セキュリティ キー管理の仕組み
ドライブ セキュリティ機能を実装する場合、セキュリティ有効ドライブ(FIPSまたはFDE)には、データ アクセスのためにセキュリティ キーが必要です。セキュリティ キーは、ストレージ アレイ内のこれらのタイプのドライブおよびコントローラで共有される文字列です。
ドライブの電源をオフにしてオンにするたびに、コントローラによってセキュリティ キーが適用されるまでセキュリティ有効ドライブはセキュリティ ロック状態となります。セキュリティ有効ドライブをストレージ アレイから取り外すと、ドライブのデータはロックされます。そのドライブを別のストレージ アレイに取り付けた場合、データに再びアクセスするにはセキュリティ キーが必要になります。データのロックを解除するには、元のセキュリティ キーを適用する必要があります。
コントローラの永続的メモリ上での内部キー管理
外部キー管理サーバ上での外部キー管理
内部キー管理
ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。
識別子とパス フレーズを定義して、内部セキュリティ キーを作成します。識別子は、セキュリティ キーに関連付けられる文字列で、コントローラとキーに関連付けられたすべてのドライブに格納されます。パス フレーズは、バックアップ用にセキュリティ キーを暗号化するために使用されます。内部キーを作成するには、
に移動します。
セキュリティー・キーは、アクセスできない隠れた場所にあるコントローラーに格納されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。
外部キー管理
- ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
- ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。
- 署名付きのクライアント証明書ファイルを取得します。クライアント証明書によってストレージ・アレイのコントローラーが検証されるため、したがってキー管理サーバーはの KMIP 要求を信頼できます。
- まず、クライアントの証明書署名要求 (CSR) を完成させてダウンロードします。に移動します。
- 次に、キー管理サーバーによって信頼されている CA から、署名済みクライアント証明書を要求します(また、CSR ファイルを使用して、キー管理サーバーからクライアント証明書を作成してダウンロードすることもできます)。
- クライアント証明書ファイルが作成されたら、System Manager にアクセスするホストにそのファイルをコピーします。
- 証明書ファイルを鍵管理サーバーから取得し、そのファイルを System Manager にアクセスしているホストにコピーします。キー管理サーバ証明書は、ストレージ アレイがサーバのIPアドレスを信頼できるよう、キー管理サーバを検証します。キー管理サーバーにはルート証明書、中間証明書、またはサーバー証明書を使用できます。
- キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスで、証明書ファイルもロードします。外部キーを作成するには、に移動します。
入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。