CISCO HyperFlex HX duomenų platforma

Informacija apie produktą

• Produkto pavadinimas: HX saugos šifravimas
• Versija: HXDP 5.01b
• Šifravimo sprendimas: Programinės įrangos sprendimas naudojant „Intersight Key Manager“.
• Šifravimo tipas: Savarankiškai šifruojantys diskai (SED)
• Palaikomi diskų tipai: HDD ir SSD SED iš Micron
• Atitikties standartai: FIPS 140-2 2 lygio (pavarų gamintojai) ir FIPS 140-2 1 lygio (platforma)
• Viso klasterio šifravimas: Šifravimas HX yra įdiegtas aparatinėje įrangoje duomenims ramybės būsenoje tik naudojant SED
• Individualus VM šifravimas: Tvarko trečiosios šalies programinė įranga, pvz., „Hytrust“ arba „Vormetric“ skaidrus klientas
• VMware Native VM šifravimas: Palaikoma HX, skirta naudoti su SED šifravimu
• Raktų valdymas: Kiekvienam SED naudojamas medijos šifravimo raktas (MEK) ir rakto šifravimo raktas (KEK).
• Atminties naudojimas: Šifravimo raktų niekada nėra mazgo atmintyje
• Poveikis našumui: Disko šifravimas / iššifravimas vykdomas disko aparatinėje įrangoje, bendram sistemos veikimui įtakos neturi
• Papildomi SED privalumai:
  • Momentinis kriptografinis ištrynimas sumažina disko išėjimo į pensiją ir perskirstymo išlaidas
  • Atitiktis vyriausybės arba pramonės teisės aktams dėl duomenų privatumo
  • Sumažėja disko vagystės ir mazgo vagystės rizika, nes pašalinus aparatinę įrangą duomenys tampa neįskaitomi

Produkto naudojimo instrukcijos

Norėdami naudoti HX saugos šifravimą, vadovaukitės šiomis instrukcijomis:

1. Įsitikinkite, kad jūsų sistema palaiko aparatinės įrangos šifravimą arba kad pirmenybę teikiate programinės įrangos sprendimui, naudodami Intersight Key Manager.
2. Informacijos apie programine įranga pagrįstą šifravimą ieškokite administravimo dokumentuose arba informaciniame dokumente (-uose).
3. Jei pasirinksite naudoti aparatinės įrangos šifravimą su SED, įsitikinkite, kad jūsų HX klasterį sudaro vienodi mazgai (SED arba ne SED).
4. Jei naudojate SED, atminkite, kad naudojami du raktai: medijos šifravimo raktas (MEK) ir rakto šifravimo raktas (KEK).
5. MEK kontroliuoja duomenų į diską šifravimą ir iššifravimą, yra apsaugotas ir valdomas aparatūros.
6. KEK apsaugo MEK / DEK ir yra palaikoma vietinėje arba nuotolinėje raktų saugykloje.
7. Nesijaudinkite, kad raktai yra mazgo atmintyje, nes šifravimo raktai ten niekada nesaugomi.
8. Atminkite, kad disko šifravimas / iššifravimas tvarkomas disko aparatinėje įrangoje, užtikrinant, kad bendras sistemos veikimas nenukentės.
9. Jei turite konkrečių atitikties standartų reikalavimų, atminkite, kad HX SED šifruoti diskai atitinka 140 lygio FIPS 2-2 standartus iš diskų gamintojų, o HX Encryption platformoje atitinka FIPS 140-2 1 lygio standartus.
10. Jei reikia užšifruoti atskiras VM, apsvarstykite galimybę naudoti trečiosios šalies programinę įrangą, pvz., „Hytrust“ arba „Vormetric“ skaidrų klientą. Arba galite naudoti „VMware“ savąjį VM šifravimą, įdiegtą „vSphere 3“.
11. Atminkite, kad naudojant VM šifravimo klientą kartu su HX SED pagrįstu šifravimu, duomenys bus šifruojami dvigubai.
12. Įsitikinkite, kad jūsų HX klasteris yra prijungtas per patikimus tinklus arba šifruotus tunelius, kad būtų užtikrintas saugus replikavimas, nes HX replikacija nėra užšifruota.

DUK apie HX saugos šifravimą

Nuo HXDP 5.01b „HyperFlex“ siūlo programinės įrangos sprendimą, kuriame naudojama „Intersight Key Manager“, skirta sistemoms, kurios nepalaiko aparatinės įrangos šifravimo, arba vartotojams, kurie nori šios funkcijos, o ne aparatinės įrangos sprendimų. Šie DUK skirti tik SED pagrįstiems HX šifravimo aparatūros sprendimams. Informacijos apie programine įranga pagrįstą šifravimą ieškokite administravimo dokumentuose arba informaciniame dokumente (-uose).

Šališkumo pareiškimas
Šio gaminio dokumentacijoje stengiamasi naudoti neobjektyvią kalbą. Šiame dokumentų rinkinyje nešališkumas apibrėžiamas kaip kalba, kuri nereiškia diskriminacijos dėl amžiaus, negalios, lyties, rasinės tapatybės, etninės tapatybės, seksualinės orientacijos, socialinės ir ekonominės padėties ir susikirtimo. Dokumentuose gali būti išimčių dėl kalbos, kuri yra užkoduota gaminio programinės įrangos vartotojo sąsajose, kalba, kuri naudojama remiantis standartų dokumentacija, arba kalba, kurią naudoja nurodytas trečiosios šalies produktas.

Kodėl „Cisco“ saugumui ir HX šifravimui 

• 1.1 klausimas. Kokie procesai taikomi saugiam vystymuisi?
  A 1.1: „Cisco“ serveriai laikosi „Cisco Secure Development Lifecycle“ (CSDL):
  • „Cisco“ teikia procesus, metodikas ir sistemas, skirtus Cisco serverių įterptajai saugai sukurti, o ne tik perdangai
  • „Cisco“ komanda, skirta grėsmių modeliavimui / statinei UCS produktų portfelio analizei
  • „Cisco Advanced Security Initiative Group“ (ASIG) atlieka aktyvų įsiskverbimo testą, kad suprastų, kaip kyla grėsmės, ir ištaiso problemas, tobulindama HW ir SW per CDETS ir inžineriją.
  • Paskirta Cisco komanda, kuri išbando ir tvarko išeinantį pažeidžiamumą bei bendraudama su klientais kaip saugumo patarėjai
  • Visi pagrindiniai produktai atitinka produkto saugos bazinius reikalavimus (PSB), kurie reglamentuoja Cisco produktų saugos standartus
  • „Cisco“ atlieka visų UCS leidimų pažeidžiamumo / protokolo patikimumo testus
• 1.2 klausimas: Kodėl SED yra svarbūs?
  A 1.2: SED naudojami duomenims šifruoti ramybės būsenoje ir yra būtini daugeliui, jei ne visoms, federalinėms, medicinos ir finansų įstaigoms.

Bendra informacija Baigtaview

• 2.1 klausimas: kas yra SED?
  A 2.1: SED (angl. Self-Encrypting Drives) turi specialią aparatinę įrangą, kuri užšifruoja gaunamus duomenis ir iššifruoja išsiunčiamus duomenis realiuoju laiku.
• 2.2 klausimas: kokia yra HX šifravimo apimtis?
  A 2.2: Šiuo metu HX šifravimas įdiegtas aparatinėje įrangoje, kad duomenys būtų ramybės būsenoje, tik naudojant šifruotus diskus (SED). HX šifravimas yra visos grupės. Individualų VM šifravimą tvarko trečiosios šalies programinė įranga, pvz., „Hytrust“ arba „Vormetric“ skaidrus klientas, ir jis nepatenka į HX įsipareigojimų sritį. HX taip pat palaiko VMware vietinio VM šifravimo, įdiegto vSphere 3, naudojimą. Naudojant VM šifravimo klientą kartu su HX SED pagrįstu šifravimu, duomenys bus šifruojami dvigubai. HX replikacija nėra užšifruota ir priklauso nuo patikimų tinklų arba galutinio vartotojo įdiegtų šifruotų tunelių.
• 2.3 klausimas. Kokius atitikties standartus atitinka HX šifravimas?
  A 2.3: HX SED šifruoti diskai atitinka 140 lygio FIPS 2-2 standartus iš diskų gamintojų. HX šifravimas platformoje atitinka FIPS 140-2 1 lygio standartus.
• 2.4 klausimas: ar palaikome HDD ir SSD šifravimą?
  A 2.4: Taip, mes palaikome tiek HDD, tiek SSD SED iš Micron.
• 2.5 klausimas: Ar HX klasteris gali turėti šifruotus ir nešifruotus diskus tuo pačiu metu?
  A 2.5: Visi klasterio mazgai turi būti vienodi (SED arba ne SED)
• 2.6 klausimas: kokie raktai naudojami SED ir kaip jie naudojami?
  A 2.6: Kiekvienam SED naudojami du raktai. Medijos šifravimo raktas (MEK), dar vadinamas disko šifravimo raktu (DEK), valdo diske esančių duomenų šifravimą ir iššifravimą ir yra apsaugotas bei valdomas aparatūros. Rakto šifravimo raktas (KEK) apsaugo DEK / MEK ir yra saugomas vietinėje arba nuotolinėje raktų saugykloje.
• 2.7 klausimas: ar raktai kada nors yra atmintyje?
  A 2.7: Šifravimo raktų niekada nėra mazgo atmintyje
• 2.8 klausimas: kaip našumą veikia šifravimo / iššifravimo procesas?
  A 2.8: Disko šifravimas / iššifravimas tvarkomas disko aparatinėje įrangoje. Bendras sistemos veikimas neturi įtakos ir nėra atakų, nukreiptų į kitus sistemos komponentus, objektas
• 2.9 klausimas. Kokios kitos priežastys naudoti SED, išskyrus šifravimą ramybės būsenoje?
  A 2.9: SED gali sumažinti disko išėjimo į pensiją ir perskirstymo išlaidas, nes momentinis kriptografinis ištrynimas. Jie taip pat atitinka vyriausybės ar pramonės teisės aktus dėl duomenų privatumo. Dar vienas advanastage yra sumažėjusi disko vagystės ir mazgo vagystės rizika, nes duomenų, pašalinus aparatinę įrangą iš ekosistemos, neįmanoma nuskaityti.
• 2.10 klausimas: kas atsitiks su dubliavimo panaikinimu ir suspaudimu naudojant SED? Kas atsitiks su trečiosios šalies programine įranga pagrįstu šifravimu?
  A2.10: Dubliavimo panaikinimas ir glaudinimas naudojant SED HX palaikomas, nes ramybės būsenos duomenų šifravimas yra paskutinis rašymo proceso žingsnis. Deduplikacija ir suspaudimas jau įvyko. Naudodami trečiosios šalies programinės įrangos pagrindu sukurtus šifravimo produktus, VM valdo savo šifravimą ir perduoda šifruotus įrašus hipervizoriui, o vėliau ir HX. Kadangi šie įrašai jau yra užšifruoti, jie nėra panaikinami ar suglaudinami. HX programine įranga pagrįstas šifravimas (3.x kodo eilutėje) bus programinės įrangos šifravimo sprendimas, kuris įdiegiamas dėtuvėje po rašymo optimizavimo (nukopijavimo ir suspaudimo), todėl tokiu atveju nauda išliks.

Žemiau esantis paveikslas yra pabaigaview SED su HX diegimo.

Vairavimo detalės 

• 3.1 klausimas: kas gamina šifruotus diskus, kurie naudojami HX?
  A 3.1: HX naudoja „Micron“ pagamintus diskus: „Micron“ specifiniai dokumentai pateikiami šio DUK patvirtinamųjų dokumentų skyriuje.
• 3.2 klausimas: ar palaikome kokius nors SED, kurie nesuderinami su FIPS?
  A 3.2: Taip pat palaikome kai kuriuos diskus, kurie nėra FIPS, bet palaiko SED (TCGE).
• 3.3 klausimas: kas yra TCG?
  A 3.3: TCG yra patikimų skaičiavimų grupė, kurianti ir valdanti šifruotų duomenų saugojimo specifikacijų standartą.
• 3.4 klausimas: kas laikoma įmonės klasės sauga, kai kalbama apie SAS SSD, skirtus duomenų centrui? Kokias specifines funkcijas turi šie diskai, užtikrinantys saugumą ir apsaugantys nuo atakų?
  A 3.4: Šiame sąraše apibendrinamos HX naudojamų SED įmonės klasės savybės ir jų ryšys su TCG standartu.
  1. Savarankiškai šifruojantys diskai (SED) užtikrina tvirtą duomenų, esančių jūsų SED, saugumą, užkertant kelią neteisėtai prieigai prie duomenų. „Trusted Computing Group“ (TCG) sukūrė HDD ir SSD savaiminio šifravimo diskų funkcijų ir pranašumų sąrašą. TCG suteikia standartą, kuris vadinamas TCG Enterprise SSC (saugumo posistemio klase) ir yra orientuotas į ramybės būsenos duomenis. Tai reikalinga visiems SED. Specifikacijos taikomos duomenų saugojimo įrenginiams ir valdikliams, kurie veikia įmonės saugykloje. Į sąrašą įtraukta:
     • Skaidrumas: Nereikia keisti sistemos ar programos; šifravimo raktas, sukurtas paties įrenginio, naudojant įmontuotą tikrų atsitiktinių skaičių generatorių; diskas visada šifruojamas.
     • Valdymo paprastumas: Nėra valdomo šifravimo rakto; programinės įrangos pardavėjai naudoja standartizuotą sąsają SED valdymui, įskaitant nuotolinį valdymą, autentifikavimą prieš įkrovą ir slaptažodžio atkūrimą
     • Išmetimo arba pakartotinio panaudojimo kaina: Naudodami SED, ištrinkite integruotą šifravimo raktą
     • Pakartotinis šifravimas: Naudojant SED, nereikia iš naujo šifruoti duomenų
     • Našumas: Jokio SED veikimo pablogėjimo; aparatinės įrangos pagrindu
     • Standartizavimas: Visa pavarų pramonė kuria pagal TCG/SED specifikacijas
     • Supaprastinta: Jokių trukdžių ankstesniems procesams
  2. SSD SED suteikia galimybę kriptografiškai ištrinti diską. Tai reiškia, kad į diską galima išsiųsti paprastą autentifikuotą komandą, kad būtų pakeistas diske saugomas 256 bitų šifravimo raktas. Taip užtikrinama, kad diskas bus švarus ir neliks jokių duomenų. Net pradinė pagrindinio kompiuterio sistema negali nuskaityti duomenų, todėl jokia kita sistema jų visiškai neperskaitys. Operacija trunka tik kelias sekundes, o ne daug minučių ar net valandų, kurių reikia norint atlikti analogišką operaciją nešifruotame HDD, ir išvengiama brangios HDD dujų pašalinimo įrangos ar paslaugų išlaidų.
  3. FIPS (federalinis informacijos apdorojimo standartas) 140-2 yra JAV vyriausybės standartas, apibūdinantis šifravimo ir susijusius saugos reikalavimus, kuriuos IT produktai turi atitikti jautriems, bet neįslaptintam naudojimui. To dažnai reikalauja ir vyriausybinės agentūros bei finansinių paslaugų ir sveikatos priežiūros pramonės įmonės. SSD, kuris yra patvirtintas FIPS-140-2, naudoja griežtą saugos praktiką, įskaitant patvirtintus šifravimo algoritmus. Jame taip pat nurodoma, kaip asmenys ar kiti procesai turi būti įgalioti naudoti gaminį ir kaip moduliai ar komponentai turi būti sukurti taip, kad jie saugiai sąveikautų su kitomis sistemomis. Tiesą sakant, vienas iš FIPS-140-2 patvirtinto SSD disko reikalavimų yra tai, kad tai yra SED. Turėkite omenyje, kad nors TCG nėra vienintelis būdas gauti sertifikuotą šifruotą diską, TCG Opal ir Enterprise SSC specifikacijos yra žingsnis į FIPS patvirtinimą. 4. Kita esminė funkcija yra saugūs atsisiuntimai ir diagnostika. Ši programinės aparatinės įrangos funkcija apsaugo diską nuo programinės įrangos atakų per skaitmeninį parašą, kuris yra integruotas į programinę įrangą. Kai reikia atsisiųsti, skaitmeninis parašas apsaugo nuo neteisėtos prieigos prie disko ir neleidžia į diską įkelti suklastotą programinę-aparatinę įrangą.

„Hyperflex“ diegimas su SED

• 4.1 klausimas: kaip montuotojas tvarko SED diegimą? Ar yra kokių nors specialių patikrinimų?
  A 4.1: Diegimo programa palaiko ryšį su UCSM ir užtikrina, kad sistemos programinė įranga yra tinkama ir palaikoma aptiktai aparatūrai. Šifravimo suderinamumas tikrinamas ir vykdomas (pvz., nemaišoma SED ir ne SED).
• 4.2 klausimas: ar diegimas kitoks?
  A 4.2: Diegimas panašus į įprastą HX diegimą, tačiau pasirinktinė darbo eiga nepalaikoma SED. Šiai operacijai reikalingi ir SED UCSM kredencialai.
• 4.3 klausimas: kaip licencijavimas veikia su šifravimu? Ar turi būti kas nors papildomai?
  A 4.3: SED aparatinė įranga (užsakyta gamykloje, o ne modifikuota) + HXDP 2.5 + UCSM (3.1(3x)) yra vieninteliai dalykai, kurių reikia norint įgalinti šifravimą naudojant raktų valdymą. 2.5 versijoje nereikia jokių papildomų licencijų, išskyrus bazinę HXDP prenumeratą.
• 4.4 klausimas: Kas atsitiks, kai turiu SED sistemą, kurios diskai nebepasiekiami? Kaip galiu išplėsti šią grupę?
  A 4.4: Kai tik turime bet kurį tiekėjų PID, kurio eksploatavimo laikas baigiasi, turime pakaitinį PID, suderinamą su senuoju PID. Šis pakaitinis PID gali būti naudojamas RMA, išplėtimui mazge ir klasterio išplėtimui (su naujais mazgais). Visi metodai yra palaikomi, tačiau juos gali tekti atnaujinti į konkretų leidimą, kuris taip pat nurodytas pereinamojo laikotarpio laidos pastabose.

Raktų valdymas

• 5.1 klausimas: kas yra raktų valdymas?
  A 5.1: Raktų valdymas – tai užduotys, susijusios su šifravimo raktų apsauga, saugojimu, atsarginių kopijų kūrimu ir tvarkymu. HX tai įgyvendina į UCSM orientuotoje politikoje.
• 5.2 klausimas: koks mechanizmas palaiko rakto konfigūraciją?
  A 5.2: UCSM teikia saugos raktų konfigūravimo palaikymą.
• 5.3 klausimas. Kokio tipo raktų valdymas galimas?
  A 5.3: Palaikomas vietinis raktų valdymas, taip pat įmonės klasės nuotolinis raktų valdymas su trečiųjų šalių raktų valdymo serveriais.
• 5.4 klausimas: kas yra nuotolinio rakto valdymo partneriai?
  A 5.4: Šiuo metu palaikome „Vormetric“ ir „Gemalto“ („Safenet“) ir apima aukštą pasiekiamumą (HA). „HyTrust“ yra testuojamas.
• 5.5 klausimas: kaip įgyvendinamas nuotolinis raktų valdymas?
  A 5.5: Nuotolinis raktų valdymas tvarkomas per KMIP 1.1.
• 5.6 klausimas: kaip sukonfigūruojamas vietinis valdymas?
  A 5.6: Saugos raktą (KEK) HX Connect sukonfigūruoja tiesiogiai vartotojas.
• 5.7 klausimas: kaip sukonfigūruojamas nuotolinis valdymas?
  A 5.7: Nuotolinio rakto valdymo (KMIP) serverio adreso informaciją kartu su prisijungimo kredencialais HX Connect sukonfigūruoja vartotojas.
• 5.8 klausimas: kokia HX dalis palaiko ryšį su KMIP serveriu konfigūruojant?
  A 5.8: Kiekvieno mazgo CIMC naudoja šią informaciją, kad prisijungtų prie KMIP serverio ir iš jo gautų saugos raktą (KEK).
  
• 5.9 klausimas: Kokie sertifikatų tipai palaikomi raktų generavimo/gavimo/atnaujinimo procese?
  A 5.9: Palaikomi CA pasirašyti ir savarankiškai pasirašyti sertifikatai.
  
• 5.10 klausimas: kokios darbo eigos palaikomos naudojant šifravimo procesą?
  A 5.10: Apsaugoti / panaikinti naudojant pasirinktinį slaptažodį palaikoma kartu su vietinio rakto valdymo konvertavimu nuotoliniu būdu. Palaikomos raktų keitimo operacijos. Taip pat palaikoma saugaus disko ištrynimo operacija.
  

Vartotojo darbo eiga: vietinė

• 6.1 klausimas: „HX Connect“ kur galiu nustatyti vietinio rakto valdymą?
  A 6.1: Šifravimo prietaisų skydelyje pasirinkite konfigūravimo mygtuką ir vadovaukitės vedlio nurodymais.
• 6.2 klausimas: ką turiu turėti pasiruošęs, kad tai pradėčiau?
  A 6.2: Turėsite pateikti 32 simbolių saugos slaptafrazę.
• 6.3 klausimas: kas atsitiks, jei man reikės įterpti naują SED?
  A 6.3: UCSM turėsite redaguoti vietinę saugos politiką ir nustatyti įdiegtą raktą į esamą mazgo raktą.
• 6.4 klausimas: Kas atsitiks, kai įdėsiu naują diską?
  A 6.4: Jei saugos raktas diske sutampa su serverio (mazgo) saugos raktu, jis automatiškai atrakinamas. Jei saugos raktai skiriasi, diskas bus rodomas kaip „Užrakintas“. Galite išvalyti diską, kad ištrintumėte visus duomenis, arba atrakinti jį pateikdami teisingą raktą. Tai tinkamas laikas naudoti TAC.

Vartotojo darbo eiga: nuotolinis

• 7.1 klausimas: į ką reikia atkreipti dėmesį, kai konfigūruoju nuotolinį raktų valdymą?
  A 7.1: Ryšys tarp klasterio ir KMIP serverio (-ių) vyksta per CIMC kiekviename mazge. Tai reiškia, kad pagrindinio kompiuterio pavadinimas gali būti naudojamas KMIP serveriui tik tuo atveju, jei CIMC valdyme sukonfigūruotas Inband IP adresas ir DNS
• 7.2 klausimas: kas atsitiks, jei man reikės pakeisti arba įdėti naują SED?
  A 7.2: Klasteris nuskaitys identifikatorių iš disko ir bandys jį automatiškai atrakinti. Jei automatinis atrakinimas nepavyksta, diskas pasirodo kaip „užrakintas“ ir vartotojas turi jį atrakinti rankiniu būdu. Turėsite nukopijuoti sertifikatus į KMIP serverį (-ius), kad galėtumėte keistis kredencialais.
• 7.3 klausimas: kaip nukopijuoti sertifikatus iš klasterio į KMIP serverį (-ius)?
  A 7.3: Yra du būdai tai padaryti. Galite nukopijuoti sertifikatą iš BMC į KMIP serverį tiesiogiai arba galite naudoti CSR, kad gautumėte CA pasirašytą sertifikatą ir nukopijuokite CA pasirašytą sertifikatą į BMC naudodami UCSM komandas.
• 7.4 klausimas: į ką reikia atsižvelgti įtraukiant šifruotus mazgus į klasterį, kuris naudoja nuotolinį raktų valdymą?
  A 7.4: Pridedant naujus pagrindinius kompiuterius prie KMIP serverio (-ių), naudojamas pagrindinio kompiuterio pavadinimas turi būti serverio serijos numeris. Norėdami gauti KMIP serverio sertifikatą, galite naudoti naršyklę, kad gautumėte KMIP serverio (-ių) šakninį sertifikatą.

Vartotojo darbo eiga: Bendra

• 8.1 klausimas: kaip ištrinti diską?
  A 8.1: HX Connect prietaisų skydelyje pasirinkite sistemos informaciją view. Iš ten galite pasirinkti atskirus diskus saugiam ištrynimui.
• 8.2 klausimas: Ką daryti, jei netyčia ištryniau diską?
  A 8.2: Kai naudojamas saugus trynimas, duomenys sunaikinami visam laikui
• 8.3 klausimas: kas atsitiks, kai noriu nutraukti mazgo eksploataciją arba atsieti profesionalų paslaugąfile?
  A 8.3: Nė vienas iš šių veiksmų nepašalins disko / valdiklio šifravimo.
• 8.4 klausimas: kaip išjungiamas šifravimas?
  A 8.4: Vartotojas turi aiškiai išjungti šifravimą HX Connect. Jei vartotojas bando ištrinti UCSM saugos strategiją, kai susietas serveris buvo apsaugotas, UCSM parodys konfigūracijos gedimą ir neleis veiksmo. Pirmiausia reikia išjungti saugos politiką.

Vartotojo darbo eiga: Sertifikatų valdymas

• 9.1 klausimas: kaip nuotolinio valdymo sąrankos metu apdorojami sertifikatai?
  A 9.1: Sertifikatai sukuriami naudojant „HX Connect“ ir nuotolinį (-ius) KMIP serverį (-ius). Sukurti sertifikatai beveik niekada nebus ištrinti.
• 9.2 klausimas. Kokius sertifikatus galiu naudoti?
  A 9.2: Galite naudoti arba savarankiškai pasirašytus sertifikatus, arba CA sertifikatus. Turite pasirinkti sąrankos metu. CA pasirašytiems sertifikatams sugeneruosite sertifikatų pasirašymo užklausų (CSR) rinkinį. Pasirašyti sertifikatai įkeliami į KMIP serverį (-ius).
• 9.3 klausimas: kokį pagrindinio kompiuterio pavadinimą turėčiau naudoti kurdamas sertifikatus?
  A 9.3: Sertifikatui generuoti naudojamas pagrindinio kompiuterio pavadinimas turi būti serverio serijos numeris.

Programinės aparatinės įrangos naujiniai

• 10.1 klausimas: ar yra kokių nors disko programinės įrangos atnaujinimo apribojimų?
  A 10.1: Jei aptinkamas šifravimą palaikantis įrenginys, jokie disko programinės įrangos pakeitimai nebus leidžiami.
• 10.2 klausimas: Ar yra kokių nors UCSM programinės įrangos atnaujinimo apribojimų?
  A 10.2: UCSM/CIMC ankstesnės versijos 3.1 (3x) atnaujinimas yra apribotas, jei valdiklis yra apsaugotos būsenos.

Išsamios saugaus ištrynimo detalės

• 11.1 klausimas: kas yra saugus trynimas?
  A 11.1: Saugus trynimas – tai momentinis duomenų ištrynimas diske (disko šifravimo rakto išvalymas). Tai reiškia, kad į diską galima išsiųsti paprastą autentifikuotą komandą, kad būtų pakeistas diske saugomas 256 bitų šifravimo raktas. Taip užtikrinama, kad diskas bus švarus ir neliks jokių duomenų. Netgi pradinė prieglobos sistema negali nuskaityti duomenų, todėl jokia kita sistema jų neperskaitys. Operacija trunka tik kelias sekundes, o ne daug minučių ar net valandų, kurių reikia norint atlikti analogišką operaciją nešifruotame diske ir išvengiama brangios degazavimo įrangos ar paslaugų išlaidų.
• 11.2 klausimas: kaip atliekamas saugus trynimas?
  A 11.2: Tai GUI operacija, kuri atliekama po vieną diską.
• 11.3 klausimas: kada paprastai atliekamas saugus trynimas?
  A 11.3: Vartotojo inicijuotas saugus vieno disko ištrynimas yra reta operacija. Tai dažniausiai daroma, kai norite fiziškai išimti diską pakeisti, perkelti jį į kitą mazgą arba išvengti artimiausio gedimo.
• 11.4 klausimas: kokie yra saugaus ištrynimo apribojimai?
  A 11.4: Saugios trynimo operacijos gali būti atliekamos tik tuo atveju, jei grupė yra sveika, kad būtų užtikrinta, jog grupės atsparumas gedimams nebus paveiktas.
• 11.5 klausimas: kas atsitiks, jei reikia pašalinti visą mazgą?
  A 11.5: Yra mazgo pašalinimo ir mazgo keitimo darbo eigos, kurios palaiko saugų visų diskų ištrynimą. Daugiau informacijos rasite administratoriaus vadove arba kreipkitės į Cisco TAC.
• 11.6 klausimas: ar saugiai ištrintą diską galima naudoti pakartotinai?
  A 11.6: Saugiai ištrintą diską galima pakartotinai naudoti tik kitoje grupėje. Saugus SED ištrynimas atliekamas nuvalius disko šifravimo raktą (DEK). Disko duomenų negalima iššifruoti be DEK. Tai leidžia pakartotinai naudoti arba išjungti diską nepažeidžiant duomenų.
• 11.7 klausimas: kas atsitiks, jei diske, kurį noriu ištrinti, yra paskutinė pirminė grupės duomenų kopija?
  A 11.7: Kad būtų išvengta duomenų praradimo, diske esantys duomenys turi turėti kitų kopijų klasteryje. Tačiau, jei diske, kuris yra paskutinė pirminė kopija, reikalaujama saugaus ištrynimo, ši operacija bus atmesta, kol atsiras dar bent viena kopija. Rebalance turėtų sukurti šią kopiją fone.
• 11.8 klausimas: Man tikrai reikia saugiai ištrinti diską, bet klasteris nėra sveikas. Kaip aš galiu tai padaryti?
  A 11.8: Komandinė eilutė (STCLI / HXCLI) leis saugiai ištrinti, kai klasteris yra netinkamas ir diske nėra paskutinės pirminės kopijos, kitaip ji neleidžiama.
• 11.9 klausimas: Kaip galiu saugiai ištrinti visą mazgą?
  A 11.9: Tai retas scenarijus. Saugus visų mazgo diskų ištrynimas atliekamas, kai norima išimti mazgą iš klasterio. Tikslas yra arba dislokuoti mazgą kitoje grupėje, arba nutraukti mazgo eksploatavimą. Pagal šį scenarijų mazgo pašalinimą galime klasifikuoti dviem skirtingais būdais:
  1. Saugiai ištrinkite visus diskus neišjungdami šifravimo
  2. Saugus ištrinkite visus diskus ir išjunkite šio mazgo (ir diskų) šifravimą. Dėl pagalbos kreipkitės į Cisco TAC.

Saugus klasterio išplėtimas

• 12.1 klausimas: su kokiu mazgu galiu išplėsti šifruotą klasterį?
  A 12.1: Prie HX klasterio su SED galima pridėti tik SED palaikančius mazgus.
• 12.2 klausimas: kaip plėtojama vietinio rakto valdymas?
  A 12.2: Vietinio rakto išplėtimas yra sklandus veiksmas, kuriam nereikia išorinės konfigūracijos.
• 12.3 klausimas: kaip vyksta plėtra naudojant nuotolinį raktų valdymą?
  A 12.3: Nuotoliniam rakto išplėtimui reikalingas lockstep su sertifikatais / raktų valdymo infrastruktūra:
  • Norint saugiai pridėti naują mazgą, reikalingi sertifikatai
  • Diegiant bus rodomas įspėjimas su tolesniais veiksmais, įskaitant sertifikato atsisiuntimo nuorodą
  • Naudotojas atlieka veiksmus, kad įkeltų sertifikatą (-us) ir vėl bando diegti

Patvirtinamieji dokumentai

Mikronas:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• FIPS 140-2 patvirtintų šifravimo algoritmų sąrašas: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Projektas: CSC.nuova Produktas: ucs-blade-server Komponentas: ucsm

SED funkcinė specifikacija:

• EDCS: 1574090

SED CIMC specifikacija:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Pašto adresų sąrašai:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Dokumentai / Ištekliai

CISCO HyperFlex HX duomenų platforma [pdfInstrukcijos HyperFlex HX duomenų platforma, HyperFlex, HX duomenų platforma, duomenų platforma, platforma

Nuorodos

• Vartotojo vadovas