跳到主要内容

管理 Lenovo 加密

ONTAP 提供一套丰富的加密管理服务。您可以恢复认证密钥、更换 SSL 证书、认证密钥不再可用时恢复 SED 的服务等等。

  • 解密卷数据
    可以使用 volume move start 命令移动和解密卷数据。
  • 移动加密卷
    您可以使用 volume move start 命令移动已加密的卷。移动后的卷可位于同一聚合或其他聚合中。
  • 委派授权运行 volume move 命令
    可以使用 volume move 命令加密现有卷、移动加密卷或将卷解密。集群管理员可以亲自运行 volume move 命令,或委派授权,由 SVM 管理员运行命令。
  • 利用 volume encryption rekey start 命令更改卷的加密密钥
    定期更改卷的加密密钥是最佳安全实践。您可以使用 volume encryption rekey start 命令更改加密密钥。
  • 利用 volume move start 命令更改卷的加密密钥
    定期更改卷的加密密钥是最佳安全实践。您可以使用 volume move start 命令更改加密密钥。移动后的卷可位于同一聚合或其他聚合中。
  • 轮换 Lenovo 存储加密的认证密钥
    使用 Lenovo 存储加密(LSE)时,可以轮换认证密钥。
  • 删除加密卷
    可以使用 volume delete 命令删除已加密的卷。
  • 安全擦除加密卷上的数据
    从 ONTAP 9.4 开始,您可以使用 secure purge 来无中断地擦除启用了 LVE 的卷上的数据。擦除加密卷上的数据可防止数据从物理介质中恢复,例如,在“溢出”的情况下(覆盖块时可能留下了数据痕迹)或者为了安全地删除已迁走租户的数据。
  • 更改板载密钥管理密码短语
    定期更改板载密钥管理密码短语是最佳安全实践。应将新的板载密钥管理密码短语拷贝到存储系统外部的安全位置,供将来使用。
  • 手动备份板载密钥管理信息
    每次配置 Onboard Key Manager 密码短语时,均应将板载密钥管理信息拷贝到存储系统外部的安全位置。
  • 还原板载密钥管理加密密钥
    您有时可能需要还原板载密钥管理加密密钥。确认需要还原密钥后,可以运行 Onboard Key Manager 设置向导来进行还原。
  • 还原外部密钥管理加密密钥
    您可以手动还原外部密钥管理加密密钥,并将它们推送给另一节点。如果要将新节点添加到集群中,或要重新启动在为集群创建密钥时临时关闭的某一节点,可能需要执行此操作。
  • 更换 SSL 证书
    所有 SSL 证书都有到期日期。您必须在证书到期之前更新证书,以防失去对认证密钥的访问权限。
  • 更换 FIPS 驱动器或 SED
    更换 FIPS 驱动器或 SED 的方式与更换普通磁盘相同。确保将新的数据认证密钥分配给替换驱动器。对于 FIPS 驱动器,可能还需要分配新的 FIPS 140-2 认证密钥。
  • 使 FIPS 驱动器或 SED 中的数据不可访问
    要使 FIPS 驱动器或 SED 中的数据永久不可访问,但使驱动器中未使用的空间仍可用于存储新数据,您可以清理磁盘。如果您希望使数据永久不可访问,而且不再需要再次使用驱动器,可以销毁驱动器。
  • 在丢失认证密钥后使 FIPS 驱动器或 SED 恢复服务
    如果 FIPS 驱动器或 SED 的认证密钥已永久丢失且无法再从 KMIP 服务器找回,系统会认为该 FIPS 驱动器或 SED 已损坏。虽然无法访问或恢复磁盘中的数据,但可以通过一些步骤使 SED 上未使用的空间恢复可用状态,以便存储数据。
  • 将 FIPS 驱动器或 SED 恢复为不受保护的模式
    仅当节点的认证密钥标识设置为默认值以外的值时,才能保护 FIPS 驱动器或 SED 免受未经授权的访问。您可以使用 storage encryption disk modify 命令将密钥标识设为默认值,将 FIPS 驱动器或 SED 恢复为不受保护的模式。
  • 删除外部密钥管理器连接
    当您不再需要 KMIP 服务器时,可以断开服务器与节点之间的连接。例如,如果要转换为卷加密,可以断开 KMIP 服务器的连接。
  • 修改外部密钥管理软件属性
    从 ONTAP 9.6 开始,可使用 security key-manager external modify-server 命令更改外部密钥管理软件的 I/O 超时和用户名。
  • 从板载密钥管理转换为外部密钥管理
    如果您希望从板载密钥管理切换为外部密钥管理,必须首先删除板载密钥管理配置,然后才能启用外部密钥管理。
  • 从外部密钥管理转换为板载密钥管理
    如果您希望从外部密钥管理切换为板载密钥管理,您必须首先删除外部密钥管理配置,然后才能启用板载密钥管理。
  • 如果在引导过程中无法访问密钥管理软件,将发生什么情况
    如果配置了 LSE 的存储系统在引导过程中无法访问任何特定的密钥管理软件,ONTAP 将采取某些预防措施以避免不应发生的行为。
  • 使用 ONTAP 9.7 及更高版本时,默认会禁用加密
    从 ONTAP 9.7 开始,如果您具有卷加密(VE)许可证并使用板载或外部密钥管理器,默认会启用聚合和卷加密。可根据需要默认禁用加密。