CISCO HyperFlex HX 数据平台说明

从 HXDP 5.01b 开始，HyperFlex 使用 Intersight Key Manager 为不支持基于硬件的加密的系统或希望通过硬件解决方案实现此功能的用户提供基于软件的解决方案。此常见问题解答仅关注基于 SED 的 HX 加密硬件解决方案。有关基于软件的加密的信息，请参阅管理文档或白皮书。

偏见声明
本产品的文档集力求使用无偏见的语言。就本文档集而言，无偏见的定义是指语言不包含基于年龄、残疾、性别、种族身份、民族身份、性取向、社会经济地位和交叉性的歧视。由于产品软件用户界面中硬编码的语言、基于标准文档使用的语言或引用的第三方产品使用的语言，文档中可能存在例外情况。

为什么选择思科的安全和 HX 加密

问 1.1：安全开发有哪些流程？
答1.1： 思科服务器遵循思科安全开发生命周期 (CSDL)：
- 思科提供了在思科服务器上开发嵌入式安全的流程、方法和框架，而不仅仅是覆盖层
- 专门的思科团队对 UCS 产品组合进行威胁建模/静态分析
- 思科高级安全计划小组 (ASIG) 执行主动渗透测试，以了解威胁如何进入并通过 CDETS 和工程增强硬件和软件来解决问题
- 专门的思科团队测试和处理出站漏洞，并作为安全顾问与客户进行沟通
- 所有底层产品均经过产品安全基线要求 (PSB)，该要求管理思科产品的安全标准
- 思科对所有 UCS 版本执行漏洞/协议稳健性测试
问题 1.2：为什么 SED 很重要？
答1.2： SED 用于静态数据加密，是许多（如果不是全部）联邦、医疗和金融机构的要求。

一般信息view

问 2.1：什么是 SED？
答2.1： SED（自加密驱动器）具有特殊的硬件，可以实时加密传入数据并解密传出数据。
Q 2.2：HX 的加密范围是什么？
答2.2： HX 上的加密目前仅使用加密驱动器 (SED) 在硬件中实现静态数据。 HX 加密是集群范围内的。单个虚拟机加密由第三方软件（例如 Hytrust 或 Vormetric 的透明客户端）处理，不属于 HX 的职责范围。 HX 还支持使用 vSphere 3 中引入的 VMware 本机虚拟机加密。在基于 HX SED 的加密之上使用 VM 加密客户端将导致数据双重加密。 HX 复制未加密，依赖于最终用户部署的可信网络或加密隧道。
问题 2.3：HX 加密满足哪些合规标准？
答2.3： HX SED 加密驱动器符合驱动器制造商的 FIPS 140-2 2 级标准。平台上的 HX 加密符合 FIPS 140-2 1 级标准。
Q 2.4: 我们支持HDD和SSD加密吗？
答2.4： 是的，我们支持 Micron 的 HDD 和 SSD SED。
问 2.5：HX 集群可以同时拥有加密和非加密驱动器吗？
答2.5： 集群中的所有节点必须是统一的（SED 或非 SED）
问题 2.6：SED 使用哪些密钥以及如何使用它们？
答2.6： 每个 SED 使用两个密钥。媒体加密密钥 (MEK) 也称为磁盘加密密钥 (DEK)，控制磁盘数据的加密和解密，并在硬件中进行保护和管理。密钥加密密钥 (KEK) 可保护 DEK/MEK 并在本地或远程密钥库中维护。
问 2.7：密钥是否存在于内存中？
答2.7： 加密密钥永远不会出现在节点内存中
问 2.8：加密/解密过程如何影响性能？
答2.8： 磁盘加密/解密是在驱动器硬件中处理的。整体系统性能不受影响，也不会受到针对系统其他组件的攻击
问题 2.9：除了静态加密之外，使用 SED 的其他原因还有哪些？
答2.9： SED 可以通过即时加密擦除来降低驱动器报废和重新部署成本。它们还有助于遵守政府或行业的数据隐私法规。另一个优点tage 是磁盘被盗和节点被盗的风险降低，因为一旦硬件从生态系统中移除，数据就无法读取。
Q2.10：使用 SED 进行重复数据删除和压缩会发生什么情况？基于第三方软件的加密会发生什么？
答案2.10: 由于静态数据加密是写入过程的最后一步，因此在 HX 上使用 SED 进行重复数据删除和压缩得以维持。重复数据删除和压缩已经发生。借助基于第三方软件的加密产品，虚拟机可以管理其加密并将加密写入传递到虚拟机管理程序以及随后的 HX。由于这些写入已经加密，因此不会对它们进行重复数据删除或压缩。 HX 基于软件的加密（在 3.x 代码行中）将是一种软件加密解决方案，在写入优化（重复数据删除和压缩）发生后在堆栈中实现，因此在这种情况下将保留优势。

下图是一个结束view 与 HX 一起实施 SED。

驱动器详细信息

问题 3.1：HX 中使用的加密驱动器由谁制造？
答3.1： HX 使用 Micron 制造的驱动器：Micron 特定文档链接在此常见问题解答的支持文档部分。
问题 3.2：我们是否支持任何不符合 FIPS 的 SED？
答3.2： 我们还支持一些非 FIPS 驱动器，但支持 SED (TCGE)。
问 3.3：TCG 是什么？
答3.3： TCG是可信计算组织，创建和管理加密数据存储的规范标准
问题 3.4：对于数据中心的 SAS SSD，什么被视为企业级安全？这些驱动器有哪些具体功能可以确保安全并防止攻击？
答3.4：此列表总结了 HX 中使用的 SED 的企业级功能以及它们与 TCG 标准的关系。
1. 自加密驱动器 (SED) 为 SED 上的静态数据提供强大的安全性，防止未经授权的数据访问。可信计算组织 (TCG) 制定了一系列适用于 HDD 和 SSD 的自加密驱动器的功能和优势。 TCG 提供了一个称为 TCG Enterprise SSC（安全子系统类）的标准，重点关注静态数据。这是所有 SED 的要求。该规范适用于在企业存储中运行的数据存储设备和控制器。该列表包括：
  - 透明度： 无需修改系统或应用程序；由驱动器本身使用板载真随机数生成器生成的加密密钥；驱动器始终处于加密状态。
  - 易于管理： 无需管理加密密钥；软件供应商利用标准化接口来管理 SED，包括远程管理、预启动身份验证和密码恢复
  - 处置或重新利用成本： 使用 SED，擦除板载加密密钥
  - 重新加密： 使用 SED，无需重新加密数据
  - 表现： SED 性能不会下降；基于硬件的
  - 标准化： 整个驱动行业正在按照 TCG/SED 规范进行建设
  - 简化： 不干扰上游流程
2. SSD SED 提供以加密方式擦除驱动器的能力。这意味着可以向驱动器发送一个简单的经过身份验证的命令来更改存储在驱动器上的 256 位加密密钥。这可确保驱动器被擦除干净并且没有任何数据残留。即使原始主机系统也无法读取数据，因此任何其他系统也绝对无法读取该数据。该操作只需几秒钟，而不是在未加密的 HDD 上执行类似操作需要几分钟甚至几小时，并且避免了昂贵的 HDD 消磁设备或服务的成本。
3. FIPS（联邦信息处理标准）140-2 是一项美国政府标准，描述了 IT 产品在敏感但非机密用途时应满足的加密和相关安全要求。这通常也是金融服务和医疗保健行业的政府机构和公司的要求。经过 FIPS-140-2 验证的 SSD 使用强大的安全实践，包括批准的加密算法。它还指定了个人或其他流程必须如何获得授权才能使用该产品，以及模块或组件必须如何设计才能与其他系统安全交互。事实上，经过 FIPS-140-2 验证的 SSD 驱动器的要求之一是它是 SED。请记住，虽然 TCG 不是获得经过认证的加密驱动器的唯一方法，但 TCG Opal 和 Enterprise SSC 规范为我们提供了 FIPS 验证的垫脚石。 4. 另一个重要功能是安全下载和诊断。此固件功能通过固件中内置的数字签名来保护驱动器免受软件攻击。当需要下载时，数字签名可防止对驱动器进行未经授权的访问，从而防止将假冒固件加载到驱动器中。

使用 SED 安装 Hyperflex

问题 4.1：安装程序如何处理 SED 部署？有什么特殊检查吗？
答4.1： 安装程序与 UCSM 进行通信，并确保系统固件正确并支持检测到的硬件。检查并强制执行加密兼容性（例如，不混合 SED 和非 SED）。
问 4.2：部署是否有其他不同？
答4.2：安装与常规 HX 安装类似，但 SED 不支持自定义工作流程。此操作也需要 SED 的 UCSM 凭据。
问题 4.3：许可如何与加密一起使用？有什么额外需要准备的吗？
答4.3： SED 硬件（从工厂订购，非改装）+ HXDP 2.5 + UCSM (3.1(3x)) 是启用密钥管理加密所需的唯一东西。 2.5 版本中不需要基本 HXDP 订阅之外的其他许可。

问题 4.4：如果我的 SED 系统中的驱动器不再可用，会发生什么情况？如何扩展这个集群？
答4.4： 每当我们的供应商有任何 PID 报废时，我们都会有一个与旧 PID 兼容的替换 PID。此替换 PID 可用于 RMA、节点内扩展以及集群扩展（使用新节点）。所有方法都受支持，但是，它们可能需要升级到特定版本，该版本也在过渡版本说明中标识。

密钥管理

问 5.1：什么是密钥管理？
答5.1： 密钥管理是涉及保护、存储、备份和组织加密密钥的任务。 HX 在以 UCSM 为中心的政策中实现了这一点。
Q 5.2：什么机制支持按键配置？
答5.2： UCSM 提供配置安全密钥的支持。

问 5.3：可以使用什么类型的密钥管理？
答5.3： 支持密钥的本地管理以及使用第 3 方密钥管理服务器的企业级远程密钥管理。
问 5.4：远程密钥管理合作伙伴有哪些？
答5.4： 我们目前支持 Vormetric 和 Gemalto (Safenet)，并包括高可用性 (HA)。 HyTrust 正在测试中。
问5.5：远程密钥管理是如何实现的？
答5.5： 远程密钥管理通过 KMIP 1.1 进行处理。

问5.6：本地管理如何配置？
答5.6： 安全密钥 (KEK) 由用户直接在 HX Connect 中配置。
问5.7：如何配置远程管理？
答5.7： 远程密钥管理 (KMIP) 服务器地址信息以及登录凭据由用户在 HX Connect 中配置。
Q 5.8：HX 的哪一部分与 KMIP 服务器通信进行配置？
答5.8：每个节点上的 CIMC 使用此信息连接到 KMIP 服务器并从中检索安全密钥 (KEK)。

问 5.9：密钥生成/检索/更新过程支持哪些类型的证书？
答5.9：支持 CA 签名和自签名证书。
问 5.10：加密过程支持哪些工作流程？
答5.10：支持使用自定义密码进行保护/取消保护以及本地到远程密钥管理转换。支持重新密钥操作。还支持安全磁盘擦除操作。

用户工作流程：本地

问 6.1：在 HX Connect 中，我在哪里设置本地密钥管理？
答6.1： 在加密仪表板中，选择配置按钮并按照向导操作。

问 6.2：开始之前我需要准备什么？
答6.2： 您需要提供 32 个字符的安全密码。
问 6.3：如果我需要插入新的 SED，会发生什么情况？
6.3号：在 UCSM 中，您需要编辑本地安全策略并将部署密钥设置为现有节点密钥。
问题 6.4： 当我插入新磁盘时会发生什么？
答6.4： 如果磁盘上的安全密钥与服务器（节点）的安全密钥匹配，它将自动解锁。如果安全密钥不同，磁盘将显示为“已锁定”。您可以清除磁盘以删除所有数据，也可以通过提供正确的密钥来解锁。这是与 TAC 合作的好时机。

用户工作流程：远程

Q 7.1：远程密钥管理配置需要注意哪些事项？
答7.1： 集群和 KMIP 服务器之间的通信通过每个节点上的 CIMC 进行。这意味着仅当在 CIMC 管理上配置了带内 IP 地址和 DNS 时，主机名才可用于 KMIP 服务器
问 7.2：如果我需要更换或插入新的 SED，会发生什么情况？
答7.2： 集群将从磁盘读取标识符并尝试自动解锁。如果自动解锁失败，磁盘将显示为“锁定”，用户必须手动解锁磁盘。您必须将证书复制到 KMIP 服务器以进行凭证交换。
问 7.3：如何将证书从集群复制到 KMIP 服务器？
答7.3：有两种方法可以做到这一点。您可以直接将证书从 BMC 复制到 KMIP 服务器，也可以使用 CSR 获取 CA 签名证书并使用 UCSM 命令将 CA 签名证书复制到 BMC。

问 7.4：在使用远程密钥管理的集群中添加加密节点有哪些注意事项？
答7.4： 将新主机添加到 KMIP 服务器时，使用的主机名应该是服务器的序列号。要获取 KMIP 服务器的证书，您可以使用浏览器获取 KMIP 服务器的根证书。

用户工作流程：一般

问 8.1：如何擦除磁盘？
答8.1： 在 HX Connect 仪表板中，选择系统信息 view。从那里您可以选择单个磁盘进行安全擦除。
问 8.2：如果我不小心删除了磁盘怎么办？
答8.2： 当使用安全擦除时，数据将被永久销毁

问题 8.3：当我想要停用节点或解除服务专业人员的关联时会发生什么情况file?
答8.3： 这些操作都不会删除磁盘/控制器上的加密。
问 8.4：如何禁用加密？
答8.4： 用户必须在 HX Connect 中明确禁用加密。如果用户在关联服务器受到保护后尝试删除 UCSM 中的安全策略，UCSM 将显示配置失败并禁止该操作。必须首先禁用安全策略。

用户工作流程：证书管理

问 9.1：远程管理设置期间如何处理证书？
答9.1： 证书是使用 HX Connect 和远程 KMIP 服务器创建的。证书一旦创建，几乎永远不会被删除。

问 9.2：我可以使用什么类型的证书？
答9.2： 您可以使用自签名证书或 CA 证书。您必须在设置过程中进行选择。对于 CA 签名的证书，您将生成一组证书签名请求 (CSR)。签名的证书将上传到 KMIP 服务器。
问 9.3：生成证书时应该使用什么主机名？
答9.3： 用于生成证书的主机名应该是服务器的序列号。

固件更新

Q 10.1：升级磁盘固件有什么限制吗？
答10.1： 如果检测到支持加密的驱动器，则不允许对该磁盘进行任何磁盘固件更改。

问10.2：升级UCSM固件有什么限制吗？
答10.2： 如果存在处于安全状态的控制器，则 UCSM/CIMC 降级到 UCSM 3.1(3x) 之前版本会受到限制。

安全擦除详细信息

问 11.1：什么是安全擦除？
答11.1： 安全擦除是立即擦除驱动器上的数据（擦除磁盘加密密钥）。这意味着可以向驱动器发送一个简单的经过身份验证的命令来更改存储在驱动器上的 256 位加密密钥。这可确保驱动器被擦除干净并且没有任何数据残留。即使原始主机系统也无法读取数据，因此任何其他系统都无法读取该数据。该操作只需几秒钟，而不是在未加密的磁盘上执行类似操作需要几分钟甚至几小时，并且避免了昂贵的消磁设备或服务的成本。
问 11.2：如何执行安全擦除？
答11.2： 这是一次对一个驱动器执行的 GUI 操作。

问 11.3：安全擦除通常在什么时候执行？
答11.3： 用户发起的对单个磁盘的安全擦除很少见。当您想要物理删除磁盘进行更换、将其转移到另一个节点或避免近期出现故障时，通常会执行此操作。
问 11.4：安全擦除有哪些限制？
答11.4： 只有在集群健康的情况下才能执行安全擦除操作，以确保集群的容错能力不受影响。
问 11.5：如果我需要删除整个节点，会发生什么情况？
答11.5： 有节点删除和节点替换工作流程来支持所有驱动器的安全擦除。有关详细信息，请参阅管理指南或咨询思科 TAC。

问 11.6：安全擦除的磁盘可以重复使用吗？
答11.6： 已安全擦除的磁盘只能在不同的集群中重复使用。 SED 的安全擦除是通过擦除磁盘加密密钥 (DEK) 来完成的。如果没有DEK，则无法解密磁盘中的数据。这使您可以重复使用或停用磁盘，而不会损害数据。
问 11.7：如果我要擦除的磁盘包含集群数据的最后一个主副本，会发生什么情况？
答11.7： 磁盘上的数据在集群中应该有其他副本，以避免数据丢失。但是，如果在最后一个主副本的磁盘上请求安全擦除，则该操作将被拒绝，直到至少还有一个副本可用。重新平衡应该在后台制作此副本。
问 11.8：我确实需要安全地擦除磁盘，但集群状况不佳。我该怎么做？
答11.8： 当集群不健康并且磁盘不包含最后一个主副本时，命令行（STCLI/HXCLI）将允许安全擦除，否则不允许。

问题 11.9： 如何安全地擦除整个节点？
答11.9： 这是一种罕见的情况。当想要将节点移出集群时，会安全擦除节点中的所有磁盘。目的是将节点部署在不同的集群中或停用该节点。我们可以通过两种不同的方式对这种情况下的节点删除进行分类：
1. 安全擦除所有磁盘而不禁用加密
2. 安全擦除所有磁盘，然后禁用该节点（和磁盘）的加密。请联系思科 TAC 寻求帮助。

集群安全扩容

问12.1：加密集群可以扩容到什么类型的节点？
答12.1： 只有支持 SED 的节点才能添加到具有 SED 的 HX 集群。

问 12.2：如何处理本地密钥管理的扩展？
答12.2： 本地密钥扩展是一种无缝操作，无需外部配置。
问 12.3：如何处理远程密钥管理扩展？
答12.3： 远程密钥扩展需要与证书/密钥管理基础设施同步：
- 需要证书才能安全地添加新节点
- 部署将显示一条警告，其中包含继续步骤，包括证书下载链接
- 用户按照步骤上传证书，然后重试部署

支持文件

微米：

联邦信息处理标准

FIPS 140-2 批准的加密算法列表： https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDET：

项目： CSC.nuova 产品：ucs-blade-server 组件：ucsm

SED功能规格：

电子通讯系统：1574090

SED中集规格：

http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

邮件列表：

文件/资源

CISCO HyperFlex HX 数据平台 [pdf] 指示
HyperFlex HX 数据平台、HyperFlex、HX 数据平台、数据平台、平台

参考

用户手册

CISCO HyperFlex HX 数据平台

产品信息

产品使用说明

HX安全加密常见问题解答

支持文件

文件/资源

参考

发表评论

取消回复