加密规划包括首先购买许可功能,然后在系统上激活并启用该功能。 系统支持两种配置加密方法。您可以使用包含加密密钥的 USB 闪存驱动器或使用集中式密钥服务器来创建和管理密钥。这两种方法可同时启用,以提供冗余。
要加密驱动器上存储的数据,连接这些驱动器的控制机柜必须包含有效许可证并配置为使用加密。如果已在系统上激活和启用加密,那么在系统解锁
驱动器或用户生成新密钥时,系统上必须存在有效的加密密钥。如果在系统上启用了 USB 加密,那么加密密钥必须存储在包含启用加密时所生成密钥的副本的 USB 闪存驱动器中。 如果在系统上启用了密钥服务器加密,那么将从密钥服务器检索密钥。
如果使用加密来保护复制到云存储器的数据,云帐户将始终与系统加密设置同步。 如果同时配置了 USB 闪存驱动器和密钥服务器,那么创建的云帐户将同时支持这些方法。 如果只配置了一种加密方法而禁用了另一种,那么云帐户将使用剩余的已配置加密方法支持加密。 为确保云帐户支持加密,在创建云帐户时,必须为两种方法或其中的一种方法配置活动密钥。
如果使用一种加密方法创建了云帐户,您可以在稍后配置第二种方法,但进行配置时该云帐户必须为联机状态。 配置第二种方法后,该云帐户将同时支持两种密钥提供程序。
要在系统上使用加密功能,必须购买加密许可证、在系统上激活该许可证、启用加密
并创建密钥副本。 如果未购买许可证,请联系客户代表以购买加密许可证。
激活和启用加密功能之前,必须确定在系统要
求提供加密密钥时访问密钥信息的方法。 系统要求在以下操作期间提供加密密钥:- 系统开机
- 系统重新启动
- 用户启动再加密操作
- 系统恢复
- 卸下或更换自加密驱动器
进行加密规划时,必须考虑以下几个因素。
- 系统的物理安全性
- 系统要求时手动访问加密密钥的需求和优势
- 密钥数据的可用性
- 购买加密许可证,并在系统上进行激活和启用
- 如果您要使用 IBM Security Key Lifecycle
Manager 来创建和管理密钥,那么请确保您使用的是 V2.7.0 或更高版本。如果使用的是 V2.7,那么系统将支持一个主密钥服务器和多个辅助密钥服务器。但是,复制是手动过程,在再加密操作期间,密钥不可用,直至复制完成。如果使用 V3.0 或更高版本,那么系统将支持多个主密钥服务器,这些服务器会自动将密钥复制到所有已配置的密钥服务器。
- 如果您要使用 Gemalto SafeNet KeySecure 密钥服务器来创建和管理密钥,那么请确定系统是否需要用户名和密码向 KeySecure 密钥服务器进行认证。如果计划使用用户名和密码向这些密钥服务器认证系统,那么必须在 KeySecure 界面中配置用户凭证进行认证。对于 V8.10 和更高版本的 KeySecure,管理员可以配置用户名和密码,以在连接时对系统进行认证。在 KeySecure V8.10 之前,密码是可选的。
密钥服务器加密
密钥服务器提供理想的实用功能,例如,负责加密密钥生成和备份以及遵循有助于实现互操作性的开放式标准。 计划密钥服务器加密时,务必考虑以下各项。
- SSL 证书
- 证书是一种主要方法,供密钥服务器用于认证客户机(例如,系统节点),并供客户机用于认证密钥服务器以验证是否允许访问密钥服务器中存储的密钥。 客户机认证确保密钥服务器不会将密钥访问权授予不受信任方。 密钥服务器认证确保客户机不会索要将由不受信任方存储的敏感密钥。 系统需要服务器证书以允许其与 Security Key Lifecycle Manager 服务器通信。 在配置密钥服务器过程中,用户必须导出认证密钥服务器证书所需的认证中心 (CA) 证书,并将其安装到系统中。 所有 Security Key Lifecycle Manager 密钥服务器都可以配置为使用单个 CA 证书(用于所有密钥服务器),或者配置为各个密钥服务器具有各自的自签名证书。 此外,用户必须在每个密钥服务器中安装系统证书,然后 Security Key Lifecycle Manager 管理员会接受此证书,以便为系统授予对密钥服务器的访问权。 实现密钥服务器加密要求具有一个外部密钥服务器,用于生成密钥和充当这些密钥的存储库。
- 系统需求
- 目前仅支持一种类型的密钥服务器。 系统实施密钥管理互操作性协议 (KMIP),此协议通过客户机与服务器之间的 SSL 连接来发送数据。 提供了对自签名证书和 CA 签名的证书的支持。
系统验证服务器的 SSL 证书并遵守 KMIP 标准。 现有 SAS 硬件需要访问至少一个主密钥来进行解锁,并需要能够响应密钥服务器主密钥。 首次启用密钥服务器是一个简单的过程。 启用密钥服务器加密后,可以配置和启用类型,可以创建服务器端点,然后可以准备和落实密钥。
- 安全性需求
- 所有密钥服务器通信的安全性由 TLS 1.2 协议管理。 加密密钥使用 TLS 1.2 在系统中建立集群。
系统使用 AES-128 加密,这种加密使用 OpenSSL 库接口。
- IP 地址和端口
所有要与密钥服务器通信的节点都必须配置了服务 IP 地址。 节点必须配置了完整服务 IP 协议集(地址、网关和掩码),才能作为候选节点尝试联系密钥服务器。 通常,会在专用 LAN 上设置密钥服务器,这需要强制实施服务 IP 地址。 如果仅节点的子集设置了服务 IP 地址,那么没有服务 IP 地址的节点将记录错误。 用户提供的 IP 地址必须是系统用于和密钥服务器通信的 IP 地址。
每个密钥服务器都具有与其访问权相关联的 TCP 端口。 由于密钥服务器为多个客户机提供服务,因此系统允许用户针对每个服务器使用不同端口,并在需要时启用对该端口的访问权。KMIP 服务器一致性要求支持 TCP 端口 5696,因此,这是服务器端点的缺省端口。
- 密钥生成策略和密钥数据库
如果启用了密钥服务器加密,那么密钥服务器会生成并管理主密钥。
节点生成所有其他密钥。
根据使用的密钥服务器的类型,密钥数据库可以是建立集群的,也是可以是未建立集群的。 对于未建立集群的密钥服务器,用户需要考虑备份和复制密钥数据库。 Security Key Lifecycle Manager 是密钥服务器产品的一个示例,必须配置复制以自动在 Security Key Lifecycle Manager 实例间共享加密密钥。
未配置复制时,必须使用手动备份和复原操作。 其他产品可以自行复制,因此其他密钥服务器实例会自动创建任何新的密钥。 对于 Security Key Lifecycle Manager,通过遵循 Security Key Lifecycle Manager 用户指南完成备份和复原。
- 更新密钥服务器加密的需求
如果在低于 7.8.0 代码级别系统上启用了加密,并且系统已更新至 7.8.x 或更高代码级别,那么必须运行 USB 再加密操作才可以启用密钥服务器加密。 在启用密钥服务器加密之前,请使用
管理 GUI 或运行
chencryption 命令。 要执行再加密操作,请使用
管理 GUI 或运行以下命令。
chencyrption-usb newkey-key preparechencryption-usb newkey-key commit
再加密操作必须在完成更新至 7.8.x 代码级别或更高级别之后且在尝试启用密钥服务器加密之前运行。