メインコンテンツまでスキップ

セキュリティ キー管理の仕組み

ドライブ セキュリティ機能を実装する場合、セキュリティ有効ドライブ(FIPSまたはFDE)には、データ アクセスのためにセキュリティ キーが必要です。セキュリティ キーは、ストレージ アレイ内のこれらのタイプのドライブおよびコントローラで共有される文字列です。

ドライブの電源をオフにしてオンにするたびに、コントローラによってセキュリティ キーが適用されるまでセキュリティ有効ドライブはセキュリティ ロック状態となります。セキュリティ有効ドライブをストレージ アレイから取り外すと、ドライブのデータはロックされます。そのドライブを別のストレージ アレイに取り付けた場合、データに再びアクセスするにはセキュリティ キーが必要になります。データのロックを解除するには、元のセキュリティ キーを適用する必要があります。

セキュリティ キーは次のいずれかの方法で作成および管理できます。

  • コントローラの永続的メモリ上での内部キー管理

  • 外部キー管理サーバ上での外部キー管理

内部キー管理

内部キーは、コントローラの永続的メモリに保持されます。内部キー管理を実装するには、次の手順を実行します。

  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

  3. 識別子とパス フレーズを定義して、内部セキュリティ キーを作成します。識別子は、セキュリティ キーに関連付けられる文字列で、コントローラとキーに関連付けられたすべてのドライブに格納されます。パス フレーズは、バックアップ用にセキュリティ キーを暗号化するために使用されます。内部キーを作成するには、

    「設定」 > 「システム」 > 「セキュリティー・キー管理」 > 「内部キーの作成」に移動します。

セキュリティ キーがコントローラ上のアクセスできない場所に格納されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

外部キー管理

外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。外部キー管理を実装するには、次の手順を実行します。

  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

  3. ストレージ アレイとキー管理サーバの間の認証用に、クライアントの証明書署名要求(CSR)を生成してダウンロードします。「

    「設定」 > 「証明書」 > 「キー管理」 > 「CSR の完成」に移動します。

  4. ダウンロードしたCSRファイルを使用して、キー管理サーバからクライアント証明書を作成してダウンロードします。

  5. クライアント証明書とキー管理サーバの証明書のコピーがローカル ホストにあることを確認します。

  6. キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスで、証明書ファイルもロードします。外部キーを作成するには、

    「設定」 > 「システム」 > 「セキュリティー・キー管理」 > 「外部キーの作成」に移動します。

入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。