Reference Guide
El estado de cifrado de un dispositivo aparece como uno de los siguientes:
● Encrypted: la funcionalidad de cifrado está habilitada en el dispositivo.
● Unencrypted: la funcionalidad de cifrado no es compatible con el dispositivo.
● Encrypting: aparece durante el proceso de activación del cifrado. Cuando el proceso de cifrado se completa correctamente, el estado
de cifrado en el nivel del clúster aparece como cifrado.
El estado de cifrado en el nivel de las unidades se proporciona para cada unidad de un dispositivo y aparece como uno de los siguientes:
● Encrypted: la unidad está cifrada. Este es el estado típico de una unidad en un dispositivo que admite el cifrado.
● Encrypting: el dispositivo está habilitando el cifrado en la unidad. Este estado se puede ver durante la activación inicial del cifrado en un
dispositivo o durante la adición de unidades nuevas a un dispositivo configurado.
● Disabled: el cifrado no se puede habilitar en la unidad debido a restricciones de importación específicas del país. Si alguna unidad
informa este estado, todas las unidades del clúster también lo informarán.
● Unknown: el dispositivo aún no intenta habilitar el cifrado en la unidad. Este estado se puede ver durante la activación inicial del cifrado
en un dispositivo o durante la adición de unidades nuevas a un dispositivo configurado.
● Unsupported: la unidad no es compatible con el cifrado.
● Foreign: la unidad es compatible, pero otro dispositivo la bloqueó. Se debe retirar del servicio antes de que se pueda usar.
Administración de claves
En el nodo activo de cada dispositivo PowerStore se ejecuta un servicio de administrador de claves (KMS) integrado. Este servicio
administra el almacenamiento de la caja de seguridad de los archivos del almacenamiento de claves local para admitir el respaldo
automático de claves de cifrado en unidades del sistema y de arranque. También controla el proceso de bloqueo y desbloqueo de las
unidades de autocifrado (SED) en el dispositivo y es responsable de administrar el contenido del almacenamiento de claves local para el
dispositivo. El archivo del almacenamiento de claves local está cifrado con una clave AES de 256 bits y el almacenamiento de la caja de
seguridad de los archivos del almacenamiento de claves aprovecha la tecnología BSAFE de RSA.
El KMS genera automáticamente una clave de autenticación aleatoria para las SED durante la inicialización del dispositivo. Cada unidad
tiene una clave de autenticación única, incluidas las que se agregan al dispositivo más adelante, que se utiliza en los procesos de bloqueo y
desbloqueo de SED. Una clave de cifrado de claves cifra las claves de autenticación y cifrado en el almacenamiento de archivos del
almacenamiento de claves y en transferencia dentro del dispositivo. Las claves de cifrado de medios se almacenan en el hardware
dedicado de las SED y no se puede acceder a ellas. Cuando el cifrado está habilitado, todas las claves de autenticación se almacenan en el
dispositivo.
Archivo de respaldo del almacenamiento de claves
El KMS admite la creación y la descarga de un respaldo fuera del dispositivo del archivo del almacenamiento de claves. El respaldo fuera
del dispositivo reduce la posibilidad de una pérdida de claves catastrófica, la que dejaría inutilizables a un dispositivo o a un clúster. Si un
dispositivo específico no está disponible cuando se inicia el respaldo del almacenamiento de claves de un clúster, la operación general se
realizará correctamente, pero se emitirá una advertencia que indica que el respaldo no contiene los archivos del almacenamiento de claves
para todos los dispositivos del clúster y que la operación se debe reintentar cuando el dispositivo offline esté disponible.
NOTA:
El dispositivo primario en un clúster contiene un archivo del almacenamiento de claves del clúster que incluye una copia de los
respaldos del almacenamiento de claves de cada dispositivo que se descubre en el clúster, entre ellos el dispositivo primario.
Cuando se producen cambios en la configuración de un sistema dentro del clúster que dan lugar a cambios en el almacenamiento de
claves, se recomienda generar un nuevo archivo de almacenamiento de claves para descarga. Solamente se puede ejecutar una operación
de descarga de respaldo del archivo del almacenamiento de claves a la vez.
NOTA:
Se recomienda descargar el archivo del almacenamiento de claves generado a una ubicación externa segura. Si los archivos
del almacenamiento de claves de un sistema se dañan y quedan inaccesibles, el sistema ingresará al modo de servicio. Para solucionar
esto, se requieren el archivo del almacenamiento de claves y la contratación de un servicio.
Para respaldar el archivo del almacenamiento de claves se requiere la función de usuario administrador o administrador de almacenamiento.
Para respaldar el archivo del almacenamiento de claves, haga clic en Settings y, bajo Security, seleccione Encryption. En la página
Encryption, bajo Lockbox backup, haga clic en Download Keystore Backup.
NOTA:
Para restaurar el respaldo del almacenamiento de claves en caso de que se produzca una falla, póngase en contacto con el
proveedor de servicio.
38 Configuración de la seguridad de datos