Administrator Guide
Fonctionnement de Secure Data
L'utilisation de Secure Data pour gérer les disques SED nécessite un serveur de gestion de clés externe. Si un serveur de gestion de clés
n'a pas été configuré ou n'est pas disponible, Storage Center autorise la gestion des disques SED. Cependant, il ne sécurisera pas les
disques SED tant que le serveur de gestion de clés n'est pas disponible et configuré.
REMARQUE : Créez une sauvegarde pour le serveur de gestion des clés avant de supprimer un disque SED et après la
gestion d'un disque SED.
Chaque disque FIPS du
Storage Center possède une clé de cryptage de support (Media Encryption Key, MEK) interne. La clé réside sur le
disque, ce qui permet le cryptage des données écrites et le décryptage des données lues sur le disque. La destruction de la clé rend
immédiatement et définitivement illisibles toutes les données du disque, processus nommé effacement crypté. Lorsque vous ajoutez un
disque SED ou en supprimez un d'un dossier Secure Data, la clé MEK est détruite et une nouvelle clé est générée. La création d'une
nouvelle clé permet de réutiliser le disque, bien que toutes les données existantes soient perdues.
AVERTISSEMENT : La gestion d’un disque SED FIPS et l'attribution de ce disque à un dossier Secure Data détruit la clé
de cryptage sur le disque, ce qui rend illisibles les données déjà écrites du disque.
À ne pas confondre avec la MEK, le Storage Center gère un ensemble distinct de clés assurant le cryptage des données au repos. Ces clés
sont dénommées informations d'identification d'autorité. Elles ont pour but de protéger contre le vol un certain nombre de disques. Si un
lecteur protégé d'un dossier Secure Data est retiré du système de sorte que l'alimentation soit coupée, le lecteur est verrouillé et les
données client sont illisibles.
AVERTISSEMENT : Storage Center ne sera pas en mesure de gérer un disque précédemment géré tel qu'un disque SED
si la clé a été supprimée du lecteur ou du serveur de gestion des clés.
L'authentification auprès du lecteur via les informations d'identification d'autorité est le seul moyen de déverrouiller le disque tout en
préservant les données client, qui peuvent être obtenues uniquement par authentification auprès du serveur de gestion de clés via un canal
sécurisé.
Utilisez l'opération Copier les volumes dans le dossier de disques pour copier des volumes à partir d'un dossier Secure Data vers un
autre dossier. Le dossier cible peut être un dossier sécurisé ou non.
Pour protéger les données au repos, tous les disques SED dans un dossier de disques Secure Data se verrouillent lorsque l'alimentation est
coupée (Verrouiller lors de la réinitialisation activé). Lorsque l'alimentation du disque est coupée, le disque ne peut pas être déverrouillé
sans informations d'identification.
Lors de la réplication d'un volume Secure Data vers un dossier autre que Secure Data, le volume n'est plus protégé lorsqu'il sort du dossier
Secure Data. Lors de la réplication d'un volume autre que Secure Data vers un dossier Secure Data, le volume n'est pas protégé tant qu'il
réplique des données vers le dossier Secure Data et que Data Progression s'exécute.
Configuration du serveur de clés
Avant de gérer les disques SED dans un dossier de données sécurisées, configurez les communications entre le Storage Center et le
serveur de gestion de clés.
Prérequis
Le Storage Center doit disposer de la licence de disques à auto-cryptage (SED).
Étapes
1. Si vous êtes connecté à un Data Collector, sélectionnez un Storage Center dans la liste déroulante du volet de navigation gauche
d’Unisphere Central.
2. Cliquez sur Récapitulatif.
L'onglet Récapitulatif s'affiche.
3. Cliquez sur (Paramètres).
La boîte de dialogue Paramètres de Storage Center s'ouvre.
4. Cliquez sur l'onglet Données sécurisées.
5. Dans le champ Nom de l'hôte, entrez le nom d'hôte ou l'adresse IP du serveur de gestion des clés.
6. Dans le champ Port, entrez le numéro d'un port pouvant communiquer avec le serveur de gestion de clés.
7. Dans le champ Délai d'attente, entrez le délai (en secondes) à l'issue duquel le Storage Center doit cesser ses tentatives de
reconnexion au serveur de gestion de clés après un incident.
8. Pour ajouter d'autres serveurs de gestion de clés, entrez le nom d'hôte ou l'adresse IP d'un autre serveur de gestion de clés dans la
zone Noms d'hôte de remplacement, puis cliquez sur Ajouter.
Maintenance d'un Storage Center
165