Administrator Guide
• 复制 - 必须同时在源和目标 DR Series 系统上启用加密,才能在这些系统上存储加密的数据。这表示源系统
上的已加密数据在复制到目标系统时不一定保持加密状态,除非在目标 DR Series 系统上明确地开启了加
密。
• 播种 - 必须同时在源和目标 DR Series 系统上启用加密,才能在这些系统上存储加密的数据。如果为播种配
置了加密,则数据将重新加密并存储。当数据流从种子设备导入目标系统时,将根据目标策略加密数据流
并存储。
• 密码短语和密钥管理的安全注意事项 -
– 对于 DR Series 系统上的加密过程而言,密码短语是非常重要的组成部分,因为密码短语用于对内容加
密密钥进行加密。如果密码短语泄露或丢失,管理员应该立即更改密码短语,以避免内容加密密钥被
破解。
– 在决定为 DR Series 系统选择何种密钥管理模式时,管理员应认真考虑安全要求。
– 内部模式比静态模式更安全,因为会定期更换密钥。密钥轮换周期最短可设置为 7 天。
– 在 DR Series 系统的生存期内可以随时更改密钥模式;但是,更改密钥模式是一项重大操作,因为所有
加密数据必须重新加密。
– 内容加密密钥以其加密形式存储在主要密钥库中,而该密钥库与数据存储在同一机柜内维护。出于冗
余目的,主要密钥库的备份副本存储在系统的根分区中,与数据存储分区分开。
了解加密过程
下面介绍了在 DR Series 系统中启用和使用静态加密的总体步骤。
1. 设置密码短语。
在出厂安装的 DR Series 系统(运行 3.2 版本或更高版本的软件)或从以前发布的版本升级到 3.2 版本的 DR
Series 系统上,默认已禁用加密。
作为配置加密的第一步,管理员必须设置一个密码短语。此密码短语用于对内容加密密钥进行加密,以便
为密钥管理增加第二层安全保护。
2. 启用加密并设置模式。
管理员应该使用 GUI 或 CLI 启用加密。此时也设置模式。默认密钥管理模式是“内部”模式,即按照设定
的密钥轮换周期,定期进行密钥轮换。
3. 加密过程。
启用加密后,对 DR Series 系统上备份的数据进行加密,并且加密状态保持到数据过期并被系统清理器清
除。请注意,加密过程是不可逆的。
4. 现存数据的加密。DR Series 系统上的所有现存数据也将使用当前设置的密钥管理模式进行加密。此加密
作为系统清理器进程的一部分进行。加密被计划为清理器工作流中的最后操作项。您必须使用维护命令手
动启动清理器以回收空间。然后清理器对所有现存的未加密数据进行加密。也可以按照现有预定义的清理
器计划对清理器进行计划。
注: 如果系统容量将满,清理器可能需要花费一些时间来启动加密过程。只有在清理器处理完预定清
理的数据及相关日志后,才会启动加密。这可以确保当可用空间不足时优先执行空间回收,另外还
可确保不会对数据存储进行多余的加密。
请参阅以下主题以了解有关在 GUI 中启用加密和使用系统清理器的更多信息。
•
管理加密操作
•
创建清理器计划
请参阅
Dell DR Series System Command Line Reference Guide
(Dell DR Series 系统命令行参考指南)以了解有关用
于加密的 CLI 命令的信息。
143