メインコンテンツまでスキップ

セキュリティ キーを作成するときは、どのような点に注意する必要がありますか?

セキュリティ キーは、ストレージ アレイ内のコントローラとセキュリティ有効ドライブによって共有されます。セキュリティ有効ドライブがストレージ アレイから削除されると、セキュリティ キーによってデータが不正アクセスから保護されます。

セキュリティ キーは次のいずれかの方法で作成および管理できます。
  • コントローラの永続的メモリ上での内部キー管理
  • 外部キー管理サーバ上での外部キー管理

内部キー管理

内部キーは、コントローラーの永続メモリー上のアクセスできない場所に保持され、「隠され」ます。内部セキュリティ キーを作成する前に、以下を実行する必要があります。

  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

識別子とパス フレーズを定義して、内部セキュリティ キーを作成します。識別子は、セキュリティ キーに関連付けられる文字列で、コントローラとキーに関連付けられたすべてのドライブに格納されます。パス フレーズは、バックアップ用にセキュリティ キーを暗号化するために使用されます。作成したセキュリティ キーは、コントローラ上のアクセスできない場所に格納されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

外部キー管理

外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバに保持されます。外部セキュリティ キーを作成する前に、以下を実行する必要があります。
  1. ストレージ アレイにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。
  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。
  3. 署名付きのクライアント証明書ファイルを取得します。クライアント証明書によってストレージ・アレイのコントローラーが検証されるため、キー管理サーバーはその KMIP 要求を信頼できます。
    1. まず、クライアントの証明書署名要求 (CSR) を完成させてダウンロードします。「設定」 > 「証明書」 > 「キー管理」 > 「CSR の完成」に移動します。
    2. 次に、キー管理サーバーによって信頼されている CA から、署名済みクライアント証明書を要求します(また、ダウンロードされた CSR ファイルを使用し、キー管理サーバーからクライアント証明書を作成してダウンロードすることもできます)。
    3. クライアント証明書ファイルが作成されたら、ThinkSystem System Manager にアクセスするホストにそのファイルをコピーします。
  4. 証明書ファイルを鍵管理サーバーから取得し、そのファイルを ThinkSystem System Manager にアクセスしているホストにコピーします。鍵管理サーバー証明書によってキー管理サーバーが検証されるため、ストレージ・アレイはその IP アドレスを信頼できます。キー管理サーバーにはルート証明書、中間証明書、またはサーバー証明書を使用できます。

キー管理サーバのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスで、証明書ファイルもロードします。外部キーの作成が完了すると、入力したクレデンシャルを使用して、システムがキー管理サーバに接続されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。