配置基于硬件的加密

Lenovo 基于硬件的加密支持在写入数据时对数据进行 Full Disk Encryption（FDE）。如果固件上没有存储加密密钥，将无法读取数据。相应地，只有认证节点才能访问加密密钥。

了解 Lenovo 基于硬件的加密

节点会使用从外部密钥管理软件或 Onboard Key Manager 检索到的认证密钥向自加密驱动器进行自我认证：

您可以将 Lenovo 卷加密与基于硬件的加密一起使用，对自加密驱动器上的数据进行“双重加密”。

注

当前全闪存阵列和混合系统及其后续系统版本将核心转储存储在其引导设备上。在这些系统上启用自加密驱动器后，核心转储也会加密。

支持两种类型的自加密驱动器：

所有混合系统和全闪存阵列系统均支持经过 FIPS 认证的自加密 SAS 或 NVMe 驱动器。这些驱动器称为 FIPS 驱动器，符合美国联邦信息处理标准出版物 140-2 级别 2 的要求。经过认证的功能除了加密之外还支持保护，例如防止针对驱动器的拒绝服务攻击。FIPS 驱动器不能在同一节点或 HA 对中与其他类型的驱动器混合使用。
未经 FIPS 测试的自加密 NVMe 驱动器称为 SED，提供与 FIPS 驱动器相同的加密功能，但可在同一节点或 HA 对中与非 SED 混合使用。

尽管 Onboard Key Manager 成本较低且在通常情况下更易于使用，但在以下情况下您仍应设置 KMIP 服务器：

下表显示了重要的硬件加密支持详细信息。请参阅 Lenovo Storage Interoperation Center（LSIC），了解有关受支持的 KMIP 服务器、存储系统和磁盘架的最新信息。

资源或功能	支持详细信息
非同构磁盘组	FIPS 驱动器不能在同一节点或 HA 对中与其他类型的驱动器混用。符合要求的 HA 对可与不符合要求的 HA 对可在同一集群中共存。 SED 可在同一节点或 HA 对中与非 SED 混用。
驱动器类型	FIPS 驱动器可以是 SAS 或 NVMe 驱动器。 SED 必须是 NVMe 驱动器。
10 Gb 网络接口	KMIP 密钥管理配置可支持 10 Gb 网络接口，以便与外部密钥管理软件通信。
与密钥管理软件通信的端口	可使用任何存储控制器端口与密钥管理软件进行通信。某些网络接口在引导过程期间可能无法与密钥管理软件进行通信，具体取决于存储控制器的型号。
MetroCluster（MCC）	NVMe 驱动器支持 MCC。 SAS 驱动器不支持 MCC。

提供反馈