Reference Guide
L’état du chiffrement d’une appliance s’affiche comme suit :
● Encrypted : la fonctionnalité de chiffrement est activée sur l’appliance.
● Unencrypted : la fonctionnalité de chiffrement n’est pas prise en charge sur l’appliance.
● Encrypting : s’affiche pendant le processus d’activation du chiffrement. Une fois le processus de chiffrement terminé, l’état du
chiffrement au niveau du cluster indique « Encrypted ».
L’état du chiffrement au niveau du disque est fourni pour chaque disque dans une appliance et s’affiche comme suit :
● Encrypted : le disque est chiffré. Il s’agit de l’état classique d’un disque dans une appliance prenant en charge le chiffrement.
● Encrypting : l’appliance permet d’activer le chiffrement sur le disque. Cet état est visible lors de l’activation initiale du chiffrement sur
une appliance ou lors de l’ajout de nouveaux disques à une appliance configurée.
● Disabled : le lecteur ne peut pas avoir activé le chiffrement en cas de restrictions d’importation spécifiques au pays. Si un disque
signale cet état, tous les lecteurs du cluster signalent également le même état.
● Unknown : l’appliance n’a pas encore tentée d’activer le chiffrement sur le disque. Cet état est visible lors de l’activation initiale du
chiffrement sur une appliance ou lors de l’ajout de nouveaux disques à une appliance configurée.
● Unsupported : le disque ne prend pas en charge le chiffrement.
● Foreign : le disque est pris en charge, mais il a été verrouillé par une autre appliance. Il doit être désactivé avant d’être utilisé.
Gestion des clés
Un service de gestionnaire de clés intégré (KMS) s’exécute sur le nœud actif de chaque appliance PowerStore. Ce service gère l’espace
de stockage Lockbox du fichier de magasin de clés local pour permettre la sauvegarde automatique des clés de chiffrement sur les disques
système et de démarrage. Il contrôle également le processus de verrouillage et de déverrouillage du disque à auto-chiffrement (SED) sur
l’appliance et il est responsable de la gestion de contenu du magasin de clés local de l’appliance. Le fichier de magasin de clés local est
chiffré à l’aide de l’algorithme AES 256 bits et l’espace de stockage Lockbox du fichier de magasin de clés exploite la technologie BSAFE
de RSA.
La KMS génère automatiquement une clé d’authentification aléatoire pour les SED lors de l’initialisation de l’appliance. Chaque disque
dispose d’une clé d’authentification unique, notamment celles qui sont ajoutées plus tard à l’appliance, qui est utilisée dans les processus de
verrouillage et de déverrouillage SED. Une clé de chiffrement de clé chiffre les clés d’authentification et de chiffrement dans l’espace de
stockage du fichier de magasin de clés et à la volée dans l’appliance. Les clés de chiffrement des supports sont stockées sur le matériel
dédié des SED et ne sont pas accessibles. Lorsque le chiffrement est activé, toutes les clés d’authentification sont stockées dans
l’appliance.
Fichier de sauvegarde du magasin de clés
La KMS prend en charge la création et le téléchargement d’une sauvegarde hors appliance du fichier d’archive du magasin de clés. La
sauvegarde hors appliance réduit les risques d’une perte de clé catastrophique, ce qui rendrait une appliance ou un cluster inutilisable. Si
une appliance spécifique n’est pas disponible lorsqu’une sauvegarde du magasin de clés du cluster est lancée, l’opération globale réussira,
mais un avertissement s’affiche pour indiquer que la sauvegarde ne contient pas de fichiers de magasin de clés pour toutes les appliances
du cluster et que l’opération devra être réessayée lorsque l’appliance hors ligne est disponible.
REMARQUE :
L’appliance principale d’un cluster contient un fichier d’archive de magasin de clés du cluster comprenant une copie
des sauvegardes du magasin de clés à partir de chaque appliance qui est détectée dans le cluster, y compris l’appliance principale.
Lorsque des modifications apportées à la configuration d’un système dans le cluster se produisent et entraînent des modifications
apportées au magasin de clés, il est recommandé de générer un nouveau fichier d’archive de magasin de clés à télécharger. Une seule
opération de téléchargement de sauvegarde du fichier d’archive du magasin de clés peut être exécutée à la fois.
REMARQUE :
Il vous est vivement recommandé de télécharger le fichier d’archive du magasin de clés qui a été généré vers un
emplacement externe et sécurisé. Si les fichiers du magasin de clés d’un système s’avèrent corrompus et inaccessibles, le système
passe en mode maintenance. Dans ce cas, le fichier d’archive du magasin de clés et un engagement de service sont requis pour la
résolution.
Un rôle utilisateur d’administrateur ou d’administrateur du stockage est nécessaire pour sauvegarder le fichier d’archive du magasin de
clés. Pour sauvegarder le fichier d’archive du magasin de clés, cliquez sur Settings, puis sous Security, sélectionnez Encryption. Sur la
page Encryption, sous Lockbox backup, cliquez sur Download Keystore Backup.
REMARQUE : Pour restaurer la sauvegarde du magasin de clés en cas d’échec, contactez votre prestataire de services.
38 Paramètres de sécurité des données