キー管理サーバでドライブ セキュリティ機能を使用するには、外部キーを作成し、キー管理サーバとストレージ アレイのセキュリティ対応ドライブで共有する必要があります。
始める前に
アレイにセキュリティ対応ドライブが搭載されている必要があります。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
ストレージ アレイにFDEドライブとFIPSドライブの両方が搭載されている場合、すべてのドライブで同じセキュリティ キーが共有されます。
ドライブ セキュリティ機能を有効にする必要があります。それ以外の場合、
このタスクの実行中に「セキュリティー・キーを作成できません」ダイアログ・ボックスが開きます。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。ストレージ アレイとキー管理サーバが相互に認証できるよう、クライアント証明書とサーバ証明書をローカル ホストに用意します。クライアント証明書はコントローラを、サーバ証明書はキー管理サーバを証明します。
このタスクについて
このタスクでは、キー管理サーバのIPアドレスと使用するポート番号を定義し、外部キー管理に使用する証明書をロードします。
- の順に選択します。
- [セキュリティ キー管理]で[外部キーの作成]を選択します。
現在内部キー管理が設定されている場合は、外部キー管理に切り替えるかどうかの確認を求めるダイアログ ボックスが表示されます。
[外部セキュリティ キーの作成]ダイアログ ボックスが開きます。
- [キー サーバへの接続]で、次のフィールドに情報を入力します。
- キー管理サーバのアドレス – キー管理に使用するサーバの完全修飾ドメイン名またはIPアドレス(IPv4またはIPv6)を入力します。
- キー管理ポート番号 – Key Management Interoperability Protocol(KMIP)の通信に使用するポート番号を入力します。キー管理サーバの通信に使用される最も一般的なポート番号は5696です。
- クライアント証明書を選択 – 1つ目の[参照]ボタンをクリックして、ストレージ アレイのコントローラの証明書ファイルを選択します。
- キー管理サーバのサーバ証明書を選択 – 2つ目の[参照]ボタンをクリックして、キー管理サーバの証明書ファイルを選択します。
- [次へ]をクリックします。
- [キーの作成 / バックアップ]で、次のフィールドに情報を入力します。
- パス フレーズを定義/パス フレーズを再入力 – パス フレーズを入力し、確認のためにもう一度入力します。8~32文字で指定し、以下の文字をそれぞれ1文字以上含める必要があります。
この値はあとで使用するため必ずメモしておいてください。セキュリティ有効ドライブをストレージ アレイから移動する必要がある場合、ドライブ データのロックを解除するためにパス フレーズが必要になります。
- [終了]をクリックします。
入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。その後、セキュリティ キーのコピーがローカル システムに格納されます。
ダウンロード ファイルのパスは、ブラウザのデフォルトのダウンロード先に応じて異なる場合があります。
- パス フレーズとダウンロードしたキー ファイルの場所をメモし、[閉じる]をクリックします。
次のメッセージと外部キー管理に関連したリンクが表示されます。
Current key management method: External
- [通信のテスト]を選択して、ストレージ アレイとキー管理サーバの間の接続をテストします。
テスト結果がダイアログ ボックスに表示されます。
次の処理
外部キー管理を有効にすると、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。
ドライブの電源をオフにしてオンにするたびに、すべてのセキュリティ有効ドライブがセキュリティ ロック状態になります。この状態のドライブのデータには、ドライブの初期化時に作成した正しいセキュリティ キーがコントローラによって適用されないかぎりアクセスできません。第三者がロックされたドライブを物理的に取り外して別のシステムに取り付けた場合でも、データへの不正アクセスを防止することができます。