Reference Guide
Der Verschlüsselungsstatus auf Clusterebene zeigt, ob eine Appliance-Verschlüsselung aktiviert ist. Er hängt nicht mit dem
Laufwerksstatus zusammen.
Der Verschlüsselungsstatus einer Appliance kann wie folgt lauten:
● Encrypted: Die Verschlüsselungsfunktion ist auf der Appliance aktiviert.
● Unencrypted: Die Verschlüsselungsfunktion wird auf der Appliance nicht unterstützt.
● Encrypting: Wird während des Vorgangs der Verschlüsselungsaktivierung angezeigt. Wenn der Verschlüsselungsvorgang erfolgreich
abgeschlossen wurde, wird der Verschlüsselungsstatus auf Clusterebene als „Encrypted“ angezeigt.
Der Verschlüsselungsstatus auf Laufwerksebene wird für jedes Laufwerk in einer Appliance angegeben und kann wie folgt lauten:
● Encrypted: Das Laufwerk ist verschlüsselt. Dies ist der typische Status eines Laufwerks in einer Appliance, die verschlüsselungsfähig
ist.
● Encrypting: In der Appliance wird gerade die Verschlüsselung auf dem Laufwerk aktiviert. Dieser Status kann bei der erstmaligen
Aktivierung der Verschlüsselung auf einer Appliance oder beim Hinzufügen von neuen Laufwerken zu einer konfigurierten Appliance zu
sehen sein.
● Disabled: Beim Laufwerk kann aufgrund von landesspezifischen Importeinschränkungen keine Verschlüsselung aktiviert sein. Wenn ein
Laufwerk diesen Status meldet, gilt er ebenso für alle anderen Laufwerke im Cluster.
● Unknown: Die Appliance hat noch nicht versucht, die Verschlüsselung auf dem Laufwerk zu aktivieren. Dieser Status kann bei der
erstmaligen Aktivierung der Verschlüsselung auf einer Appliance oder beim Hinzufügen von neuen Laufwerken zu einer konfigurierten
Appliance zu sehen sein.
● Unsupported: Das Laufwerk unterstützt keine Verschlüsselung.
● Foreign: Das Laufwerk wird unterstützt, ist jedoch durch eine andere Appliance gesperrt. Es muss für diese Appliance außer Betrieb
gesetzt werden, bevor es verwendet werden kann.
Key-Management
Ein integrierter Key Manager Service (KMS) wird auf dem aktiven Node jeder PowerStore-Appliance ausgeführt. Mit diesem Service wird
der lokale Keystore-Datei-Lockbox-Speicher zur Unterstützung des automatischen Verschlüsselungsschlüsselbackups auf System- und
Startlaufwerken verwaltet. Außerdem steuert er den Prozess der Sperrung und Entsperrung der selbstverschlüsselnden Festplatten (Self-
Encrypting Drives, SEDs) auf der Appliance und ist für die Verwaltung des lokalen Keystore-Inhalts für die Appliance zuständig. Die lokale
Keystore-Datei wird mit einem 256-Bit-AES-Schlüssel verschlüsselt und der Keystore-Datei-Lockbox-Speicher nutzt die BSAFE-
Technologie von RSA.
Der KMS erzeugt während der Initialisierung der Appliance automatisch einen zufälligen Authentifizierungsschlüssel für SEDs. Jedes
Laufwerk, einschließlich derjenigen, die später der Appliance hinzugefügt werden, verfügt über einen eindeutigen
Authentifizierungsschlüssel, der bei der Sperrung und Entsperrung von SEDs verwendet wird. Mit einem Verschlüsselungsschlüssel
werden die Authentifizierungs- und Verschlüsselungsschlüssel im Keystore-Dateispeicher und ad hoc in der Appliance verschlüsselt.
Medienverschlüsselungsschlüssel werden auf der dedizierten Hardware der SEDs gespeichert und es kann nicht darauf zugegriffen
werden. Wenn die Verschlüsselung aktiviert ist, werden alle Authentifizierungsschlüssel innerhalb der Appliance gespeichert.
Keystore-Backupdatei
Der KMS unterstützt das Erstellen und Herunterladen eines Backups der Keystore-Archivdatei außerhalb der Appliance. Dieses
sogenannte Off-Appliance-Backup reduziert die Wahrscheinlichkeit eines schwerwiegenden Schlüsselverlusts, durch den eine Appliance
oder ein Cluster unbrauchbar werden würde. Wenn beim Initiieren eines Keystore-Clusterbackups eine bestimmte Appliance nicht
verfügbar ist, wird der allgemeine Vorgang erfolgreich ausgeführt, aber es wird eine Warnung ausgegeben, dass das Backup keine
Keystore-Dateien für alle Appliances im Cluster enthält und dass der Vorgang erneut versucht werden sollte, wenn die Offline-Appliance
verfügbar ist.
ANMERKUNG:
Die primäre Appliance in einem Cluster enthält eine Keystore-Clusterarchivdatei mit einer Kopie der Keystore-
Backups jeder Appliance, die im Cluster erkannt wird, einschließlich der primären Appliance.
Wenn Änderungen an der Konfiguration eines Systems innerhalb des Clusters auftreten, die zu Änderungen am Keystore führen, wird
empfohlen, dass Sie eine neue Keystore-Archivdatei für den Download erzeugen. Es kann jeweils nur ein Backupdownloadvorgang der
Keystore-Archivdatei ausgeführt werden.
ANMERKUNG:
Es wird dringend empfohlen, dass Sie die erzeugte Keystore-Archivdatei an einen externen, sicheren Speicherort
herunterladen. Wenn die Keystore-Dateien auf einem System beschädigt und nicht mehr zugänglich sind, wird das System in den
Servicemodus versetzt. In diesem Fall sind zur Behebung die Keystore-Backupdatei und ein Serviceprojekt erforderlich.
38 Datensicherheitseinstellungen