跳到主要内容

卷的数据完整性和数据安全

您可以启用卷以使用数据保证(DA)功能和驱动器安全功能。这些功能在 System Manager 中的池和卷组级别提供。

数据保证

数据保证(DA)功能提升了整个存储系统的数据完整性。使用 DA 功能,存储阵列能够检查当数据在主机和驱动器之间移动时可能发生的错误。启用此功能后,存储阵列会在卷中的每个数据块中附加错误检查代码(也称为循环冗余检查或 CRC)。移动数据块后,存储阵列使用这些 CRC 代码来确定传输期间是否发生了任何错误。可能损坏的数据不会写入磁盘。

如果要使用 DA 功能,请在创建新卷时选择支持 DA 功能的池或卷组(查找池和卷组的候选项表中 DA 旁边的)。

驱动器安全

驱动器安全这项功能用于防止未经授权访问已启用安全功能但已从存储阵列中移除的驱动器上的数据。此类驱动器可以是 Full Disk Encryption(FDE)驱动器,也可以是已经过认证,符合联邦信息处理标准(FIPS)140-2 级别 2 的驱动器(FIPS 驱动器)。

驱动器安全在驱动器级别的工作原理

支持安全功能的驱动器(FDE 或 FIPS)在写入期间加密数据,在读取期间解密数据。这种加密和解密不会影响性能或用户工作流程。每个驱动器都有自己的唯一加密密钥,切不可在驱动器之间转移。

驱动器安全在卷级别的工作原理

如果从支持安全功能的驱动器创建池或卷组时,也可以为这些池或卷组启用驱动器安全。驱动器安全选项可以保护驱动器和关联的卷组和池 — 已启用卷或卷组中可同时包含支持安全功能的驱动器和不支持安全功能的驱动器,但所有驱动器都必须支持安全功能,才能使用自己的加密功能。

如何实施驱动器安全

要实施驱动器安全,请执行以下步骤。

  1. 为存储阵列配备支持安全功能的驱动器,即 FDE 驱动器或 FIPS 驱动器。(对于需要 FIPS 支持的卷,请仅使用 FIPS 驱动器。在卷组或池中混用 FIPS 和 FDE 驱动器将导致所有驱动器被视为 FDE 驱动器。此外,不能在全 FIPS 卷组或池中添加 FDE 驱动器或将其用作备件。
  2. 创建安全密钥,这是控制器和驱动器共同用于读/写访问的一串字符。您可以从控制器的永久存储创建内部密钥,也可以从密钥管理服务器创建外部密钥。要进行外部密钥管理,必须建立使用密钥管理服务器执行的认证。
  3. 为池和卷组启用驱动器安全:
    • 创建池或卷组(查找“候选项”表中支持安全功能内中的)。
    • 创建新卷时选择池或卷组(查找池和卷组的“候选项”表中支持安全功能列旁边的)。

借助驱动器安全功能,您可以创建安全密钥,供存储阵列中已启用安全功能的驱动器和控制器共享。只要关闭驱动器电源再打开,已启用安全功能的驱动器的状态都将变为“安全锁定”,直到控制器应用安全密钥。