加密概述

静态数据加密 (EDaR)

EDaR 是存储在内部驱动器或外部存储器上的静态数据的加密。 数据在写入存储器时自动加密，在从存储器读取数据时自动解密。 此功能可防止存储在废弃，丢失或被盗存储设备上的敏感用户数据和用户元数据的潜在泄露。 根据您的型号，系统支持使用支持加密的硬件和软件的数据加密。

要使用 EDaR ，必须在系统上许可并配置加密功能。

执行 EDaR 以 XTS 方式 (XTS-AES-256) 将对称高级加密标准 (AES) 算法与 256 位加密密钥配合使用，如 IEEE 1619-2007 标准和 NIST Special Publication 800-38E中所定义。 通过使用 NIST 的 AES 密钥打包 (使用中间 256 位打包密钥) 来保护数据加密密钥。 此中间密钥反过来受保护，使用 NIST 的 AES 密钥打包 (使用中间 256 位打包密钥)。 使用在系统上启用的任何密钥管理方法来管理访问密钥。 已打包的密钥安全地存储在非易失性存储器中的系统上，以便在系统启动时可以访问这些密钥。 在正常系统操作期间，所有解包密钥都安全地存储在易失性内存中，其内容在系统关闭或断电时被安全地丢弃。 系统上的所有数据加密密钥 (DEK) 和密钥加密密钥 (KEK) 都是 AES-256 位密钥，并且使用 AES 打包密钥操作来保护所有密钥。

系统支持的所有 NVMe 驱动器 (包括 IBM FlashCore 模块 (FCM) 和一系列其他第三方驱动器) 都是自加密驱动器 (SED) ，用于加密每个单独驱动器的电路中的数据，不会影响性能。 根据模型， IBM FlashCore 模块已通过 FIPS 140-2 级别 2 或 FIPS 140-3 级别 3 验证。 对于支持 FIPS 140-3 的驱动器，系统必须正在运行软件版本 8.6.2 或更高版本才能启用此功能。

当磁带机通过串行连接 SCSI (SAS) 网络连接时， SAS 协议芯片提供数据加密功能，不会影响性能。 SAS 芯片使用符合 FIPS 140-2 级别 1 的数据加密算法。

系统软件还可以对不支持内置加密的外部存储设备上的数据应用加密。 在此场景中，软件会将数据加密作业卸载到硬件中支持 AES-NI 的高级加密标准新指令 (AES-NI) 的 CPU 中，这将降低性能，这取决于您的配置。 该软件使用符合 FIPS 140-2 级别 1 的算法。

EDaR 始终在数据降维技术 (例如，压缩和去重) 之后应用。

动态数据加密 (EDiF)

EDiF 是要从一个位置传输到另一个位置的数据的加密。 在通过链路发送数据之前对其进行加密，并在另一端接收数据时对其进行解密。 此功能可防止诸如窃听和未经授权的代理攻击之类的威胁。 根据您的型号，系统支持使用支持加密的硬件和软件的数据加密。

要使用 EDiF ，加密功能必须获得许可，但无需在系统上配置加密。

对于通过以太网连接并在安全 Internet Protocol (IP) 伙伴关系中配置的两个系统之间复制的数据，系统支持 EDiF 。 例如，在生产系统和恢复系统之间创建受保护的 IP 伙伴关系时，数据在通过生产系统和恢复系统之间的网络时受到保护。 安全的 IP 伙伴关系使用 IPsec 和 IKEv2 的组合来保护动态数据。 IKEv2 是基于 IPsec 的隧道协议，它使用安全密钥交换算法来建立与合作伙伴系统的安全连接。 IPsec 是一套安全协议，有助于确保通过网络传输的数据包经过验证和加密。

在安全的 IP 伙伴关系中，合作伙伴系统相互认证，协商安全参数，交换加密密钥，并建立加密数据通过的安全网络隧道。 合作伙伴系统由系统的内部根 CA 或可信第三方根 CA 或中间 CA 颁发的证书进行认证。

系统不支持主机服务器与系统，系统和后端存储设备之间的 EDiF ，也不支持 FC 复制伙伴关系中配置的 FC 所连接的系统。

许可加密

要使用加密，必须为系统中的每台机器购买并激活加密功能部件许可证。 根据所使用的平台和型号，将机器定义为控制机柜或节点。 例如，由四个IBM Storage FlashSystem控制机柜组成的八节点系统需要四个功能许可证。 或者，由八个 IBM SAN Volume Controller 节点组成的八节点系统需要八个功能许可证。 仅在允许使用加密技术的国家或地区提供加密功能的许可证。 一旦激活了所有必需的功能部件许可证，就可以配置加密。 有关更多详细信息，请参阅 许可加密 。

关键管理方法

要在系统上配置加密，用户必须具有 SecurityAdmin 角色。 在系统上配置加密时，必须使用一种或多种密钥管理方法来管理系统的主密钥。

该系统还支持加密恢复密钥，可作为备份方法与任何其他密钥管理方法一起使用，以帮助确保在访问主密钥出现问题时加密数据可用。

对于具有有关 USB 闪存驱动器的严格安全策略的组织，系统支持禁用 USB 端口以防止系统数据未经授权地传输到便携式介质设备。 如果您有此类安全需求，请考虑改为使用密钥服务器来管理加密密钥。

可以同时配置 USB 闪存驱动器和密钥服务器，以帮助确保在其中一种方法无法访问或其中一种方法的密钥永久丢失时，仍能保留对加密数据的访问。

如果系统包含非加密池中的现有卷，那么可以在配置加密后将这些卷迁移到加密池。

使用加密

一旦配置了加密功能，系统就允许将逻辑配置对象创建为加密对象，这意味着系统将自动对为该对象存储的数据进行加密和解密。 系统支持将卷迁移到加密池.

根据您的配置，系统将自动应用正确的加密方法 (基于硬件或基于软件)。 由内部驱动器组成的加密阵列将始终使用基于硬件的加密，并且将仅使用属于阵列的加密密钥，即使该阵列是加密池的一部分也是如此。 由外部存储器组成的加密池将始终使用基于软件的加密，并且将仅使用属于该池的加密密钥。

解锁加密系统

当系统解锁并正常运行时，系统中的每个节点都会在安全易失性内存中保留主密钥的副本。 当节点重新启动时，内存中的密钥副本会被丢弃，并从伙伴节点获取另一个副本，而无需从其他地方获取主密钥。 如果系统中的所有节点同时丢失了主密钥的内存中副本 (在诸如完全系统关闭或意外断电之类的场景中) ，那么系统会尝试从其中一种已配置的密钥管理方法中检索主密钥。

如果配置了密钥服务器，那么将自动从联机且可供系统使用的任何密钥服务器中检索密钥。 如果配置了 USB 闪存驱动器，那么将从本地安装的任何 USB 闪存驱动器中自动检索密钥。 如果在系统需要主密钥时，这些方法都不可用。 系统被锁定，所有加密阵列、池和云账户都处于离线状态。

如果配置了加密恢复密钥，那么可以提供恢复密钥以解锁系统，从而使加密数据联机。