CISCO HyperFlex HX мэдээллийн платформ

Бүтээгдэхүүний мэдээлэл

• Бүтээгдэхүүний нэр: HX аюулгүй байдлын шифрлэлт
• Хувилбар: HXDP 5.01b
• Шифрлэлтийн шийдэл: Intersight Key Manager ашиглан програм хангамжид суурилсан шийдэл
• Шифрлэлтийн төрөл: Өөрийгөө шифрлэх хөтчүүд (SEDs)
• Дэмжигдсэн хөтчийн төрлүүд: Micron-ийн HDD болон SSD SED
• Нийцлийн стандартууд: FIPS 140-2 түвшин 2 (драйв үйлдвэрлэгчид) ба FIPS 140-2 түвшин 1 (платформ)
• Кластерийн өргөн шифрлэлт: HX дээрх шифрлэлтийг зөвхөн SED ашиглан тайван байдалд байгаа өгөгдөлд зориулсан техник хангамжид хэрэгжүүлдэг
• Хувь хүний ​​VM шифрлэлт: Hytrust эсвэл Vormetric-ийн ил тод үйлчлүүлэгч зэрэг гуравдагч талын програм хангамжаар зохицуулагддаг
• VMware Native VM шифрлэлт: SED шифрлэлттэй ашиглахад зориулж HX дэмждэг
• Түлхүүр удирдлага: Media Encryption Key (MEK) болон Key Encryption Key (KEK) нь SED бүрт ашиглагддаг
• Санах ойн хэрэглээ: Шифрлэлтийн түлхүүрүүд нь зангилааны санах ойд хэзээ ч байдаггүй
• Гүйцэтгэлд үзүүлэх нөлөө: Дискний шифрлэлт/шифрийг тайлах нь хөтчийн техник хангамжид хийгддэг бөгөөд системийн ерөнхий гүйцэтгэлд нөлөөлөхгүй
• SED-ийн нэмэлт ашиг тус:
  • Драйвын тэтгэвэрт гарах болон дахин байршуулах зардлыг бууруулахын тулд агшин зуур криптографийн устгал хийх
  • Мэдээллийн нууцлалын талаарх засгийн газрын болон салбарын дүрэм журмыг дагаж мөрдөх
  • Техник хангамжийг устгасны дараа өгөгдөл унших боломжгүй болох тул дискний хулгай болон зангилааны хулгайд өртөх эрсдэл буурна

Бүтээгдэхүүнийг ашиглах заавар

HX аюулгүй байдлын шифрлэлтийг ашиглахын тулд дараах зааврыг дагана уу:

1. Таны систем техник хангамжид суурилсан шифрлэлтийг дэмждэг эсвэл Intersight Key Manager ашиглан програм хангамжид суурилсан шийдлийг илүүд үздэг эсэхийг шалгаарай.
2. Програм хангамжид суурилсан шифрлэлтийн талаарх мэдээллийг удирдлагын баримт бичиг эсвэл цагаан цааснаас үзнэ үү.
3. Хэрэв та SED-тэй техник хангамжид суурилсан шифрлэлтийг ашиглахаар шийдсэн бол таны HX кластер нэг төрлийн зангилаа (SED эсвэл SED бус) байгаа эсэхийг шалгаарай.
4. SED-ийн хувьд медиа шифрлэлтийн түлхүүр (MEK) ба түлхүүрийн шифрлэлтийн түлхүүр (KEK) гэсэн хоёр түлхүүр ашиглагдаж байгааг ойлгоорой.
5. MEK нь дискэнд өгөгдлийн шифрлэлт, шифрлэлтийг хянадаг бөгөөд техник хангамжаар хамгаалж, удирддаг.
6. KEK нь MEK/DEK-ийг хамгаалж, орон нутгийн эсвэл алсын түлхүүрийн дэлгүүрт хадгалагддаг.
7. Шифрлэлтийн түлхүүрүүд хэзээ ч тэнд хадгалагдахгүй тул зангилааны санах ойд түлхүүрүүд байгаа талаар санаа зовох хэрэггүй.
8. Дискний шифрлэлт/шифр тайлах ажиллагааг хөтчийн техник хангамжид хийж, системийн ерөнхий гүйцэтгэлд нөлөөлөхгүй гэдгийг анхаарна уу.
9. Хэрэв танд нийцлийн стандартад тавигдах тусгай шаардлага байгаа бол HX SED шифрлэгдсэн хөтчүүд нь диск үйлдвэрлэгчдийн FIPS 140-2 2-р түвшний стандартыг хангадаг бол платформ дээрх HX Encryption нь FIPS 140-2 түвшний 1 стандартыг хангадаг гэдгийг анхаарна уу.
10. Хэрэв та бие даасан VM-ийг шифрлэх шаардлагатай бол Hytrust эсвэл Vormetric-ийн ил тод клиент гэх мэт гуравдагч талын програм хангамжийг ашиглах талаар бодож үзээрэй. Мөн та vSphere 3-д нэвтрүүлсэн VMware-ийн уугуул VM шифрлэлтийг ашиглаж болно.
11. HX SED-д суурилсан шифрлэлт дээр VM шифрлэлтийн клиентийг ашиглах нь өгөгдлийг давхар шифрлэхэд хүргэнэ гэдгийг санаарай.
12. HX хуулбар нь шифрлэгдээгүй тул найдвартай хуулбарлахын тулд таны HX кластер найдвартай сүлжээ эсвэл шифрлэгдсэн хонгилоор холбогдсон эсэхийг шалгаарай.

HX аюулгүй байдлын шифрлэлтийн түгээмэл асуултууд

HXDP 5.01b хувилбарын хувьд HyperFlex нь техник хангамжид суурилсан шифрлэлтийг дэмждэггүй системүүд эсвэл техник хангамжийн шийдлүүдээс илүүтэйгээр энэ функцийг хүсдэг хэрэглэгчдэд зориулсан Intersight Key Manager ашиглан програм хангамжид суурилсан шийдлийг санал болгодог. Энэхүү түгээмэл асуултууд нь зөвхөн HX шифрлэлтийн SED-д суурилсан техник хангамжийн шийдлүүд дээр төвлөрдөг. Програм хангамжид суурилсан шифрлэлтийн талаарх мэдээллийг удирдлагын баримт бичиг эсвэл цагаан цааснаас харна уу.

Өргөдлийн мэдэгдэл
Энэ бүтээгдэхүүнд зориулсан баримт бичгүүд нь буруу хэллэг ашиглахыг эрмэлздэг. Энэхүү баримт бичгийн багцын зорилгын үүднээс нэг талыг барьсан хэллэгийг нас, хөгжлийн бэрхшээл, хүйс, арьсны өнгө, үндэс угсаа, бэлгийн чиг баримжаа, нийгэм, эдийн засгийн байдал, огтлолцолоор ялгаварлан гадуурхахыг илэрхийлээгүй хэл гэж тодорхойлсон. Бүтээгдэхүүний програм хангамжийн хэрэглэгчийн интерфэйс дээр хатуу кодлогдсон хэл, стандартын баримт бичигт үндэслэсэн хэл эсвэл лавласан гуравдагч талын бүтээгдэхүүн ашигладаг хэл зэргээс шалтгаалан баримт бичигт үл хамаарах зүйлүүд байж болно.

Яагаад Cisco for Security and HX Encryption 

• Асуулт 1.1: Аюулгүй хөгжлийг хангах ямар процессууд явагдаж байна вэ?
  А 1.1: Cisco серверүүд нь Cisco Secure Development Lifecycle (CSDL)-ийг баримталдаг:
  • Cisco нь Cisco серверүүд дээр суулгагдсан аюулгүй байдлыг хөгжүүлэх процесс, арга зүй, хүрээг хангадаг бөгөөд зөвхөн давхардсан биш.
  • UCS Бүтээгдэхүүний багц дээр аюул заналхийллийн загварчлал/статик шинжилгээ хийхэд зориулагдсан Cisco баг
  • Cisco Advanced Security Initiative Group (ASIG) нь CDETS болон инженерчлэлээр дамжуулан HW & SW-ийг сайжруулж, аюул занал хэрхэн орж ирдгийг ойлгож, асуудлыг засахын тулд нэвтрэлтийн идэвхтэй тест хийдэг.
  • Зориулалтын Cisco баг нь гадагш чиглэсэн эмзэг байдлыг турших, зохицуулах, үйлчлүүлэгчидтэй аюулгүй байдлын зөвлөхөөр харилцах.
  • Бүх үндсэн бүтээгдэхүүнүүд нь Cisco бүтээгдэхүүний аюулгүй байдлын стандартыг зохицуулдаг бүтээгдэхүүний аюулгүй байдлын үндсэн шаардлага (PSB) -аар дамждаг.
  • Cisco нь бүх UCS хувилбарууд дээр эмзэг байдал/Протоколын бат бөх байдлын тест хийдэг
• Асуулт 1.2: SED яагаад чухал вэ?
  А 1.2: SED нь мэдээллийг амарч байхад шифрлэхэд ашиглагддаг бөгөөд бүгд биш юмаа гэхэд холбооны, эмнэлгийн болон санхүүгийн байгууллагуудад тавигдах шаардлага юм.

Ерөнхий мэдээлэл дууслааview

• Асуулт 2.1: SED гэж юу вэ?
  А 2.1: SED (Self-Encrypting Drives) нь ирж буй өгөгдлийг шифрлэж, гарч буй өгөгдлийг бодит цаг хугацаанд нь тайлах тусгай техник хангамжтай.
• Асуулт 2.2: HX дээрх шифрлэлтийн хамрах хүрээ юу вэ?
  А 2.2: HX дээрх шифрлэлт нь одоогоор зөвхөн шифрлэгдсэн хөтчүүд (SEDs) ашиглан амарч байгаа өгөгдөлд зориулагдсан техник хангамжид хэрэгждэг. HX шифрлэлт нь кластерийн хэмжээнд байдаг. Хувь хүний ​​VM шифрлэлт нь Hytrust эсвэл Vormetric-ийн ил тод үйлчлүүлэгч зэрэг гуравдагч талын програм хангамжаар зохицуулагддаг бөгөөд HX-ийн үүрэг хариуцлагын хүрээнээс гадуур байдаг. HX нь мөн vSphere 3-д нэвтрүүлсэн VMware-ийн уугуул VM шифрлэлтийн хэрэглээг дэмждэг. HX SED дээр суурилсан шифрлэлт дээр VM шифрлэлтийн клиентийг ашиглах нь өгөгдлийг давхар шифрлэхэд хүргэнэ. HX хуулбар нь шифрлэгдээгүй бөгөөд эцсийн хэрэглэгчийн байрлуулсан итгэмжлэгдсэн сүлжээ эсвэл шифрлэгдсэн хонгилд тулгуурладаг.
• Асуулт 2.3: HX шифрлэлт ямар стандартад нийцдэг вэ?
  А 2.3: HX SED шифрлэгдсэн хөтчүүд нь драйвер үйлдвэрлэгчдийн FIPS 140-2 түвшний 2 стандартыг хангадаг. Платформ дээрх HX шифрлэлт нь FIPS 140-2 түвшний 1 стандартыг хангасан.
• Асуулт 2.4: Шифрлэлтийн хувьд бид HDD болон SSD хоёуланг нь дэмждэг үү?
  А 2.4: Тийм ээ, бид Micron-ийн HDD болон SSD SED-г дэмждэг.
• Асуулт 2.5: HX кластер нь шифрлэгдсэн болон шифрлэгдээгүй хөтчүүдийг нэгэн зэрэг агуулж болох уу?
  А 2.5: Кластер дахь бүх зангилаа жигд байх ёстой (SED эсвэл SED бус)
• Асуулт 2.6: SED-д ямар түлхүүрүүдийг ашигладаг вэ, тэдгээрийг хэрхэн ашигладаг вэ?
  А 2.6: SED бүрт хоёр түлхүүр ашиглагдаж байна. Медиа Шифрлэлтийн Түлхүүр (MEK) нь Дискний Шифрлэлтийн Түлхүүр (DEK) гэж нэрлэгддэг бөгөөд дискний өгөгдлийг шифрлэх, тайлах үйлдлийг хянадаг бөгөөд техник хангамжаар хамгаалагдсан бөгөөд удирддаг. Түлхүүр шифрлэлтийн түлхүүр (KEK) нь DEK/MEK-г хамгаалж, дотоод эсвэл алсын түлхүүрийн дэлгүүрт хадгалагддаг.
• Асуулт 2.7: Түлхүүрүүд санах ойд байдаг уу?
  А 2.7: Шифрлэлтийн түлхүүрүүд нь зангилааны санах ойд хэзээ ч байдаггүй
• Асуулт 2.8: Шифрлэлт/шифр тайлах үйл явц гүйцэтгэлд хэрхэн нөлөөлдөг вэ?
  А 2.8: Дискний шифрлэлт/шифр тайлалтыг хөтчийн техник хангамжид гүйцэтгэдэг. Системийн ерөнхий гүйцэтгэлд нөлөөлөхгүй бөгөөд системийн бусад бүрэлдэхүүн хэсгүүдэд чиглэсэн халдлагад өртөхгүй
• Асуулт 2.9: Амралттай үед шифрлэлтээс бусад SED ашиглах өөр ямар шалтгаанууд байдаг вэ?
  А 2.9: SED нь криптографийн устгал хийх замаар хөтчийн тэтгэвэрт гарах болон дахин байршуулах зардлыг бууруулж чадна. Тэд мөн өгөгдлийн нууцлалын талаарх засгийн газар эсвэл салбарын дүрэм журмыг дагаж мөрдөхөд үйлчилдэг. Өөр нэг давуу талtagТехник хангамжийг экосистемээс устгасны дараа өгөгдлийг унших боломжгүй болсон тул e нь дискний хулгай болон зангилааны хулгайд өртөх эрсдэл багасна.
• Асуулт 2.10: SED-ээр хуулбарлах, шахах үед юу тохиолддог вэ? Гуравдагч талын програм хангамжид суурилсан шифрлэлт юу болох вэ?
  А2.10: Амралттай үед шифрлэлт нь бичих процессын сүүлчийн алхам болдог тул HX дээрх SED-ийн давхардал болон шахалтыг хадгалдаг. Хувцаслалт, шахалт аль хэдийн явагдсан. Гуравдагч талын програм хангамжид суурилсан шифрлэлтийн бүтээгдэхүүний тусламжтайгаар VM нь шифрлэлтээ удирдаж, шифрлэгдсэн бичвэрийг гипервизорт, дараа нь HX рүү дамжуулдаг. Эдгээр бичвэрүүд аль хэдийн шифрлэгдсэн байдаг тул хуулбарлахгүй, шахагдахгүй. HX Програм хангамжид суурилсан шифрлэлт (3.x кодын шугамд) нь бичих оновчлол (давхаргалт ба шахалт) хийсний дараа стек дээр хэрэгждэг програм хангамжийн шифрлэлтийн шийдэл байх тул үр ашиг нь энэ тохиолдолд хадгалагдах болно.

Доорх зураг нь дууссан байнаview HX-тэй SED-ийн хэрэгжилтийн .

Драйвын дэлгэрэнгүй мэдээлэл 

• Асуулт 3.1: HX-д ашигладаг шифрлэгдсэн хөтчүүдийг хэн үйлдвэрлэдэг вэ?
  А 3.1: HX нь Micron-ийн үйлдвэрлэсэн хөтчүүдийг ашигладаг: Микроны тусгай баримт бичгүүдийг энэ түгээмэл асуултуудын туслах баримт бичгийн хэсэгт холбосон.
• Асуулт 3.2: Бид FIPS стандартад нийцээгүй SED-ийг дэмждэг үү?
  А 3.2: Бид мөн FIPS бус зарим хөтчүүдийг дэмждэг боловч SED (TCGE) дэмждэг.
• Асуулт 3.3: TCG гэж юу вэ?
  А 3.3: TCG нь шифрлэгдсэн өгөгдөл хадгалах техникийн стандартыг бий болгож, удирддаг Trusted Computing Group юм.
• Асуулт 3.4: Дата төвийн SAS SSD-ийн тухай ярихад байгууллагын түвшний аюулгүй байдал гэж юу вэ? Эдгээр хөтчүүд аюулгүй байдлыг хангаж, халдлагаас хамгаалах ямар онцлог шинж чанартай вэ?
  А 3.4: Энэхүү жагсаалтад HX-д ашиглагдаж буй SED-ийн аж ахуйн нэгжийн зэрэглэлийн онцлогууд болон тэдгээр нь TCG стандарттай хэрхэн холбогдож байгааг нэгтгэн харуулав.
  1. Өөрийгөө шифрлэдэг хөтчүүд (SEDs) нь таны SED дээрх өгөгдлийн аюулгүй байдлыг хангаж, өгөгдөлд зөвшөөрөлгүй нэвтрэхээс сэргийлдэг. Trusted Computing Group (TCG) нь HDD болон SSD-ийн аль алинд нь өөрийгөө шифрлэх хөтчүүдийн онцлог, ашиг тусын жагсаалтыг гаргажээ. TCG нь TCG Enterprise SSC (Аюулгүй байдлын дэд системийн ангилал) гэж нэрлэгддэг стандартыг хангадаг бөгөөд тайван байдалд байгаа өгөгдөлд төвлөрдөг. Энэ нь бүх SED-д тавигдах шаардлага юм. Тодорхойлолт нь байгууллагын хадгалалтад ажилладаг өгөгдөл хадгалах төхөөрөмж болон хянагчдад хамаарна. Жагсаалтад:
     • Ил тод байдал: Систем эсвэл програмын өөрчлөлт хийх шаардлагагүй; жинхэнэ санамсаргүй тоо үүсгэгч ашиглан хөтөч өөрөө үүсгэсэн шифрлэлтийн түлхүүр; Драйв үргэлж шифрлэгдэж байдаг.
     • Удирдлагын хялбар байдал: Удирдах шифрлэлтийн түлхүүр байхгүй; Програм хангамжийн үйлдвэрлэгчид алсын удирдлага, ачаалахын өмнөх баталгаажуулалт, нууц үг сэргээх зэрэг SED-ийг удирдахын тулд стандартчилсан интерфейсийг ашигладаг.
     • Устгах эсвэл дахин зориулалтын зардал: SED-ийн тусламжтайгаар самбар дээрх шифрлэлтийн түлхүүрийг арилгана уу
     • Дахин шифрлэлт: SED-ийн тусламжтайгаар өгөгдлийг дахин шифрлэх шаардлагагүй болно
     • Гүйцэтгэл: SED гүйцэтгэлийн доройтол байхгүй; техник хангамжид суурилсан
     • Стандартчилал: Бүх жолоодлогын салбар нь TCG/SED-ийн тодорхойлолтод нийцүүлэн хөгжүүлж байна
     • Хялбаршуулсан: Дээд талын үйл явцад хөндлөнгөөс оролцохгүй
  2. SSD SED нь дискийг криптографийн аргаар устгах боломжийг олгодог. Энэ нь драйв дээр хадгалагдсан 256 битийн шифрлэлтийн түлхүүрийг өөрчлөхийн тулд энгийн баталгаажсан тушаалыг драйв руу илгээж болно гэсэн үг юм. Энэ нь драйвыг цэвэрлэж, ямар ч өгөгдөл үлдэхгүй гэдгийг баталгаажуулдаг. Анхны хост систем хүртэл өгөгдлийг уншиж чадахгүй тул өөр ямар ч систем унших боломжгүй болно. Шифрлэгдээгүй HDD дээр ижил төстэй үйлдлийг гүйцэтгэхэд олон минут, бүр хэдэн цаг зарцуулагдахаас ялгаатай нь энэ үйлдэл нь хэдхэн секунд зарцуулдаг бөгөөд HDD-г арилгах үнэтэй тоног төхөөрөмж, үйлчилгээний зардлаас зайлсхийдэг.
  3. FIPS (Холбооны Мэдээлэл Боловсруулах Стандарт) 140-2 нь АНУ-ын засгийн газрын стандарт бөгөөд мэдээллийн технологийн бүтээгдэхүүнүүд эмзэг, гэхдээ ангилалгүй хэрэглээнд нийцэх ёстой шифрлэлт болон холбогдох аюулгүй байдлын шаардлагыг тодорхойлдог. Энэ нь ихэвчлэн санхүүгийн үйлчилгээ, эрүүл мэндийн салбарын төрийн байгууллагууд, компаниудад тавигдах шаардлага юм. FIPS-140-2 баталгаажсан SSD нь батлагдсан шифрлэлтийн алгоритмуудыг багтаасан аюулгүй байдлын хүчтэй практикийг ашигладаг. Энэ нь бүтээгдэхүүнийг ашиглахын тулд хувь хүмүүс эсвэл бусад процессууд хэрхэн зөвшөөрөл авах ёстойг, мөн модулиуд эсвэл бүрэлдэхүүн хэсгүүдийг бусад системтэй аюулгүйгээр харилцахын тулд хэрхэн төлөвлөх ёстойг тодорхойлдог. Үнэн хэрэгтээ, FIPS-140-2 баталгаажуулсан SSD дискний шаардлагуудын нэг нь SED байх явдал юм. Хэдийгээр TCG нь баталгаажуулсан шифрлэгдсэн диск авах цорын ганц арга зам биш ч TCG Opal болон Enterprise SSC-ийн техникийн үзүүлэлтүүд нь FIPS баталгаажуулалтын шатыг бидэнд олгодог гэдгийг санаарай. 4. Өөр нэг чухал боломж бол Secure Downloads and Diagnostics юм. Энэхүү програм хангамжийн онцлог нь програм хангамжид суулгасан тоон гарын үсгээр дамжуулан дискийг програм хангамжийн халдлагаас хамгаалдаг. Татаж авах шаардлагатай үед дижитал гарын үсэг нь драйв руу зөвшөөрөлгүй нэвтрэхээс сэргийлж, хуурамч программыг драйв руу ачаалахаас сэргийлдэг.

SED-тэй Hyperflex суулгана

• Асуулт 4.1: Суулгагч SED байршуулалтыг хэрхэн зохицуулдаг вэ? Тусгай шалгалт байдаг уу?
  А 4.1: Суулгагч нь UCSM-тэй харилцаж, системийн програм хангамж зөв, илрүүлсэн техник хангамжийг дэмждэг эсэхийг баталгаажуулдаг. Шифрлэлтийн нийцтэй байдлыг шалгаж, хэрэгжүүлдэг (жишээ нь, SED болон SED бусыг холихгүй).
• Асуулт 4.2: Байршлуулалт өөр өөр байна уу?
  А 4.2: Уг суулгалт нь ердийн HX суулгацтай төстэй боловч SED-д зориулсан тусгай ажлын урсгалыг дэмждэггүй. Энэ үйлдэл нь SED-д UCSM-ийн итгэмжлэлийг шаарддаг.
• Асуулт 4.3: Лиценз нь шифрлэлттэй хэрхэн ажилладаг вэ? Байршуулах шаардлагатай нэмэлт зүйл байна уу?
  А 4.3: SED техник хангамж (үйлдвэрээс захиалсан, сайжруулаагүй) + HXDP 2.5 + UCSM (3.1(3x)) нь түлхүүр удирдлагатай шифрлэлтийг идэвхжүүлэхэд шаардлагатай цорын ганц зүйл юм. 2.5 хувилбарт шаардлагатай үндсэн HXDP захиалгаас гадна нэмэлт лиценз байхгүй.
• Асуулт 4.4: Надад хөтчүүд байхгүй болсон SED системтэй бол яах вэ? Би энэ кластерыг хэрхэн өргөжүүлэх вэ?
  А 4.4: Бид ханган нийлүүлэгчдийнхээ ашиглалтын хугацаа дууссан PID-г авах бүрд хуучин PID-тэй нийцтэй орлуулах PID-тэй болно. Энэхүү орлуулах PID-ийг RMA, зангилаа доторх өргөтгөл, кластерын өргөтгөл (шинэ зангилаатай) зэрэгт ашиглаж болно. Бүх аргуудыг дэмждэг боловч шилжилтийн хувилбарын тэмдэглэлд мөн тодорхойлогдсон тодорхой хувилбар руу шинэчлэх шаардлагатай байж болно.

Гол менежмент

• Асуулт 5.1: Түлхүүр менежмент гэж юу вэ?
  А 5.1: Түлхүүр менежмент нь шифрлэлтийн түлхүүрүүдийг хамгаалах, хадгалах, нөөцлөх, зохион байгуулахтай холбоотой ажлууд юм. HX үүнийг UCSM төвтэй бодлогод хэрэгжүүлдэг.
• Асуулт 5.2: Түлхүүр тохиргоог ямар механизм дэмждэг вэ?
  А 5.2: UCSM нь аюулгүй байдлын түлхүүрүүдийг тохируулахад дэмжлэг үзүүлдэг.
• Асуулт 5.3: Ямар төрлийн түлхүүр менежмент боломжтой вэ?
  А 5.3: Түлхүүрүүдийн орон нутгийн удирдлага, гуравдагч талын түлхүүрийн удирдлагын серверүүд бүхий байгууллагын түвшний алсын удирдлагатай түлхүүрүүдийг дэмждэг.
• Асуулт 5.4: Алсын удирдлагатай хамтрагчид хэн бэ?
  А 5.4: Бид одоогоор Vormetric болон Gemalto (Safenet) -ийг дэмждэг бөгөөд өндөр хүртээмжтэй (HA) багтдаг. HyTrust туршилтанд хамрагдаж байна.
• Асуулт 5.5: Алсын зайнаас түлхүүрийн удирдлага хэрхэн хэрэгждэг вэ?
  А 5.5: Алсын түлхүүрийн удирдлагыг KMIP 1.1-ээр удирддаг.
• Асуулт 5.6: Орон нутгийн удирдлага хэрхэн тохируулагдсан бэ?
  А 5.6: Аюулгүй байдлын түлхүүрийг (KEK) HX Connect-д хэрэглэгч шууд тохируулдаг.
• Асуулт 5.7: Алсын удирдлага хэрхэн тохируулагдсан бэ?
  А 5.7: Алсын түлхүүрийн удирдлагын (KMIP) серверийн хаягийн мэдээлэл болон нэвтрэх итгэмжлэлийг хэрэглэгч HX Connect-д тохируулсан.
• Асуулт 5.8: HX-ийн аль хэсэг нь KMIP сервертэй холбогдож тохиргоо хийх вэ?
  А 5.8: Зангилаа бүр дээрх CIMC нь KMIP серверт холбогдож, аюулгүй байдлын түлхүүрийг (KEK) авахын тулд энэ мэдээллийг ашигладаг.
  
• Асуулт 5.9: Түлхүүр үүсгэх/дахин сэргээх/шинэчлэх үйл явцад ямар төрлийн гэрчилгээг дэмждэг вэ?
  А 5.9: CA гарын үсэг зурсан болон өөрөө гарын үсэг зурсан гэрчилгээг хоёуланг нь дэмждэг.
  
• Асуулт 5.10: Шифрлэлтийн процесс нь ямар ажлын урсгалыг дэмждэг вэ?
  А 5.10: Тусгай нууц үг ашиглан хамгаалах/хамгаалалтгүй болгох нь дотоодоос алсаас түлхүүрийн удирдлагын хөрвүүлэлтийн хамт дэмжигддэг. Түлхүүрийг дахин хийх үйлдлийг дэмждэг. Аюулгүй диск устгах ажиллагааг мөн дэмждэг.
  

Хэрэглэгчийн ажлын урсгал: Орон нутгийн

• Асуулт 6.1: HX Connect дээр би дотоод түлхүүрийн менежментийг хаана тохируулсан бэ?
  А 6.1: Шифрлэлтийн хяналтын самбараас тохируулах товчийг сонгоод шидтэнг дагана уу.
• Асуулт 6.2: Үүнийг эхлүүлэхийн тулд надад юу бэлэн байх ёстой вэ?
  А 6.2: Та 32 тэмдэгт бүхий аюулгүй байдлын нууц үг оруулах шаардлагатай.
• Асуулт 6.3: Хэрэв би шинэ SED оруулах шаардлагатай бол яах вэ?
  А 6.3: UCSM-д та орон нутгийн аюулгүй байдлын бодлогыг засаж, байршуулсан түлхүүрийг одоо байгаа зангилааны түлхүүр рүү тохируулах шаардлагатай болно.
• 6.4-р асуулт: Би шинэ диск оруулахад юу болох вэ?
  А 6.4: Хэрэв диск дээрх аюулгүй байдлын түлхүүр нь серверийн (зангилаа) түлхүүртэй таарч байвал автоматаар түгжээг нь тайлна. Аюулгүй байдлын түлхүүрүүд өөр бол диск нь "Түгжигдсэн" гэж харагдах болно. Та бүх өгөгдлийг устгахын тулд дискийг цэвэрлэж эсвэл зөв түлхүүрийг оруулснаар түгжээг тайлж болно. Энэ бол TAC-тай ажиллахад тохиромжтой цаг юм.

Хэрэглэгчийн ажлын урсгал: Алсын

• Асуулт 7.1: Алсын удирдлагатай түлхүүрийн удирдлагын тохиргоонд би анхаарах ёстой зүйл юу вэ?
  А 7.1: Кластер болон KMIP сервер(үүд) хоорондын холбоо зангилаа бүр дээрх CIMC дээр явагдана. Энэ нь зөвхөн Inband IP хаяг болон DNS-г CIMC удирдлага дээр тохируулсан тохиолдолд л хостын нэрийг KMIP серверт ашиглах боломжтой гэсэн үг юм.
• Асуулт 7.2: Хэрэв би шинэ SED солих эсвэл оруулах шаардлагатай бол яах вэ?
  А 7.2: Кластер нь дискнээс танигчийг уншиж, автоматаар түгжээг тайлахыг оролдох болно. Хэрэв автоматаар түгжээг тайлж чадахгүй бол диск "түгжигдсэн" гэж гарч ирэх бөгөөд хэрэглэгч гараар дискний түгжээг тайлах шаардлагатай болно. Та итгэмжлэл солилцохын тулд гэрчилгээг KMIP сервер(үүд) рүү хуулах хэрэгтэй болно.
• Асуулт 7.3: Би кластераас KMIP сервер(үүд) рүү гэрчилгээг хэрхэн хуулах вэ?
  А 7.3: Үүнийг хийх хоёр арга бий. Та гэрчилгээг BMC-ээс KMIP сервер рүү шууд хуулах эсвэл CSR ашиглан CA гарын үсэгтэй гэрчилгээ авч, CA-ийн гарын үсэгтэй гэрчилгээг UCSM командыг ашиглан BMC руу хуулж болно.
• Асуулт 7.4: Алсын түлхүүрийн удирдлагыг ашигладаг кластерт шифрлэгдсэн зангилаа нэмэхэд анхаарах зүйл юу вэ?
  А 7.4: KMIP сервер(үүд)-д шинэ хостуудыг нэмэх үед ашигласан хостын нэр нь серверийн серийн дугаар байх ёстой. KMIP серверийн гэрчилгээг авахын тулд та хөтөч ашиглан KMIP сервер(үүд)-ийн үндсэн гэрчилгээг авах боломжтой.

Хэрэглэгчийн ажлын явц: Ерөнхий

• Асуулт 8.1: Би дискийг хэрхэн устгах вэ?
  А 8.1: HX Connect хяналтын самбараас системийн мэдээллийг сонгоно уу view. Эндээс та аюулгүйгээр устгахын тулд тусдаа дискийг сонгож болно.
• Асуулт 8.2: Хэрэв би дискийг санамсаргүйгээр устгавал яах вэ?
  А 8.2: Аюулгүй устгалыг ашиглах үед өгөгдлийг бүрмөсөн устгадаг
• Асуулт 8.3: Би зангилаа цуцлах эсвэл үйлчилгээний мэргэжилтэнг салгах үед юу болох вэfile?
  А 8.3: Эдгээр үйлдлийн аль нь ч диск/хянагч дээрх шифрлэлтийг арилгахгүй.
• Асуулт 8.4: Шифрлэлт хэрхэн идэвхгүй болох вэ?
  А 8.4: Хэрэглэгч HX Connect дээрх шифрлэлтийг тодорхой идэвхгүй болгох ёстой. Хэрэв хэрэглэгч холбогдох серверийг хамгаалсан үед UCSM дахь аюулгүй байдлын бодлогыг устгахыг оролдвол UCSM нь тохиргооны алдааг харуулж, үйлдлийг зөвшөөрөхгүй. Аюулгүй байдлын бодлогыг эхлээд идэвхгүй болгох хэрэгтэй.

Хэрэглэгчийн ажлын урсгал: Сертификатын менежмент

• Асуулт 9.1: Алсын удирдлагын тохиргооны үед гэрчилгээг хэрхэн зохицуулдаг вэ?
  А 9.1: Сертификатуудыг HX Connect болон алсын KMIP сервер(үүд) ашиглан үүсгэсэн. Нэгэнт үүсгэсэн гэрчилгээ бараг хэзээ ч устахгүй.
• Асуулт 9.2: Би ямар төрлийн гэрчилгээ ашиглаж болох вэ?
  А 9.2: Та өөрөө гарын үсэг зурсан гэрчилгээ эсвэл CA гэрчилгээг ашиглаж болно. Тохируулах явцад та сонгох хэрэгтэй. CA-д гарын үсэг зурсан гэрчилгээний хувьд та Сертификат гарын үсэг зурах хүсэлтийн багц (CSRs) үүсгэх болно. Гарын үсэг зурсан гэрчилгээг KMIP сервер(үүд)-д байршуулсан.
• Асуулт 9.3: Би гэрчилгээ үүсгэхдээ ямар хост нэрийг ашиглах ёстой вэ?
  А 9.3: Сертификат үүсгэхэд ашигласан хостын нэр нь серверийн серийн дугаар байх ёстой.

Програмын шинэчлэлт

• Асуулт 10.1: Дискний програм хангамжийг шинэчлэхэд хязгаарлалт байгаа юу?
  А 10.1: Хэрэв шифрлэх чадвартай драйв илэрсэн бол тухайн дискний програм хангамжийн өөрчлөлтийг зөвшөөрөхгүй.
• Асуулт 10.2: UCSM програм хангамжийг шинэчлэхэд ямар нэгэн хязгаарлалт байгаа юу?
  А 10.2: UCSM/CIMC-ийн UCSM 3.1(3x) өмнөх хувилбарт шилжих нь хамгаалалттай байдалд байгаа хянагч байгаа тохиолдолд хязгаарлагдана.

Дэлгэрэнгүй мэдээллийг аюулгүйгээр устгах

• Асуулт 11.1: Secure Erase гэж юу вэ?
  А 11.1: Аюулгүй устгах нь хөтөч дээрх өгөгдлийг шууд устгах (дискний шифрлэлтийн түлхүүрийг арчих) юм. Энэ нь драйв дээр хадгалагдсан 256 битийн шифрлэлтийн түлхүүрийг өөрчлөхийн тулд энгийн баталгаажсан тушаалыг драйв руу илгээж болно гэсэн үг юм. Энэ нь драйвыг цэвэрлэж, ямар ч өгөгдөл үлдэхгүй гэдгийг баталгаажуулдаг. Анхны хост систем хүртэл өгөгдлийг уншиж чадахгүй тул өөр ямар ч систем унших боломжгүй болно. Шифрлэгдээгүй дискэн дээрх ижил төстэй үйлдлийг гүйцэтгэхэд олон минут, бүр хэдэн цаг зарцуулдагтай харьцуулахад энэ ажиллагаа хэдхэн секунд зарцуулагддаг бөгөөд өндөр өртөгтэй төхөөрөмж, үйлчилгээний өртөгөөс зайлсхийдэг.
• Асуулт 11.2: Аюулгүй устгах ажиллагааг хэрхэн гүйцэтгэдэг вэ?
  А 11.2: Энэ нь нэг удаад нэг дискээр хийгддэг GUI үйлдэл юм.
• Асуулт 11.3: Аюулгүй устгах ажиллагааг ихэвчлэн хэзээ хийдэг вэ?
  А 11.3: Хэрэглэгчийн санаачилсан нэг дискийг аюулгүйгээр устгах нь ховор үйлдэл юм. Энэ нь ихэвчлэн дискийг солихын тулд дискийг арилгах, өөр зангилаа руу шилжүүлэх эсвэл ойрын ирээдүйд бүтэлгүйтлээс зайлсхийхийг хүссэн үед хийгддэг.
• Асуулт 11.4: Аюулгүй устгахад ямар хязгаарлалт байдаг вэ?
  А 11.4: Аюулгүй устгах үйлдлүүд нь кластерын эвдрэлийг тэсвэрлэх чадварт нөлөөлөхгүйн тулд кластер эрүүл байгаа тохиолдолд л хийгдэх боломжтой.
• Асуулт 11.5: Хэрэв би бүхэл бүтэн зангилаа арилгах шаардлагатай бол яах вэ?
  А 11.5: Бүх хөтчүүдийг аюулгүйгээр устгахыг дэмжихийн тулд зангилаа арилгах, зангилаа солих ажлын урсгалууд байдаг. Дэлгэрэнгүйг админ гарын авлагаас үзнэ үү эсвэл Cisco TAC-аас лавлана уу.
• Асуулт 11.6: Аюулгүй устгасан дискийг дахин ашиглах боломжтой юу?
  А 11.6: Аюулгүй устгасан дискийг зөвхөн өөр кластерт дахин ашиглах боломжтой. SED-ийг аюулгүйгээр устгах нь дискний шифрлэлтийн түлхүүрийг (DEK) арчих замаар хийгддэг. Диск дэх өгөгдлийг DEK-гүйгээр шифрлэх боломжгүй. Энэ нь танд өгөгдөлд хохирол учруулахгүйгээр дискийг дахин ашиглах эсвэл ашиглалтаас гаргах боломжийг олгоно.
• Асуулт 11.7: Миний устгахыг хүсэж буй диск нь кластерийн мэдээллийн сүүлчийн үндсэн хуулбарыг агуулж байвал яах вэ?
  А 11.7: Өгөгдөл алдагдахаас зайлсхийхийн тулд диск дээрх өгөгдөл нь кластерт өөр хуулбартай байх ёстой. Гэсэн хэдий ч, хэрэв хамгийн сүүлийн үндсэн хуулбар болох диск дээр аюулгүй устгах хүсэлт гаргавал дор хаяж нэг хуулбар байгаа болтол энэ үйлдлээс татгалзах болно. Дахин тэнцвэржүүлэх нь энэ хуулбарыг арын дэвсгэр дээр хийх ёстой.
• Асуулт 11.8: Би үнэхээр дискийг аюулгүйгээр устгах хэрэгтэй байна, гэхдээ кластер эрүүл биш байна. Би үүнийг яаж хийх вэ?
  А 11.8: Командын мөр (STCLI/HXCLI) нь кластер эрүүл бус, дискэнд сүүлийн үндсэн хуулбар байхгүй үед аюулгүй устгах боломжийг олгоно, эс тэгвээс үүнийг зөвшөөрөхгүй.
• 11.9-р асуулт: Би бүхэл бүтэн зангилааг хэрхэн аюулгүйгээр устгах вэ?
  А 11.9: Энэ бол ховор тохиолдол юм. Зангилаа дахь бүх дискийг аюулгүйгээр устгах нь зангилааг кластераас гаргахыг хүссэн үед хийгддэг. Зорилго нь зангилааг өөр кластерт байрлуулах эсвэл зангилааг цуцлах явдал юм. Энэ хувилбарт зангилааг арилгах ажлыг бид хоёр өөр аргаар ангилж болно:
  1. Шифрлэлтийг идэвхгүй болгохгүйгээр бүх дискийг аюулгүйгээр устгана уу
  2. Бүх дискийг аюулгүйгээр устгаж, дараа нь тухайн зангилааны (болон дискний) шифрлэлтийг идэвхгүй болго. Тусламж авахыг хүсвэл Cisco TAC-тай холбогдоно уу.

Кластерын аюулгүй өргөтгөл

• Асуулт 12.1: Би шифрлэгдсэн кластерийг ямар төрлийн зангилаагаар өргөжүүлж болох вэ?
  А 12.1: SED-тэй HX кластерт зөвхөн SED чадвартай зангилаа нэмж болно.
• Асуулт 12.2: Орон нутгийн түлхүүрийн удирдлагатай өргөтгөлийг хэрхэн зохицуулдаг вэ?
  А 12.2: Орон нутгийн түлхүүрийн өргөтгөл нь гадны тохиргоо шаардлагагүй, тасралтгүй ажиллагаа юм.
• Асуулт 12.3: Алсын удирдлагатай түлхүүрийн өргөтгөлийг хэрхэн зохицуулдаг вэ?
  А 12.3: Түлхүүрийг алсаас өргөтгөхөд гэрчилгээ/түлхүүрийн удирдлагын дэд бүтэцтэй түгжигдэх шаардлагатай:
  • Шинэ зангилааг найдвартай нэмэхийн тулд гэрчилгээ шаардлагатай
  • Байрлуулалт нь гэрчилгээг татаж авах холбоосыг оруулаад үргэлжлүүлэх алхмуудыг агуулсан анхааруулгыг харуулах болно
  • Хэрэглэгч сертификат(ууд)-ыг байршуулах алхмуудыг дагаж, дараа нь байршуулалтыг дахин оролдоно

Туслах баримт бичиг

Микрон:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• FIPS 140-2-д батлагдсан крипто алгоритмуудын жагсаалт: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDET:

• Төсөл: CSC.nuova Бүтээгдэхүүн: ucs-blade-server Бүрэлдэхүүн хэсэг: ucsm

SED функциональ үзүүлэлт:

• EDCS: 1574090

SED CIMC тодорхойлолт:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Захидлын жагсаалт:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Баримт бичиг / нөөц

CISCO HyperFlex HX мэдээллийн платформ [pdf] Заавар HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platform

Лавлагаа

• Хэрэглэгчийн гарын авлага