Administrator Guide
Begriff Beschreibung
Schlüsselverwaltungsmodus Es gibt zwei Modi für die Schlüssellebenszyklusverwaltung: „Static“
(Statisch) oder „Internal“ (Intern).
Statischer Modus Ein globaler Modus für die Schlüsselverwaltung, in der ein fester
Schlüssel für die Verschlüsselung aller Daten verwendet wird.
Interner Modus Ein Modus der Schlüssellebenszyklusverwaltung, in der die Schlüssel in
regelmäßigen Abständen generiert und rotiert werden. Der minimale
Schlüsselrotationszeitraum, bevor der Schlüssel für die
Inhaltsverschlüsselung rotiert und ein neuer Schlüssel generiert werden
kann, ist sieben Tage. Diese Rotationsperiode kann durch Benutzer
konfiguriert und in Tagen angegeben werden.
Überlegungen zur Verschlüsselung im Ruhezustand und zur DR
Series
In diesem Thema werden die wichtigsten Merkmale und Überlegungen für die Verwendung der Verschlüsselung im
Ruhezustand auf dem DR Series-System beschrieben.
• Key Management (Schlüsselverwaltung) – Im internen Modus werden maximal 1.023 Schlüssel unterstützt. Wenn
die Verschlüsselung auf dem System aktiviert ist, ist der Zeitraum für die Schlüsselrotation standardmäßig auf 30
Tage eingestellt. Benutzer können den Zeitraum für die Schlüsselrotation später auf einen Zeitraum zwischen 7 Tage
und 70 Jahre ändern, während sie den internen Modus der Verschlüsselung konfigurieren.
• Performance Impacts (Leistungseinbußen) – Die Verschlüsselung sollte eine minimale bzw. idealerweise keine
Auswirkung auf die Sicherungs- und Wiederherstellungsvorgänge haben.
Sie sollte auch keinen Einfluss auf den Replikationsvorgang haben.
• Replication (Replikation) – Die Verschlüsselung muss sowohl auf dem DR Series-Quell- als auch auf dem DR Series-
Zielsystem aktiviert sein, damit verschlüsselte Daten auf den Systemen gespeichert werden können. Dies bedeutet,
dass man bei verschlüsselten Daten auf der Quelle, wenn diese auf das Ziel repliziert werden, nicht automatisch
davon ausgehen kann, dass diese verschlüsselt werden, es sei denn, die Verschlüsselung ist auf dem DR Series-
Zielsystem auf „ON“ (EIN) gesetzt.
• Seeding (Seeding) – Die Verschlüsselung muss sowohl auf dem Quell- und Zielsystem von DR Series-Systemen
aktiviert sein, damit verschlüsselte Daten auf den Systemen gespeichert werden können. Wenn Seeding für die
Verschlüsselung konfiguriert ist, werden die Daten erneut verschlüsselt und gespeichert. Wenn der Datenstrom vom
Seed-Gerät auf das Zielsystem importiert wird, wird der Strom gemäß der Richtlinie für das Zielsystem verschlüsselt
und gespeichert.
• Security Considerations for Passphrase and Key Management (Sicherheitsüberlegungen für den Kennsatz und die
Schlüsselverwaltung) –
– Ein Kennsatz ist ein sehr wichtiger Teil des Verschlüsselungsvorgangs auf dem DR Series-System, da der
Kennsatz zum Verschlüsseln des Schlüssels/der Schlüssel für die Inhaltsverschlüsselung verwendet wird. Wenn
der Kennsatz verloren geht oder beschädigt wird, sollte der Administrator diesen sofort ändern, so dass die
Schlüssel für die Inhaltsverschlüsselung nicht anfällig werden.
– Der Administrator sollte außerdem Sicherheitsanforderungen definieren, um die Entscheidung zur Auswahl des
Modus für die Schlüsselverwaltung für das DR Series-System zu fördern.
– Der Modus „Internal“ (Intern) ist sicherer als der Modus „Static“ (Statisch), da die Schlüssel regelmäßig
geändert werden. Die Schlüsselrotation kann auf einen Mindestwert von 7 Tagen eingestellt werden.
– Schlüsselmodi können jederzeit während der Lebensdauer des DR Series-Systems geändert werden. Das
Ändern des Schlüsselmodus hat jedoch einen beträchtlichen Einfluss auf das System, da alle verschlüsselten
Daten erneut verschlüsselt werden müssen.
167