CISCO HyperFlex HX datu-plataforma

Produktuaren informazioa

• Produktuaren izena: HX Segurtasun Enkriptatzea
• Bertsioa: HXDP 5.01b
• Enkriptatzeko irtenbidea: Softwarean oinarritutako irtenbidea Intersight Key Manager erabiliz
• Zifratze mota: Auto-enkriptatutako unitateak (SED)
• Onartutako disko motak: Micron-en HDD eta SSD SEDak
• Betetze-arauak: FIPS 140-2 2. maila (unitateen fabrikatzaileak) eta FIPS 140-2 1. maila (plataforma)
• Kluster-enkriptatzea: HX-en enkriptatzea hardwarean inplementatzen da atsedenean dauden datuetarako SEDak erabiliz soilik
• Banakako VM enkriptatzea: Hirugarren softwareak kudeatzen ditu, hala nola Hytrust edo Vormetric-en bezero gardenak
• VMware Native VM enkriptatzea: HX-k onartzen du SED enkriptatzearekin erabiltzeko
• Gakoen kudeaketa: Media Encryption Key (MEK) eta Key Encryption Key (KEK) erabiltzen dira SED bakoitzeko
• Memoriaren erabilera: Enkriptazio-gakoak ez daude inoiz nodoen memorian
• Errendimenduaren eragina: Diskoen enkriptatzea/deszifratzea diskoaren hardwarean kudeatzen da, sistemaren errendimendu orokorra ez da kaltetzen
• SEDen abantaila gehigarriak:
  • Berehalako ezabaketa kriptografikoa diskoaren erretiroa eta birmoldaketa kostuak murrizteko
  • Datuen pribatutasunari buruzko gobernu edo industriako arauak betetzea
  • Diskoa lapurtzeko eta nodoen lapurreta izateko arriskua murrizten da, datuak irakurezin bilakatzen baitira hardwarea kendu ondoren

Produktuak erabiltzeko jarraibideak

HX Security Encryption erabiltzeko, jarraitu argibide hauek:

1. Ziurtatu zure sistemak hardwarean oinarritutako enkriptatzea onartzen duela edo softwarean oinarritutako irtenbidea nahiago duzula Intersight Key Manager erabiliz.
2. Jo ezazu administrazio-dokumentuetara edo liburu zurietara softwarean oinarritutako enkriptatzeari buruzko informazioa lortzeko.
3. SEDekin hardwarean oinarritutako enkriptatzea aukeratzen baduzu, ziurtatu zure HX klusterrak nodo uniformez (SED edo SED ez direnak) osatzen duela.
4. SEDetarako, ulertu bi gako erabiltzen ari direla: Media Encryption Key (MEK) eta Key Encryption Key (KEK).
5. MEK-k datuen enkriptatzea eta deszifratzea kontrolatzen du diskoan eta hardwarean babestuta eta kudeatzen da.
6. KEK-k MEK/DEK ziurtatzen du eta tokiko edo urruneko gako-denda batean mantentzen da.
7. Ez kezkatu gakoak nodoen memorian egoteagatik, enkriptazio-gakoak ez baitira bertan gordetzen.
8. Kontuan izan diskoaren enkriptatzea/deszifratzea unitatearen hardwarean kudeatzen dela, sistemaren errendimendu orokorrak eraginik ez duela ziurtatuz.
9. Betetzeko estandarrak betetzeko baldintza zehatzak badituzu, kontuan izan HX SED enkriptatutako unitateek unitateen fabrikatzaileen FIPS 140-2 maila 2 estandarrak betetzen dituztela, eta plataformako HX Encryption-ek FIPS 140-2 maila 1 estandarrak betetzen dituela.
10. VM indibidualak enkriptatu behar badituzu, kontuan hartu hirugarrenen softwarea erabiltzea, hala nola Hytrust edo Vormetric-en bezero gardena. Bestela, vSphere 3-en sartutako VMware-ren jatorrizko VM enkriptatzea erabil dezakezu.
11. Gogoan izan VM enkriptatzeko bezero bat HX SED-en oinarritutako enkriptatzeaz gain datuak enkriptatzea bikoitza izango dela.
12. Ziurtatu zure HX klusterra sare fidagarrien edo enkriptatutako tunelen bidez konektatuta dagoela erreplikazio segururako, HX erreplikazioa ez baita enkriptatuta.

HX Security Encryption FAQ

HXDP 5.01b-tik aurrera, HyperFlex-ek softwarean oinarritutako irtenbide bat eskaintzen du Intersight Key Manager erabiliz hardwarean oinarritutako enkriptatzea onartzen ez duten sistemetarako edo funtzionalitate hori hardware soluzioen gainetik nahi duten erabiltzaileentzat. Ohiko galdera honek HX enkriptatzeko SEDn oinarritutako hardware soluzioetan soilik oinarritzen da. Ikusi administrazio-dokumentuak edo liburu zuriak softwarean oinarritutako enkriptatzeari buruzko informazioa lortzeko.

Alborapen Adierazpena
Produktu honen dokumentazioa alborapenik gabeko hizkuntza erabiltzen ahalegintzen da. Dokumentazio-multzo honen ondorioetarako, alborapenik gabeko adinaren, ezintasunaren, generoaren, arraza-identitatearen, identitate etnikoaren, sexu-orientazioaren, egoera sozioekonomikoaren eta intersekzionalitatearen araberako bereizkeriarik suposatzen ez duen hizkuntza gisa definitzen da. Dokumentazioan salbuespenak egon daitezke produktuaren softwarearen erabiltzaile-interfazeetan gogor kodetuta dagoen hizkuntzagatik, estandarren dokumentazioan oinarritutako hizkuntzagatik edo erreferentziatutako hirugarrenen produktu batek erabiltzen duen hizkuntzagatik.

Zergatik Cisco for Security eta HX Encryption 

• 1.1.G.: Zein prozesu daude martxan garapen segururako?
  A 1.1: Cisco zerbitzariek Cisco Secure Development Lifecycle (CSDL) atxikitzen dute:
  • Cisco-k Cisco zerbitzarietan txertatutako segurtasuna garatzeko prozesuak, metodologiak eta esparruak eskaintzen ditu, ez gainjarri hutsa.
  • Cisco talde dedikatua mehatxuen modelaketa/analisi estatikorako UCS produktuen zorroan
  • Cisco Advanced Security Initiative Group (ASIG) sartze-proba proaktiboak egiten ditu mehatxuak nola sartzen diren ulertzeko eta arazoak konpontzeko, HW eta SW hobetuz, CDETS eta ingeniaritzaren bidez.
  • Cisco talde dedikatua irteerako ahultasuna probatzeko eta kudeatzeko eta bezeroei segurtasun aholkulari gisa komunikatzeko
  • Azpiko produktu guztiek Cisco produktuen segurtasun-estandarrak arautzen dituzten produktuen segurtasun-oinarrizko eskakizunak (PSB) betetzen dituzte
  • Ciscok ahultasun/protokoloen sendotasuna probak egiten ditu UCS bertsio guztietan
• 1.2.G.: Zergatik dira garrantzitsuak SEDak?
  A 1.2: SEDak datuen geldiunean enkriptatzeko erabiltzen dira eta erakunde federal, mediko eta finantzario askorentzat, ez bada guztientzat, betekizun bat dira.

Informazio orokorra amaituview

• 2.1.G.: Zer dira SEDak?
  A 2.1: SEDek (Self-Encrypting Drives) hardware berezia dute, sarrerako datuak enkriptatzeko eta irteerako datuak denbora errealean deszifratzen dituena.
• 2.2.G.: Zein da HX-n enkriptatzea?
  A 2.2: Une honetan HX-en enkriptatzea hardwarean inplementatuta dago geldirik dauden datuetarako, unitate enkriptatuak (SED) erabiliz soilik. HX enkriptatzea kluster osoan dago. Banakako VM enkriptatzea hirugarrenen softwareak kudeatzen du, hala nola Hytrust edo Vormetric-en bezero gardenak, eta HX arduren esparrutik kanpo dago. HX-k vSphere 3-en sartutako VMware-ren jatorrizko VM enkriptatzea ere onartzen du. HX SED oinarritutako enkriptatzeari buruzko VM enkriptatzeko bezero bat erabiltzeak datuen enkriptatzea bikoitza izango du. HX erreplikazioa ez dago enkriptatuta eta azken erabiltzaileak zabaldutako sare fidagarrietan edo enkriptatutako tuneletan oinarritzen da.
• 2.3.G.: Zein betetze-estandar betetzen dira HX enkriptatzearekin?
  A 2.3: HX SED enkriptatutako unitateek unitateen fabrikatzaileen FIPS 140-2 maila 2 estandarrak betetzen dituzte. Plataformako HX Encryption-ek FIPS 140-2 maila 1 estandarrak betetzen ditu.
• 2.4.G.: HDD eta SSD onartzen al ditugu enkriptatzeko?
  A 2.4: Bai Micron-en HDD eta SSD SEDak onartzen ditugu.
• 2.5.G.: HX kluster batek aldi berean izan ditzake enkriptatutako eta zifratu gabeko unitateak?
  A 2.5: Klustereko nodo guztiek uniformeak izan behar dute (SEDak edo SEDak ez direnak)
• 2.6.G.: Zein gako erabiltzen dira SED baterako eta nola erabiltzen dira?
  A 2.6: SED bakoitzeko bi gako erabiltzen dira. Media Encryption Key (MEK) Disk Encryption Key (DEK) ere deitzen zaio, datuak diskoan enkriptatzea eta deszifratzea kontrolatzen du eta hardwarean babestuta eta kudeatzen da. Key Encryption Key (KEK) DEK/MEK ziurtatzen du eta tokiko edo urruneko gako-biltegi batean mantentzen da.
• 2.7.G.: Inoiz al daude gakoak memorian?
  A 2.7: Enkriptazio-gakoak ez daude inoiz nodoen memorian
• 2.8.G.: Nola eragiten dio errendimenduari zifratze/deszifratze prozesuak?
  A 2.8: Diskoen enkriptatzea/deszifratzea diskoaren hardwarean kudeatzen da. Sistemaren errendimendu orokorra ez da eragiten eta ez dago sistemaren beste osagai batzuen xede diren erasoen menpe
• 2.9.G.: Enkriptatzeaz gain, zeintzuk dira SEDak erabiltzeko beste arrazoi batzuk?
  A 2.9: SEDek erretiroa eta birmoldaketa kostuak murriztu ditzakete berehalako ezabaketa kriptografikoaren bidez. Datuen pribatutasunari buruzko gobernu edo industriako arauak betetzeko ere balio dute. Beste abantail battage disko lapurreta eta nodoen lapurreta arriskua murrizten da, datuak, behin hardwarea ekosistematik kenduta, irakurezinak baitira.
• 2.10.G.: Zer gertatzen da SEDekin deduplicazioa eta konpresioarekin? Zer gertatzen da hirugarrenen softwarean oinarritutako enkriptatzearekin?
  A2.10: HX-n SEDekin desduplicazioa eta konpresioa mantentzen dira, atsedenean dauden datuak enkriptatzea idazketa-prozesuaren azken urrats gisa egiten baita. Desduplicazioa eta konpresioa egin dira dagoeneko. Hirugarrenen softwarean oinarritutako enkriptatze-produktuekin, VM-ek beren enkriptatzea kudeatzen dute eta enkriptatutako idazketak hipervisorera pasatzen dituzte eta, ondoren, HX-ra. Idazketa hauek dagoeneko zifratuta daudenez, ez dira desbikoiztu edo konprimitzen. HX Software-en Oinarritutako Enkriptatzea (3.x kode-lerroan) idazketa-optimizazioak (desduplicazioa eta konpresioa) gertatu ondoren pilan inplementatzen den software-enkriptatzeko irtenbide bat izango da, kasu horretan onura mantenduko baita.

Beheko irudia gainditzea daview HX-rekin SED ezartzearena.

Drive xehetasunak 

• 3.1 G: Nork fabrikatzen ditu HXn erabiltzen diren enkriptatutako unitateak?
  A 3.1: HX-k Micron-ek fabrikatutako unitateak erabiltzen ditu: Micron-en berariazko dokumentuak FAQ honetako laguntza-dokumentuen atalean estekatuta daude.
• 3.2.G.: FIPS bat ez datozen SEDrik onartzen al dugu?
  A 3.2: FIPSak ez diren unitate batzuk ere onartzen ditugu, baina SED (TCGE) onartzen dutenak.
• 3.3.G.: Zer da TCG?
  A 3.3: TCG Trusted Computing Group da, eta enkriptatutako datuak biltegiratzeko zehaztapen estandarrak sortu eta kudeatzen ditu
• 3.4.G.: Zer hartzen da enpresa mailako segurtasuna datu-zentrorako SAS SSDei dagokienez? Zer ezaugarri zehatz dituzte unitate hauek segurtasuna bermatzeko eta erasoetatik babesteko?
  A 3.4: Zerrenda honek HX-n erabiltzen diren SEDen enpresa-mailako ezaugarriak laburbiltzen ditu eta nola erlazionatzen diren TCG estandarrekin.
  1. Auto-enkriptatutako unitateek (SED) segurtasun handia eskaintzen dute zure SEDn dauden datuetarako, baimenik gabeko datuen sarbidea eragozten baitute. Trusted Computing Group-ek (TCG) auto-enkriptatutako unitateen ezaugarri eta abantailen zerrenda garatu du HDD nahiz SSDetarako. TCG-k TCG Enterprise SSC (Security Subsystem Class) deitzen den estandar bat eskaintzen du eta atsedenean dauden datuetara bideratzen da. Hau SED guztien eskakizuna da. Zehaztapenak enpresen biltegian funtzionatzen duten datuak biltegiratzeko gailu eta kontrolagailuei aplikatzen zaizkie. Zerrenda barne hartzen du:
     • Gardentasuna: Ez da beharrezkoa sistema edo aplikazio aldaketarik; Unitateak berak sortutako enkriptazio-gakoa, barneko benetako ausazko zenbaki-sorgailu bat erabiliz; diskoa beti enkriptatzen ari da.
     • Kudeatzeko erraztasuna: Ez dago enkriptazio-gakorik kudeatzeko; software saltzaileek interfaze estandarizatua baliatzen dute SEDak kudeatzeko, urruneko kudeaketa, abiarazte aurreko autentifikazioa eta pasahitza berreskuratzea barne.
     • Ezabatzeko edo berriro erabiltzeko kostua: SED batekin, ezabatu enkriptatze-gakoa
     • Berriro enkriptatzea: SED-ekin, ez dago datuak berriro enkriptatu beharrik
     • Errendimendua: SED errendimenduan degradaziorik ez; hardwarean oinarrituta
     • Normalizazioa: Diskoaren industria osoa TCG/SED zehaztapenekin eraikitzen ari da
     • Sinplifikatua: Ez dago interferentziarik gorako prozesuekin
  2. SSD SEDek diskoa kriptografikoki ezabatzeko gaitasuna da. Horrek esan nahi du unitatera autentifikatutako komando soil bat bidali daitekeela unitatean gordetako 256 biteko enkriptazio-gakoa aldatzeko. Honek diskoa garbitu egingo dela eta daturik geratzen ez dela ziurtatzen du. Jatorrizko ostalari-sistemak ere ezin ditu datuak irakurri, beraz, beste edozein sistemak ezin izango du irakurri. Eragiketak segundo pare bat besterik ez ditu behar, zifratu gabeko HDD batean eragiketa analogo bat egiteko behar diren minutu edo ordu askoren aldean, eta HDD desgaussatzeko ekipo edo zerbitzu garestien kostua saihesten du.
  3. FIPS (Federal Information Processing Standard) 140-2 AEBetako gobernuaren estandarra da, eta IT produktuek zentzuzko baina sailkatu gabeko erabilerarako bete behar dituzten enkriptatzea eta erlazionatutako segurtasun baldintzak deskribatzen ditu. Hau askotan finantza-zerbitzuetako eta osasun-sektoreetako gobernu-agentzientzat eta enpresentzat ere baldintza bat da. FIPS-140-2 balioztatuta dagoen SSD batek segurtasun-praktika sendoak erabiltzen ditu, onartutako enkriptazio algoritmoak barne. Gainera, produktua erabiltzeko pertsona edo beste prozesu batzuk nola baimendu behar diren zehazten du, eta moduluak edo osagaiak nola diseinatu behar diren beste sistema batzuekin modu seguruan elkarreragiteko. Izan ere, FIPS-140-2 baliozkotutako SSD unitate baten eskakizunetako bat SED bat izatea da. Kontuan izan TCG enkriptatutako disko bat lortzeko modu bakarra ez den arren, TCG Opal eta Enterprise SSC zehaztapenek FIPS baliozkotzeko urratsa ematen digutela. 4. Ezinbesteko beste ezaugarri bat Deskarga eta Diagnostiko Seguruak dira. Firmware-eginbide honek unitatea software-erasoetatik babesten du firmwarean dagoen sinadura digital baten bidez. Deskargak behar direnean, sinadura digitalak unitatean baimenik gabeko sarbidea eragozten du, firmware faltsuak unitatean kargatzea eragozten du.

Hyperflex instalatu SEDekin

• 4.1.G.: Nola kudeatzen du instalatzaileak SED inplementazioa? Ba al dago egiaztapen berezirik?
  A 4.1: Instalatzailea UCSMrekin komunikatzen da eta sistemaren firmwarea zuzena dela eta detektatutako hardwarerako onartzen dela ziurtatzen du. Enkriptatze-bateragarritasuna egiaztatu eta betearazten da (adibidez, SED eta SED ez den nahasketarik ez).
• 4.2.G.: Hedapena ezberdina al da bestela?
  A 4.2: Instalazioa HX instalazio arrunt baten antzekoa da, hala ere, lan-fluxu pertsonalizatua ez da SEDetarako onartzen. Eragiketa honek UCSM kredentzialak behar ditu SEDentzat ere.
• 4.3.G.: Nola funtzionatzen du lizentziak enkriptatzearekin? Ezer gehigarririk egon behar al dago?
  A 4.3: SED hardwarea (fabrikatik eskatuta, ez berritzea) + HXDP 2.5 + UCSM (3.1(3x)) dira gakoen kudeaketarekin enkriptatzea gaitzeko behar diren gauza bakarrak. 2.5 bertsioan ez dago oinarrizko HXDP harpidetzatik kanpo lizentzia gehigarririk behar.
• 4.4.G.: Zer gertatzen da jada erabilgarri ez dauden unitateak dituen SED sistema bat dudanean? Nola zabaldu dezaket kluster hau?
  A 4.4: Gure hornitzaileen bizitza amaitzen den PIDren bat daukagun bakoitzean, PID zaharrarekin bateragarria den ordezko PID bat dugu. Ordezko PID hau RMArako, nodo baten barruan hedatzeko eta klusterren hedapenerako (nodo berriekin) erabil daiteke. Metodo guztiak onartzen dira, hala ere, trantsizio-oharretan ere identifikatzen den bertsio zehatz batera eguneratzea eska dezakete.

Giltza Zuzendaritza

• 5.1.G.: Zer da gakoen kudeaketa?
  A 5.1: Gakoen kudeaketa enkriptatze-gakoak babestu, biltegiratu, babeskopiak egin eta antolatzeko zereginak dira. HX-k hau UCSM-en zentratutako politika batean ezartzen du.
• 5.2.G.: Zein mekanismok onartzen du gakoen konfiguraziorako?
  A 5.2: UCSM-k segurtasun-giltzak konfiguratzeko laguntza eskaintzen du.
• 5.3.G.: Zer motatako gakoen kudeaketa dago eskuragarri?
  A 5.3: Gakoen tokiko kudeaketa onartzen da, eta enpresa mailako urruneko gakoen kudeaketarekin batera, hirugarrenen gakoak kudeatzeko zerbitzariekin.
• 5.4.G.: Zeintzuk dira urruneko gakoak kudeatzeko bazkideak?
  A 5.4: Une honetan Vormetric eta Gemalto (Safenet) onartzen ditugu eta erabilgarritasun handia (HA) barne hartzen du. HyTrust proban dago.
• 5.5.G.: Nola ezartzen da urruneko gakoen kudeaketa?
  A 5.5: Urruneko gakoen kudeaketa KMIP 1.1 bidez kudeatzen da.
• 5.6.G.: Nola konfiguratzen da tokiko kudeaketa?
  A 5.6: Segurtasun-giltza (KEK) HX Connect-en konfiguratzen du, erabiltzaileak zuzenean.
• 5.7.G.: Nola konfiguratzen da urruneko kudeaketa?
  A 5.7: Urruneko gakoen kudeaketa (KMIP) zerbitzariaren helbidearen informazioa, saioa hasteko kredentzialekin batera, erabiltzaileak HX Connect-en konfiguratzen du.
• 5.8.G.: HXren zer zati komunikatzen da KMIP zerbitzariarekin konfiguratzeko?
  A 5.8: Nodo bakoitzeko CIMC-k informazio hori erabiltzen du KMIP zerbitzariarekin konektatzeko eta bertatik segurtasun-giltza (KEK) berreskuratzeko.
  
• 5.9.G.: Zein ziurtagiri mota onartzen dira gakoak sortzeko/berreskuratzeko/eguneratzeko prozesuan?
  A 5.9: CAk sinatutako eta autosinatutako ziurtagiriak onartzen dira.
  
• 5.10.G.: Zein lan-fluxu onartzen dira enkriptazio-prozesuarekin?
  A 5.10: Pasahitz pertsonalizatua erabiliz babestu/desprotekzioa onartzen da tokiko gakoen kudeaketa urruneko bihurketarekin batera. Berriro gakoen eragiketak onartzen dira. Diskoa ezabatzeko eragiketa segurua ere onartzen da.
  

Erabiltzailearen lan-fluxua: lokala

• 6.1.G.: HX Connect-en, non konfiguratzen dut tokiko gakoen kudeaketa?
  A 6.1: Enkriptatutako panelean hautatu konfiguratu botoia eta jarraitu morroia.
• 6.2.G.: Zer izan behar dut prest hau hasteko?
  A 6.2: 32 karaktereko segurtasun pasaesaldia eman beharko duzu.
• 6.3 G: Zer gertatzen da SED berri bat sartu behar badut?
  A 6.3: UCSMn tokiko segurtasun-politika editatu eta zabaldutako gakoa lehendik dagoen nodo-gakoarekin ezarri beharko duzu.
• Q 6.4: Zer gertatzen da disko berria sartzen dudanean?
  A 6.4: Diskoko segurtasun-giltza zerbitzariaren (nodoaren)arekin bat badator, automatikoki desblokeatuko da. Segurtasun-giltzak desberdinak badira, diskoa "Blokeatu" gisa agertuko da. Diskoa garbitu dezakezu datu guztiak ezabatzeko edo desblokeatu gako zuzena emanez. Une ona da TAC-ekin aritzeko.

Erabiltzailearen lan-fluxua: urrunekoa

• 7.1.G.: Zeintzuk dira urruneko gakoak kudeatzeko konfigurazioarekin konturatu behar ditudan gauza batzuk?
  A 7.1: Klusterren eta KMIP zerbitzariaren arteko komunikazioa CIMCren bidez gertatzen da nodo bakoitzean. Horrek esan nahi du ostalari-izena KMIP zerbitzarirako erabil daitekeela soilik banda barneko IP helbidea eta DNS CIMC kudeaketan konfiguratuta badaude.
• 7.2.G.: Zer gertatzen da SED berri bat ordezkatu edo sartu behar badut?
  A 7.2: Klusterrak diskoko identifikatzailea irakurriko du eta automatikoki desblokeatzen saiatuko da. Desblokeatze automatikoak huts egiten badu, diskoa "blokeatuta" agertuko da eta erabiltzaileak diskoa eskuz desblokeatu beharko du. Ziurtagiriak KMIP zerbitzarietan kopiatu beharko dituzu kredentzialak trukatzeko.
• 7.3.G.: Nola kopiatu ziurtagiriak klusterretik KMIP zerbitzarietara?
  A 7.3: Horretarako bi modu daude. Ziurtagiria BMCtik KMIP zerbitzarira kopiatu dezakezu zuzenean edo CSR erabil dezakezu CAk sinatutako ziurtagiria lortzeko eta CAk sinatutako ziurtagiria BMCra kopiatu UCSM komandoak erabiliz.
• 7.4.G.: Zer kontuan hartu behar dira urruneko gakoen kudeaketa erabiltzen duen kluster bati enkriptatutako nodoak gehitzeko?
  A 7.4: KMIP zerbitzariari ostalari berriak gehitzean, erabilitako ostalari-izena zerbitzariaren serie-zenbakia izan behar du. KMIP zerbitzariaren ziurtagiria lortzeko, arakatzaile bat erabil dezakezu KMIP zerbitzariaren erro ziurtagiria lortzeko.

Erabiltzaileen lan-fluxua: Orokorra

• G 8.1: Nola ezabatzen dut disko bat?
  A 8.1: HX Connect panelean, hautatu sistemaren informazioa view. Bertatik banakako diskoak hauta ditzakezu seguru ezabatzeko.
• 8.2.G.: Zer gertatzen da disko bat ustekabean ezabatuko badut?
  A 8.2: Ezabaketa segurua erabiltzen denean datuak behin betiko suntsitzen dira
• 8.3.G.: Zer gertatzen da nodo bat deskargatu nahi dudanean edo zerbitzu-profesional bat disoziatu nahi dudaneanfile?
  A 8.3: Ekintza hauetako batek ere ez du kenduko disko/kontrolagailuko enkriptatzea.
• 8.4.G.: Nola desgaitzen da enkriptatzea?
  A 8.4: Erabiltzaileak espresuki desgaitu behar du enkriptatzea HX Connect-en. Erabiltzailea UCSMn segurtasun-politika bat ezabatzen saiatzen bada, erlazionatutako zerbitzaria ziurtatuta dagoenean, UCSM-k konfigurazio-huts bat bistaratuko du eta ekintza ezeztatu egingo du. Lehenik eta behin, segurtasun-politika desgaitu behar da.

Erabiltzaileen lan-fluxua: ziurtagirien kudeaketa

• 9.1.G.: Nola kudeatzen dira ziurtagiriak urruneko kudeaketa konfiguratzean?
  A 9.1: Ziurtagiriak HX Connect eta urruneko KMIP zerbitzariak erabiliz sortzen dira. Sortutakoan ziurtagiriak ez dira ia inoiz ezabatuko.
• 9.2 G: Zer motatako ziurtagiriak erabil ditzaket?
  A 9.2: Norberak sinatutako ziurtagiriak edo CA ziurtagiriak erabil ditzakezu. Konfigurazioan aukeratu behar duzu. CA sinatutako ziurtagirietarako, Ziurtagiriak sinatzeko eskaera (CSR) multzo bat sortuko duzu. Sinatutako ziurtagiriak KMIP zerbitzarira kargatzen dira.
• 9.3.G.: Zein ostalari-izena erabili behar dut ziurtagiriak sortzerakoan?
  A 9.3: Ziurtagiria sortzeko erabilitako ostalari-izena zerbitzariaren serie zenbakia izan behar du.

Firmware eguneraketak

• 10.1.G.: Ba al dago diskoaren firmwarea eguneratzeko mugarik?
  A 10.1: Enkriptatzeko gai den unitate bat antzematen bada, ez da disko horren firmware aldaketarik onartuko.
• 10.2.G.: Ba al dago UCSM firmwarea eguneratzeko mugarik?
  A 10.2: UCSM/CIMC UCSM aurreko 3.1(3x) bertsiora jaistea mugatuta dago egoera seguruan dagoen kontroladore bat badago.

Ezabaketa seguruaren xehetasunak

• 11.1.G.: Zer da Secure Erase?
  A 11.1: Ezabaketa segurua diskoko datuak berehala ezabatzea da (ezabatu diskoa enkriptatzeko gakoa). Horrek esan nahi du unitatera autentifikatutako komando soil bat bidali daitekeela unitatean gordetako 256 biteko enkriptatze-gakoa aldatzeko. Honek diskoa garbitu egingo dela eta daturik geratzen ez dela ziurtatzen du. Jatorrizko ostalari-sistemak ere ezin ditu datuak irakurri, beraz, beste edozein sistemak ezin izango ditu irakurri. Eragiketak segundo pare bat besterik ez ditu behar, zifratu gabeko disko batean eragiketa analogo bat egiteko behar diren minutu edo ordu askoren aldean eta desmagnetizazio ekipo edo zerbitzu garestien kostua saihesten du.
• 11.2.G.: Nola egiten da ezabaketa segurua?
  A 11.2: Hau unitatean aldi berean egiten den GUI eragiketa da.
• 11.3.G.: Noiz egiten da normalean ezabaketa segurua?
  A 11.3: Erabiltzaileak abiarazitako disko bakarraren ezabaketa segurua eragiketa arraroa da. Diskoa fisikoki ordezkatzeko, beste nodo batera transferitu edo etorkizun hurbileko porrota saihestu nahi duzunean egiten da gehienbat.
• 11.4.G.: Zer murrizketa dago ezabatze seguruan?
  A 11.4: Ezabaketa segurua eragiketak klusterraren akatsen erresilientzian eraginik ez duela bermatzeko kluster osasuntsu badago soilik egin daitezke.
• 11.5.G.: Zer gertatzen da nodo oso bat kendu behar badut?
  A 11.5: Nodoak kentzeko eta nodoak ordezkatzeko lan-fluxuak daude unitate guztiak seguru ezabatzeko. Ikus administratzaileen gida xehetasunetarako edo kontsultatu Cisco TAC.
• 11.6.G.: Seguru ezabatutako diskoa berrerabili al daiteke?
  A 11.6: Segurtasunez ezabatu den diskoa beste kluster batean soilik berrerabili daiteke. SEDren ezabaketa segurua disko enkriptatzeko gakoa (DEK) ezabatuz egiten da. Diskoko datuak ezin dira desenkriptatu DEK gabe. Horri esker, diskoa berrerabili edo deskargatu dezakezu datuak inolako arriskurik gabe.
• 11.7.G.: Zer gertatzen da ezabatu nahi dudan diskoak clusterren datuen azken kopia nagusia badu?
  A 11.7: Diskoko datuek beste kopia batzuk izan behar dituzte klusterrean, datuak gal ez daitezen. Hala ere, azken kopia nagusia den disko batean ezabatze segurua eskatzen bada, eragiketa hau baztertuko da gutxienez kopia bat gehiago eskuragarri egon arte. Berrebalek kopia hau atzeko planoan egin beharko luke.
• 11.8 Q: Benetan segurtasunez ezabatu behar dut disko bat, baina klusterra ez dago osasuntsua. Nola egin dezaket?
  A 11.8: Komando-lerroak (STCLI/HXCLI) ezabaketa segurua ahalbidetuko du cluster-a osasuntsu ez dagoenean eta diskoak azken kopia nagusia ez duenean, bestela ez da onartzen.
• Q 11.9: Nola ezabatu dezaket nodo oso bat modu seguruan?
  A 11.9: Hau eszenatoki arraroa da. Nodo bateko disko guztien ezabaketa segurua egiten da nodoa klustertik atera nahi denean. Asmoa nodoa beste kluster batean zabaltzea edo nodoa kentzea da. Eszenatoki honetan nodoen kentzea bi modu ezberdinetan sailka dezakegu:
  1. Seguru ezabatu disko guztiak enkriptatzea desgaitu gabe
  2. Seguru ezabatu disko guztiak eta ondoren nodo horren (eta diskoak) enkriptatzea desgaitu. Mesedez, jarri harremanetan Cisco TAC-ekin laguntza eskatzeko.

Kluster baten hedapen segurua

• 12.1.G.: Zer nodo motarekin zabaldu dezaket enkriptatutako kluster bat?
  A 12.1: SED-erako gai diren nodoak soilik gehi daitezke SEDekin HX Cluster batean.
• 12.2.G.: Nola kudeatzen da tokiko gakoen kudeaketarekin hedapena?
  A 12.2: Tokiko gakoen hedapena etengabeko eragiketa bat da, kanpoko konfiguraziorik behar ez duena.
• 12.3.G.: Nola kudeatzen da urruneko gakoen kudeaketarekin hedapena?
  A 12.3: Urruneko gakoen hedapenak ziurtagiriak/gakoak kudeatzeko azpiegiturak blokeatzea eskatzen du:
  • Ziurtagiriak behar dira nodo berria modu seguruan gehitzeko
  • Inplementazioak abisu bat erakutsiko du aurrera egiteko urratsekin, ziurtagiria deskargatzeko esteka barne
  • Erabiltzaileak urratsak jarraitzen ditu ziurtagiriak kargatzeko eta, ondoren, berriro inplementatzen saiatzen da

Euskarri Agiriak

Mikra:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• FIPS 140-2rako onartutako kripto-algoritmoen zerrenda: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Proiektua: CSC.nuova Produktua: ucs-blade-server Osagaia: ucsm

SED zehaztapen funtzionalak:

• EDCS: 1574090

SED CIMC zehaztapena:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Posta-zerrendak:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Dokumentuak / Baliabideak

CISCO HyperFlex HX datu-plataforma [pdfArgibideak HyperFlex HX Datu Plataforma, HyperFlex, HX Datu Plataforma, Datu Plataforma, Plataforma

Erreferentziak

• Erabiltzailearen eskuliburua