加密规划

要在系统上使用加密,您必须购买加密许可证,上载证书,在系统上激活许可证,设置密钥管理方法并创建密钥副本。 如果您使用安全的IP合作伙伴关系来确保合作系统之间的连接安全,那么您还需要一个加密许可证。 如果您尚未购买许可证,请联系客户代表购买加密许可证。

要加密驱动器上存储的数据,连接这些驱动器的控制机柜必须包含有效许可证并配置为使用加密。 对于也支持自加密硬盘的系统,获得许可证以保护对这些硬盘的访问也会使硬盘受益。 如果在系统上激活和启用加密,那么在系统解锁驱动器或用户生成新密钥时,系统上必须存在有效的加密密钥。 如果系统启用了密钥服务器加密,则从密钥服务器检索密钥。 如果系统启用了 USB 加密,则加密密钥必须存储在 USB 闪存驱动器上,其中包含启用加密时生成的密钥副本。

如果使用加密来保护复制到云存储器的数据,云帐户将始终与系统加密设置同步。 如果同时配置了 USB 闪存驱动器 和密钥服务器,那么创建的云帐户将同时支持这两种方法。 如果只配置了一种加密方法而禁用了另一种,那么云帐户将使用剩余的已配置加密方法支持加密。 为确保云帐户支持加密,在创建云帐户时,必须为两种方法或其中的一种方法配置活动密钥。

如果使用一种加密方法创建了云帐户,您可以在稍后配置第二种方法,但进行配置时该云帐户必须为联机状态。 配置第二种方法后,该云帐户将同时支持两种密钥提供程序。

如果使用安全 IP 合作关系来确保合作系统间连接的安全,则还需要加密许可证。 如果未购买许可证,请联系客户代表以购买加密许可证。

在激活和启用加密之前,必须确定在系统要求提供加密密钥期间访问密钥信息的方法。 在以下操作期间,系统会要求提供加密密钥:
  • 打开系统电源
  • 系统重新启动
  • 用户启动再加密操作
  • 系统恢复
进行加密规划时,必须考虑以下几个因素。
  • 系统的物理安全性
  • USB 端口和便携媒体的其他安全性需求。 如果您的环境要求禁用 USB 端口,请使用密钥服务器来管理加密密钥。
  • 系统要求时手动访问加密密钥的需求和优势
  • 密钥数据的可用性
  • 购买加密许可证,并在系统上进行激活和启用
  • 如果要使用 IBM® Security Guardium® Key Lifecycle Manager 来创建和管理密钥,请确保您正在使用 V 2.7.0 或更高版本。 如果使用的是 V2.7,那么系统将支持一个主密钥服务器和多个辅助密钥服务器。 但是,复制是手动过程,在再加密操作期间,密钥不可用,直至复制完成。 如果使用 V3.0 或更高版本,那么系统将支持多个主密钥服务器,这些服务器会自动将密钥复制到所有已配置的密钥服务器。
  • 如果您要使用 Gemalto SafeNet KeySecure 密钥服务器来创建和管理密钥,那么请确定系统是否需要用户名和密码向 KeySecure 密钥服务器进行认证。 如果计划使用用户名和密码向这些密钥服务器认证系统,那么必须在密钥服务器管理界面中配置用于认证的用户凭证。 对于 V8.10 和更高版本的 KeySecure,管理员可以配置用户名和密码,以在连接时对系统进行认证。 在 KeySecure V8.10 之前,密码是可选的。
  • 如果您要使用 Thales CipherTrust Manager 密钥服务器来创建和管理密钥,请确定系统是否需要用户名和密码来向 CipherTrust Manager 密钥服务器进行认证。 如果计划使用用户名和密码来向这些密钥服务器认证系统,那么必须在密钥服务器管理界面中配置用于认证的用户凭证。 配置后,可以从界面中选择您的用户名。 有关迁移密钥服务器的更多信息,请参阅从 Gemalto SafeNet KeySecure 迁移到 Thales CipherTrust Manager 密钥服务器

密钥服务器加密

密钥服务器提供理想的实用功能,例如,负责加密密钥生成和备份以及遵循有助于实现互操作性的开放式标准。 计划密钥服务器加密时,务必考虑以下各项。

SSL 证书
  • IBM Storage Virtualize 和密钥服务器使用 SSL 证书相互验证并创建安全连接。
  • 系统支持由内部根认证中心和可信的第三方 CA 签署的证书。
  • 要建立安全连接,必须在 IBM Storage Virtualize 和密钥服务器上安装正确的证书及其证书颁发机构证书。
  • 如果证书更新或过期,IBM Storage Virtualize 和密钥服务器之间的连接将中断。 通过允许在不中断连接的情况下更新端点证书,安装认证中心证书可防止此中断。
  • IBM Security Guardium Key Lifecycle Manager密钥服务器目前不支持使用 IBM Storage Virtualize 进行信任链检查。 必须将生成的新系统证书导出到密钥服务器以重新建立安全连接。
  • 如果要将多因子认证与 IBM Security Verify配合使用,那么更新证书时,管理 GUI 不可用。 必须使用 CLI 导出生成的新证书,并将其作为新签署者证书添加到 IBM Security Verify 以成功认证。
虽然 Thales CipherTrust Manager 和 Gemalto KeySecure 密钥服务器都支持相同类型的配置,但您需要确保先在这些密钥服务器上完成先决条件,然后才能在系统上启用加密。 要配置 Thales CipherTrust Manager 密钥服务器,请在启用加密之前完成以下任务:
  1. 应该将选择用于 Thales CipherTrust Manager 中 KMIP 界面的服务器证书下载到本地机器,准备好上载到系统。
  2. 缺省情况下, Thales CipherTrust Manager 配置为需要 Storage Virtualize 证书的 "公共名称" 字段中的用户名。 生成新证书或新证书请求时,必须添加此用户名。 您还必须在 Thales CipherTrust Manager 中创建同名用户。 此用户拥有系统的加密密钥,必须将其添加到 Thales CipherTrust Manager 中的 "密钥用户" 组。
  3. Thales CipherTrust Manager 密钥服务器必须信任 Storage Virtualize 证书。 Thales CipherTrust Manager 不支持自签名证书。 因此, Storage Virtualize 证书必须由认证中心 (CA) 签署。 如果使用系统的根认证中心 (CA) 对证书进行签名,那么必须将系统的根证书作为外部 CA 安装在 Thales CipherTrust Manager 中,并将其添加到可用于 KMIP 的 CA 列表中。 或者,系统证书可以由可信第三方 CA 签署。 第三方根证书必须作为外部 CA 安装在 Thales CipherTrust Manager 中,并添加到可用于 KMIP 的 CA 列表中。 有关详细信息,请参阅 用于加密密钥服务器的证书.
  4. 如果当前通过 USB 闪存驱动器启用了加密,那么必须先将至少一个 USB 闪存驱动器插入系统中,之后才可以配置密钥服务器以管理密钥。
对于 SafeNet KeySecure 密钥服务器,确保在启用加密前完成以下任务:
  1. 必须将每个密钥服务器配置为允许 TLS 1.2 进行安全通信。
  2. 确保在系统上安装来自每台 KeySecure 密钥服务器的有效 SSL 证书并正在使用该证书。 为每个 KeySecure 密钥服务器添加服务器证书,或者添加用于签署每个服务器证书的根 CA 证书。
  3. 如果计划使用用户名和密码向这些密钥服务器认证系统,那么必须在密钥服务器管理界面中配置用于认证的用户凭证。 对于 V8.10 和更高版本的 KeySecure,管理员可以配置用户名和密码,以在连接时对系统进行认证。 在 KeySecure V8.10 之前,密码是可选的。 要在系统和 KeySecure 密钥服务器之间设置使用用户名和密码的认证,请在 SafeNet KeySecure 界面中的高安全性菜单上禁用全局密钥。 禁用全局密钥时,密钥服务器不能在没有有效凭证的情况下认证客户机以创建或访问密钥。
  4. Storage Virtualize 证书必须由 SafeNet KeySecure 密钥服务器信任。 如果系统的根 CA 用于签署证书,那么系统的根证书必须作为外部 CA 安装在 SafeNet KeySecure 中,并添加到可用于 KMIP 的 CA 列表中。 或者,系统证书可以由可信第三方 CA 签署。 第三方根证书必须作为外部 CA 安装在 SafeNet KeySecure 中,并添加到可用于 KMIP 的 CA 列表中。 如果 Storage Virtualize 证书是自签名证书,那么必须将自签名证书作为外部 CA 安装在 SafeNet KeySecure 中,并将其添加到可用于 KMIP 的 CA 列表中。 建议不要使用自签名证书,因为 Storage Virtualize 与密钥服务器之间的连接在证书更新时中断,直到将新证书添加到密钥服务器为止。
  5. 如果当前通过 USB 闪存驱动器启用了加密,那么必须先将至少一个 USB 闪存驱动器插入系统中,之后才可以配置密钥服务器以管理密钥。
注: 有关支持的通用 KMIP 密钥服务器的更多信息,请参阅 https://www.ibm.com/support/pages/ibm-storage-virtualize-supported-key-servers.
系统需求
目前仅支持一种类型的密钥服务器。 系统实施密钥管理互操作性协议 (KMIP),此协议通过客户机与服务器之间的 SSL 连接来发送数据。 提供了对内部签名证书和外部 CA 签名证书的支持。 系统验证服务器的 SSL 证书并遵守 KMIP 标准。 现有 SAS 硬件需要至少能够访问一个主密钥才能解锁,且需要能够响应密钥服务器主密钥。 首次启用密钥服务器是一个简单的过程。 启用密钥服务器加密后,可以配置和启用类型,可以创建服务器端点,然后可以准备和落实密钥。
安全类的要求
所有密钥服务器通信的安全性都由 TLS 1.2 和 TLS 1.3 协议管理。 使用 TLS 1.2 和 TLS1.3在系统中的节点之间分发加密密钥。 系统使用 AES-256 加密,该加密使用 OpenSSL 库接口。 要在密钥服务器与系统之间建立连接,密钥服务器或服务必须支持已配置的 TLS 版本。
IP 地址和端口

所有要与密钥服务器通信的节点都必须配置了服务 IP 地址。 节点必须配置了完整服务 IP 协议集(地址、网关和掩码),才能作为候选节点尝试联系密钥服务器。 通常,会在专用 LAN 上设置密钥服务器,这需要强制实施服务 IP 地址。 如果仅节点的子集设置了服务 IP 地址,那么没有服务 IP 地址的节点将记录错误。 用户提供的 IP 地址必须是系统用于与密钥服务器通信的 IP 地址。

每个密钥服务器都具有与其访问权相关联的 TCP 端口。 由于密钥服务器为多个客户机提供服务,因此系统允许用户对每个服务器使用不同的端口,并在需要时启用对此端口的访问。 KMIP 服务器一致性要求支持 TCP 端口 5696,因此,这是服务器端点的缺省端口。

密钥生成策略和密钥数据库

如果启用了密钥服务器加密,那么密钥服务器会生成并管理主密钥。 节点生成所有其他密钥。

根据使用的密钥服务器的类型,密钥数据库可以是建立集群的,也是可以是未建立集群的。 对于未建立集群的密钥服务器,用户需要考虑备份和复制密钥数据库。 IBM Security Guardium Key Lifecycle Manager 是密钥服务器产品的示例,必须配置复制才能在 IBM Security Guardium Key Lifecycle Manager 实例之间自动共享加密密钥。 未配置复制时,必须使用手动备份和复原操作。 其他产品可以自行复制,因此其他密钥服务器实例会自动创建任何新的密钥。 对于 IBM Security Guardium Key Lifecycle Manager,请遵循 IBM Security Guardium Key Lifecycle Manager 用户指南完成备份和复原。 SafeNet KeySecure 服务器和 Thales CipherTrust Manager 支持集群和非集群密钥服务器配置。

更新密钥服务器加密的需求
如果在低于 7.8.0 代码级别系统上启用了加密,并且系统已更新至 7.8.x 或更高代码级别,那么必须运行 USB 再加密操作才可以启用密钥服务器加密。 在启用密钥服务器加密之前,请使用 管理 GUI 或运行 chencryption 命令。 要执行再加密操作,请使用 管理 GUI 或运行以下命令。
chencryption -usb newkey -key prepare
chencryption -usb newkey -key commit

再加密操作必须在完成更新至 7.8.x 代码级别或更高级别之后且在尝试启用密钥服务器加密之前运行。