואַרע?
  א 10.2: דאַונגרייד פון UCSM / CIMC צו פאַר-UCSM 3.1 (3x) איז לימיטעד אויב עס איז אַ קאָנטראָללער אין סיקיורד שטאַט.

זיכער מעקן דעטאַילס

• ק 11.1: וואָס איז זיכער מעקן?
  א 11.1: זיכער מעקן איז רעגע מעקן פון דאַטן אויף די פאָר (ווישן די דיסק ענקריפּשאַן שליסל). דעם מיטל אַז אַ פּשוט אָטענטאַקייטאַד באַפֿעל קענען זיין געשיקט צו די פאָר צו טוישן די 256-ביסל ענקריפּשאַן שליסל סטאָרד אויף די פאָר. דעם ינשורז אַז די פאָר איז אפגעווישט ריין און עס איז קיין דאַטן רוען. אפילו דער אָריגינעל באַלעבאָס סיסטעם קענען נישט לייענען די דאַטן אַזוי עס וועט זיין אַנרידאַבאַל דורך קיין אנדערע סיסטעם. די אָפּעראַציע נעמט בלויז אַ פּאָר סעקונדעס, קעגן די פילע מינוט אָדער אפילו שעה וואָס עס נעמט צו דורכפירן אַן אַנענקריפּטעד דיסק און ויסמיידן די פּרייַז פון טייַער דעגאַוסינג ויסריכט אָדער באַדינונגס.
• ק 11.2: ווי איז זיכער מעקן דורכגעקאָכט?
  א 11.2: דאָס איז אַ GUI אָפּעראַציע וואָס איז דורכגעקאָכט איין פאָר אין אַ צייט.
• ק 11.3: ווען איז זיכער מעקן יוזשאַוואַלי דורכגעקאָכט?
  א 11.3: באַניצער-ינישיייטיד זיכער מעקן פון אַ איין דיסק איז אַ זעלטן אָפּעראַציע. דאָס איז מערסטנס געטאן ווען איר ווילן צו פיזיקלי באַזייַטיקן די דיסק פֿאַר פאַרבייַט, אַריבערפירן עס צו אן אנדער נאָדע אָדער ויסמיידן נאָענט-צוקונפט דורכפאַל.
• ק 11.4: וואָס ריסטריקשאַנז זענען דאָרט אויף זיכער מעקן?
  א 11.4: זיכער מעקן אַפּעריישאַנז קענען זיין דורכגעקאָכט בלויז אויב דער קנויל איז געזונט צו ענשור אַז די שולד ריזיליאַנס פון די קנויל איז נישט ימפּאַקטיד.
• ק 11.5: וואָס כאַפּאַנז אויב איך דאַרפֿן צו באַזייַטיקן אַ גאַנץ נאָדע?
  א 11.5: עס זענען נאָדע אַראָפּנעמען און נאָדע פאַרבייַטן וואָרקפלאָוז צו שטיצן זיכער מעקן פון אַלע דרייווז. זען די אַדמיניסטראַטאָר פירער פֿאַר דעטאַילס אָדער באַראַטנ Cisco TAC.
• ק 11.6: קענען אַ סיקיורלי ירייסט דיסק זיין ריוזד?
  א 11.6: א דיסק וואָס איז סיקיורלי ירייסט קענען זיין ריוזד בלויז אין אַ אַנדערש קנויל. די זיכער מעקן פון די SED איז דורכגעקאָכט דורך ווישן די דיסק ענקריפּשאַן שליסל (DEK). די דאַטן אויף דעם דיסק קענען ניט זיין דעקריפּטיד אָן DEK. דאָס אַלאַוז איר צו רייוס אָדער דיקאַמישאַן די דיסק אָן קיין קאָמפּראָמיס פון די דאַטן.
• ק 11.7: וואָס כאַפּאַנז אויב דער דיסק איך ווילן צו מעקן כּולל די לעצטע ערשטיק קאָפּיע פון ​​קנויל דאַטן?
  א 11.7: די דאַטן אויף דעם דיסק זאָל האָבן אנדערע עקזעמפלארן אין דעם קנויל צו ויסמיידן דאַטן אָנווער. אָבער, אויב זיכער מעקן איז פארלאנגט אויף אַ דיסק וואָס איז די לעצטע ערשטיק קאָפּיע, די אָפּעראַציע וועט זיין פארווארפן ביז עס איז לפּחות איין קאָפּיע בנימצא. ריבאַלאַנס זאָל מאַכן דעם קאָפּיע אין דער הינטערגרונט.
• ק 11.8: איך טאַקע דאַרפֿן צו סיקיורלי מעקן אַ דיסק, אָבער דער קנויל איז נישט געזונט. ווי אַזוי קען איך טאָן דאָס?
  א 11.8: די באַפֿעלן שורה (STCLI / HXCLI) וועט לאָזן זיכער מעקן ווען דער קנויל איז נישט געזונט און דער דיסק טוט נישט אַנטהאַלטן די לעצטע ערשטיק קאָפּיע, אַנדערש עס איז נישט ערלויבט.
• ק 11.9: ווי קענען איך סיקיורלי מעקן אַ גאַנץ נאָדע?
  א 11.9: דאָס איז אַ זעלטן סצענאַר. זיכער מעקן פון אַלע דיסקס אין אַ נאָדע איז געטאן ווען איינער וויל צו נעמען די נאָדע פון ​​די קנויל. די כוונה איז צו צעוויקלען דעם נאָדע אין אַ אַנדערש קנויל אָדער דיקאַמישאַן די נאָדע. מיר קענען קלאַסיפיצירן נאָדע באַזייַטיקונג אין דעם סצענאַר אין צוויי פאַרשידענע וועגן:
  1. זיכער מעקן אַלע די דיסקס אָן דיסייבאַלינג ענקריפּשאַן
  2. זיכער מעקן אַלע די דיסקס נאכגעגאנגען דורך דיסייבאַלינג ענקריפּשאַן פֿאַר דעם נאָדע (און דיסקס). ביטע קאָנטאַקט Cisco TAC פֿאַר הילף.

זיכער יקספּאַנשאַן פון אַ קנויל

• ק 12.1: מיט וואָס מין פון נאָדע קען איך יקספּאַנד אַ ינקריפּטיד קנויל?
  א 12.1: בלויז סעד-טויגעוודיק נאָודז קענען זיין מוסיף צו אַ הקס קנויל מיט סעד.
• ק 12.2: ווי איז יקספּאַנשאַן מיט היגע שליסל פאַרוואַלטונג כאַנדאַלד?
  א 12.2: לאקאלע שליסל יקספּאַנשאַן איז אַ סימלאַס אָפּעראַציע מיט קיין אַרויס קאַנפיגיעריישאַן פארלאנגט.
• ק 12.3: ווי איז יקספּאַנשאַן מיט ווייַט שליסל פאַרוואַלטונג כאַנדאַלד?
  א 12.3: רימאָוט שליסל יקספּאַנשאַן ריקווייערז לאַקסטעפּ מיט סערטיפיקאַץ / שליסל פאַרוואַלטונג ינפראַסטראַקטשער:
  • סערטיפיקאַץ זענען פארלאנגט צו לייגן נייַ נאָדע סיקיורלי
  • די דיפּלוימאַנט וועט ווייַזן אַ ווארענונג מיט סטעפּס צו גיינ ווייַטער אַרייַנגערעכנט אַ לינק פֿאַר סערטיפיקאַט אראפקאפיע
  • דער באַניצער גייט סטעפּס צו צופֿעליקער באַווייַזן (s) און דעמאָלט ריטריווז די דיפּלוימאַנט

שטיצן דאָקומענטן

מיקראָן:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• רשימה פון קריפּטאָ אַלגערידאַמז באוויליקט פֿאַר FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• פּראָיעקט: CSC.nuova פּראָדוקט: ucs-blade-server קאָמפּאָנענט: ucsm

SED פאַנגקשאַנאַל ספּעסיפיקאַטיאָן:

• עדס: 1574090

SED CIMC באַשרייַבונג:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

מיילינג רשימות:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

דאָקומענטן / רעסאָורסעס

CISCO HyperFlex HX Data Platform [pdf] אינסטרוקציעס HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platform

רעפערענצן

• באַניצער מאַנואַל