メインコンテンツまでスキップ

セキュリティ キーを作成するときは、どのような点に注意する必要がありますか?

セキュリティ キーは、ストレージ アレイ内のコントローラとセキュリティ有効ドライブによって共有されます。セキュリティ有効ドライブがストレージ アレイから削除されると、セキュリティ キーによってデータが不正アクセスから保護されます。

セキュリティ キーは次のいずれかの方法で作成および管理できます。
  • コントローラの永続的メモリ上での内部キー管理
  • 外部キー管理サーバ上での外部キー管理
内部セキュリティ キーを作成する前に、以下を実行する必要があります。
  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

識別子とパス フレーズを定義して、内部セキュリティ キーを作成します。識別子は、セキュリティ キーに関連付けられる文字列で、コントローラとキーに関連付けられたすべてのドライブに格納されます。パス フレーズは、バックアップ用にセキュリティ キーを暗号化するために使用されます。作成したセキュリティ キーは、コントローラ上のアクセスできない場所に格納されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

外部セキュリティ キーを作成する前に、以下を実行する必要があります。
  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。
  3. ストレージ アレイとキー管理サーバの間の認証用に、クライアントの証明書署名要求(CSR)を生成してダウンロードします。設定 > 証明書 > キー管理 > CSR の完成 に移動します。
  4. ダウンロードしたCSRファイルを使用して、キー管理サーバからクライアント証明書を作成してダウンロードします。
  5. クライアント証明書とキー管理サーバの証明書のコピーがローカル ホストにあることを確認します。

キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスで、証明書ファイルもロードします。外部キーの作成が完了すると、入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。