Administrator Guide
管理安全数据
安全数据为自加密驱动器 (SED) 提供静态数据加密和密钥管理。自加密驱动器功能必须获得许可才能使用安全数据。
安全数据工作原理
使用安全数据管理 SED 需要外部密钥管理服务器。如果密钥管理服务器尚未配置或不可用,Storage Center 将允许管理 SED;但是
不会保护 SED 的安全,直至密钥管理服务器可用且已配置,此时 SED 才会受到保护。
注: 在删除 SED 之前和管理 SED 之后,请创建密钥管理服务器的备份。
Storage Center 中的每个 FIPS 磁盘均具有一个内部介质加密密钥 (MEK)。该密钥驻留在磁盘上,为写入到该磁盘的数据提供加密并
为从该磁盘读出的数据进行解密。销毁该密钥将导致该磁盘上的所有数据立即并永久性无法读取,亦即被称为密码擦除的过程。当
您添加一个 SED 磁盘到安全数据文件夹或将其从该文件夹内释放时,该 MEK 即被销毁并且会生成一个新的密钥。此操作使该磁盘可
以被重新利用,尽管其上所有之前的数据都会因此而丢。
警告: 管理 FIPS SED 并将其分配至安全数据文件夹会破坏磁盘上的加密密钥,这将导致该磁盘上任何之前存储的数据变得无法
读取。
为了不与 MEK 混淆,Storage Center 管理一组单独密钥用于提供静态数据加密。这些密钥称为授权凭据。这些密钥的目的是防止盗
窃任何数量的驱动器。如果安全数据文件夹中的安全驱动器从系统中移除,以致断电,驱动器将锁定且客户数据将无法读取。
警告: 如果从驱动器或密钥管理服务器中删除了密钥,则 Storage Center 无法将先前受管的驱动器作为 SED 管理。
使用授权凭据验证驱动器是在保留客户数据时解锁驱动器的唯一方式,仅通过安全通道成功验证相关密钥管理服务器后才可获得此
数据。
使用将卷复制到磁盘文件夹操作,将卷从“安全数据”文件夹复制到另一个文件夹。目标文件夹可以是安全文件夹,也可以是非安
全文件夹。
为在静止状态下保护数据,安全数据磁盘文件夹中的所有 SED 在断电后会锁定(启用“重设时锁定”)。在驱动器断电后,不使用
授权凭据无法对驱动器解锁。
将安全数据卷复制到非安全数据文件夹时,该卷在离开安全数据文件夹后不再是安全的。同样,将非安全数据卷复制到安全数据文
件夹时,在将其复制到安全数据文件夹并运行 Data Progression 之前,该卷是不安全的。
配置密钥服务器
在安全数据文件夹中管理 SED 之前,先配置 Storage Center 和密钥管理服务器之间的通信。
前提条件
Storage Center 必须具有自加密驱动器许可证。
步骤
1. 如果您已连接到 Data Collector,请从 Unisphere Central 的左侧导航窗格中的下拉列表选择一个 Storage Center。
2. 单击
摘要。
此时会显示摘要视图。
3. 单击 (设置)。
此时,Storage Center 设置对话框会打开。
4. 单击安全数据选项卡。
5. 在主机名字段中,键入密钥管理服务器的主机名或 IP 地址。
6. 在端口字段中,键入密钥管理服务器开放式通信使用的端口的编号。
7. 在超时字段中,键入 Storage Center 在连接到密钥管理服务器失败后应停止尝试重新连接之前的时间(以秒为单位)。
8. 要添加备用密钥管理服务器,请在备用主机名区域中键入另一个密钥管理服务器的主机名或 IP 地址,然后单击添加。
注: 当系统中的所有驱动器已初步受管并完全受保护后,应将备用主机名添加到配置。为了确保在初始密钥创建过程中优化
访问时间,Storage Center 中的驱动器初步受管并完全受保护后才能添加备用主机名。
9. 如果密钥管理服务器需要使用用户名验证 Storage Center 证书,请在用户名字段中键入用户名。
10. 如果密钥管理服务器需要使用密码验证 Storage Center 证书,请在密码字段中键入密码。
11. 配置密钥管理服务器证书。
Storage Center 维护 139