Administrator Guide
À propos de la fonction de chiffrement de disque complet
Le chiffrement de disque complet (FDE) est une méthode qui permet de sécuriser les données résidant sur les disques. Cette méthode
utilise des disques à chiffrement automatique (SED), également appelés disques compatibles FDE. Une fois sécurisés et retirés d’un
système sécurisé, les disques compatibles FDE ne peuvent pas être lus par d’autres systèmes.
La sécurisation d’un disque et d’un système s’appuie sur l’utilisation de phrases de passe et de clés de verrouillage. Une phrase de passe
est un mot de passe créé par l’utilisateur qui lui permet de gérer les clés de verrouillage. Une clé de verrouillage est générée par le système
et elle gère le chiffrement et le décryptage des données sur les disques. Les clés de verrouillage sont conservées sur le système de
stockage et elles ne sont pas disponibles en dehors de ce dernier.
Au départ, un système et les disques compatibles FDE qu’il contient ne sont pas sécurisés, mais ils peuvent le devenir à tout moment.
Jusqu’à ce que le système soit sécurisé, les disques compatibles FDE fonctionnent exactement comme les disques ne prenant pas en
charge cette fonction.
L’activation de la protection FDE implique la définition d’une phrase de passe et la sécurisation du système. Il est possible d’accéder aux
données présentes sur le système avant sa sécurisation de la même manière que lorsqu’il n’était pas sécurisé. Cependant, si un disque est
transféré dans un système non sécurisé ou un système doté d’une autre phrase de passe, les données ne sont pas accessibles.
Les disques et les systèmes sécurisés peuvent être réaffectés. La réaffectation d’un disque modifie la clé de chiffrement de ce dernier, ce
qui efface toutes les données présentes et annule la sécurisation du système et des disques. Ne réaffectez un disque que si vous n’avez
plus besoin des données qu’il contient.
Le chiffrement de disque complet s’effectue système par système, et non pas par groupe de disques. Pour utiliser cette fonction, tous les
disques du système doivent être compatibles FDE. Pour plus d’informations sur la configuration du chiffrement de disque complet et la
modification des options associées, voir Modification des paramètres FDE.
REMARQUE : Si vous insérez un disque FDE dans un système sécurisé et si le disque se trouve dans un état inattendu,
effectuez une nouvelle analyse manuellement. Voir Nouvelle analyse des canaux de disques.
À propos de la protection des données avec un seul
contrôleur
Le système peut fonctionner avec un seul contrôleur si son partenaire est passé hors ligne ou a été retiré. Étant donné que l’opération
avec un seul contrôleur n’est pas une configuration redondante, cette section présente certaines considérations relatives à la protection
des données.
Le mode de mise en cache par défaut pour un volume est écriture différée, par opposition à écriture immédiate. En mode d’écriture
différée, l’hôte est informé que le contrôleur a reçu l’écriture lorsque les données sont présentes dans le cache du contrôleur. En mode
écriture immédiate, l’hôte est informé que le contrôleur a reçu l’écriture lors de l’écriture des données sur le disque. Par conséquent, en
mode d’écriture différée, les données sont conservées dans le cache du contrôleur jusqu’à ce qu’elles soient écrites sur le disque.
En cas de défaillance du contrôleur en mode d’écriture différée, il est probable que des données de cache non écrites existent. C’est
également le cas si le boîtier du contrôleur ou le boîtier du volume cible est mis hors tension sans un arrêt correct. Les données restent
dans le cache du contrôleur et seront manquantes sur les volumes associés.
Si le contrôleur peut être remis en ligne suffisamment longtemps pour effectuer un arrêt correct et que le groupe de disques est en ligne,
le contrôleur doit être en mesure d’écrire son cache sur le disque sans perte de données.
Si le contrôleur ne peut pas être remis en ligne suffisamment longtemps pour écrire ses données de cache sur le disque, veuillez contacter
le support technique.
Pour éviter toute perte de données en cas de défaillance du contrôleur, vous pouvez définir le mode de mise en cache d’un volume sur
écriture immédiate. Bien que cela puisse entraîner une dégradation importante des performances, cette configuration empêche la perte
des données. Le mode écriture différée est beaucoup plus rapide, mais ne vous protège pas contre la perte de données en cas de
défaillance d’un contrôleur. Si la protection des données est plus importante, utilisez la mise en cache à écriture immédiate. Si les
performances sont plus importantes, utilisez la mise en cache à écriture différée.
Pour plus d’informations sur les options de mise en cache des volumes, reportez-vous à la section À propos des options de mise en cache
des volumes. Pour plus d’informations sur la modification des paramètres de mise en cache d’un volume, reportez-vous à la section
Modification d’un volume. Pour plus d’informations sur la modification des paramètres de cache du système, reportez-vous à la section
modification des paramètres de mise en cache du système.
34
Mise en route