CISCO HyperFlex HX-Datenplattform

Produktinformationen

• Produktname: HX-Sicherheitsverschlüsselung
• Version: HXDP 5.01b
• Verschlüsselungslösung: Softwarebasierte Lösung mit Intersight Key Manager
• Verschlüsselungstyp: Selbstverschlüsselnde Laufwerke (SEDs)
• Unterstützte Laufwerkstypen: HDD- und SSD-SEDs von Micron
• Compliance-Standards: FIPS 140-2 Level 2 (Laufwerkshersteller) und FIPS 140-2 Level 1 (Plattform)
• Clusterweite Verschlüsselung: Die Verschlüsselung auf HX wird in Hardware nur für ruhende Daten unter Verwendung von SEDs implementiert.
• Individuelle VM-Verschlüsselung: Wird von Drittanbietersoftware wie Hytrust oder dem transparenten Client von Vormetric verwaltet
• VMware Native VM-Verschlüsselung: Unterstützt von HX zur Verwendung mit SED-Verschlüsselung
• Schlüsselverwaltung: Media Encryption Key (MEK) und Key Encryption Key (KEK) werden für jedes SED verwendet
• Speichernutzung: Verschlüsselungsschlüssel sind nie im Knotenspeicher vorhanden
• Auswirkungen auf die Leistung: Die Verschlüsselung/Entschlüsselung der Festplatte erfolgt über die Laufwerkshardware, die Gesamtleistung des Systems wird dadurch nicht beeinträchtigt.
• Zusätzliche Vorteile von SEDs:
  • Sofortige kryptografische Löschung für geringere Kosten bei der Außerbetriebnahme und Neubereitstellung von Laufwerken
  • Einhaltung gesetzlicher oder branchenspezifischer Vorschriften zum Datenschutz
  • Reduziertes Risiko von Festplattendiebstahl und Knotendiebstahl, da die Daten nach dem Entfernen der Hardware unlesbar werden

Anweisungen zur Produktverwendung

Um die HX-Sicherheitsverschlüsselung zu verwenden, befolgen Sie diese Anweisungen:

1. Stellen Sie sicher, dass Ihr System hardwarebasierte Verschlüsselung unterstützt oder dass Sie die softwarebasierte Lösung mit Intersight Key Manager bevorzugen.
2. Informationen zur softwarebasierten Verschlüsselung finden Sie in den Administrationsdokumenten oder Whitepapern.
3. Wenn Sie sich für die hardwarebasierte Verschlüsselung mit SEDs entscheiden, stellen Sie sicher, dass Ihr HX-Cluster aus einheitlichen Knoten (SEDs oder Nicht-SEDs) besteht.
4. Bei SEDs müssen Sie beachten, dass zwei Schlüssel verwendet werden: der Media Encryption Key (MEK) und der Key Encryption Key (KEK).
5. Der MEK steuert die Ver- und Entschlüsselung der Daten auf der Festplatte und wird in der Hardware gesichert und verwaltet.
6. Der KEK sichert den MEK/DEK und wird entweder in einem lokalen oder Remote-Schlüsselspeicher verwaltet.
7. Machen Sie sich keine Sorgen darüber, ob die Schlüssel im Knotenspeicher vorhanden sind, da Verschlüsselungsschlüssel nie dort gespeichert werden.
8. Beachten Sie, dass die Festplattenverschlüsselung/-entschlüsselung in der Laufwerkshardware erfolgt, sodass die Gesamtsystemleistung nicht beeinträchtigt wird.
9. Wenn Sie besondere Anforderungen an Konformitätsstandards haben, beachten Sie, dass mit HX SED verschlüsselte Laufwerke den FIPS 140-2 Level 2-Standards der Laufwerkshersteller entsprechen, während die HX-Verschlüsselung auf der Plattform den FIPS 140-2 Level 1-Standards entspricht.
10. Wenn Sie einzelne VMs verschlüsseln müssen, sollten Sie Drittanbietersoftware wie Hytrust oder den transparenten Client von Vormetric verwenden. Alternativ können Sie die native VM-Verschlüsselung von VMware verwenden, die in vSphere 3 eingeführt wurde.
11. Bedenken Sie, dass die Verwendung eines VM-Verschlüsselungsclients zusätzlich zur HX SED-basierten Verschlüsselung zu einer doppelten Verschlüsselung der Daten führt.
12. Stellen Sie zur sicheren Replikation sicher, dass Ihr HX-Cluster über vertrauenswürdige Netzwerke oder verschlüsselte Tunnel verbunden ist, da die HX-Replikation nicht verschlüsselt ist.

Häufig gestellte Fragen zur HX Security-Verschlüsselung

Ab HXDP 5.01b bietet HyperFlex eine softwarebasierte Lösung mit Intersight Key Manager für Systeme, die entweder keine hardwarebasierte Verschlüsselung unterstützen oder für Benutzer, die diese Funktionalität gegenüber Hardwarelösungen bevorzugen. Diese FAQ konzentriert sich nur auf SED-basierte Hardwarelösungen für HX-Verschlüsselung. Informationen zur softwarebasierten Verschlüsselung finden Sie in den Verwaltungsdokumenten oder Whitepapers.

Voreingenommenheitserklärung
Die Dokumentation für dieses Produkt ist bestrebt, eine vorurteilsfreie Sprache zu verwenden. Für die Zwecke dieser Dokumentation wird vorurteilsfrei als Sprache definiert, die keine Diskriminierung aufgrund von Alter, Behinderung, Geschlecht, Rasse, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Ausnahmen können in der Dokumentation aufgrund von Sprache vorhanden sein, die in den Benutzeroberflächen der Produktsoftware fest codiert ist, Sprache, die auf der Grundlage von Standarddokumentationen verwendet wird, oder Sprache, die von einem referenzierten Produkt eines Drittanbieters verwendet wird.

Warum Cisco für Sicherheit und HX-Verschlüsselung 

• F 1.1: Welche Prozesse gibt es für eine sichere Entwicklung?
  Antwort 1.1: Cisco-Server entsprechen dem Cisco Secure Development Lifecycle (CSDL):
  • Cisco bietet Prozesse, Methoden und Frameworks zur Entwicklung eingebetteter Sicherheit auf Cisco-Servern, nicht nur ein Overlay
  • Dediziertes Cisco-Team für Bedrohungsmodellierung/statische Analyse des UCS-Produktportfolios
  • Die Cisco Advanced Security Initiative Group (ASIG) führt proaktive Penetrationstests durch, um zu verstehen, wie Bedrohungen eindringen und Probleme zu beheben, indem sie HW und SW durch CDETS und Engineering verbessert
  • Eigenes Cisco-Team testet und behandelt ausgehende Schwachstellen und kommuniziert als Sicherheitsberater mit Kunden
  • Alle zugrunde liegenden Produkte durchlaufen die Product Security Baseline Requirements (PSB), die die Sicherheitsstandards für Cisco-Produkte regeln.
  • Cisco führt bei allen UCS-Versionen Schwachstellen-/Protokollrobustheitstests durch
• F 1.2: Warum sind SEDs wichtig?
  Antwort 1.2: SEDs werden für die Verschlüsselung ruhender Daten verwendet und sind für viele (wenn nicht alle) staatliche, medizinische und Finanzinstitutionen eine Voraussetzung.

Allgemeine Informationen vorbeiview

• F 2.1: Was sind SEDs?
  Antwort 2.1: SED (Self-Encrypting Drives) verfügen über spezielle Hardware, die eingehende Daten verschlüsselt und ausgehende Daten in Echtzeit entschlüsselt.
• F 2.2: Welchen Umfang hat die Verschlüsselung auf HX?
  Antwort 2.2: Die Verschlüsselung auf HX wird derzeit in Hardware für ruhende Daten nur mithilfe verschlüsselter Laufwerke (SEDs) implementiert. Die HX-Verschlüsselung gilt clusterweit. Die Verschlüsselung einzelner VMs wird von Drittanbietersoftware wie Hytrust oder dem transparenten Client von Vormetric übernommen und liegt außerhalb des Zuständigkeitsbereichs von HX. HX unterstützt auch die Verwendung der nativen VM-Verschlüsselung von VMware, die in vSphere 3 eingeführt wurde. Die Verwendung eines VM-Verschlüsselungsclients zusätzlich zur HX SED-basierten Verschlüsselung führt zu einer doppelten Verschlüsselung der Daten. Die HX-Replikation ist nicht verschlüsselt und basiert auf vertrauenswürdigen Netzwerken oder verschlüsselten Tunneln, die vom Endbenutzer bereitgestellt werden.
• F 2.3: Welche Compliance-Standards werden mit der HX-Verschlüsselung erfüllt?
  Antwort 2.3: Mit HX SED verschlüsselte Laufwerke erfüllen die FIPS 140-2 Level 2-Standards der Laufwerkshersteller. Die HX-Verschlüsselung auf der Plattform erfüllt die FIPS 140-2 Level 1-Standards.
• F 2.4: Unterstützen wir sowohl HDD- als auch SSD-Verschlüsselung?
  Antwort 2.4: Ja, wir unterstützen sowohl HDD- als auch SSD-SEDs von Micron.
• F 2.5: Kann ein HX-Cluster gleichzeitig verschlüsselte und unverschlüsselte Laufwerke haben?
  Antwort 2.5: Alle Knoten im Cluster müssen einheitlich sein (SEDs oder Nicht-SEDs)
• F 2.6: Welche Schlüssel werden für ein SED verwendet und wie werden sie verwendet?
  Antwort 2.6: Für jedes SED werden zwei Schlüssel verwendet. Der Media Encryption Key (MEK), auch Disk Encryption Key (DEK) genannt, steuert die Verschlüsselung und Entschlüsselung der Daten auf der Festplatte und wird in der Hardware gesichert und verwaltet. Der Key Encryption Key (KEK) sichert den DEK/MEK und wird entweder in einem lokalen oder Remote-Schlüsselspeicher verwaltet.
• F 2.7: Sind die Schlüssel immer im Speicher vorhanden?
  Antwort 2.7: Verschlüsselungsschlüssel sind nie im Knotenspeicher vorhanden
• F 2.8: Welchen Einfluss hat der Verschlüsselungs-/Entschlüsselungsprozess auf die Leistung?
  Antwort 2.8: Die Verschlüsselung/Entschlüsselung der Festplatte erfolgt über die Laufwerkshardware. Die Gesamtleistung des Systems wird dadurch nicht beeinträchtigt und es besteht kein Risiko von Angriffen auf andere Systemkomponenten.
• F 2.9: Welche Gründe gibt es außer der Verschlüsselung gespeicherter Daten noch für die Verwendung von SEDs?
  Antwort 2.9: SEDs können die Kosten für die Außerbetriebnahme und Neubereitstellung von Laufwerken durch sofortige kryptografische Löschung senken. Sie dienen auch dazu, staatliche oder branchenspezifische Vorschriften zum Datenschutz einzuhalten. Ein weiterer VorteiltagDies ist das geringere Risiko eines Festplatten- und Knotendiebstahls, da die Daten nicht mehr lesbar sind, sobald die Hardware aus dem Ökosystem entfernt wird.
• F2.10: Was passiert bei Deduplizierung und Komprimierung mit SEDs? Was passiert bei softwarebasierter Verschlüsselung durch Drittanbieter?
  A2.10: Deduplizierung und Komprimierung mit SEDs auf HX bleiben erhalten, da die Verschlüsselung der ruhenden Daten als letzter Schritt im Schreibvorgang erfolgt. Deduplizierung und Komprimierung haben bereits stattgefunden. Mit softwarebasierten Verschlüsselungsprodukten von Drittanbietern verwalten die VMs ihre Verschlüsselung und übergeben verschlüsselte Schreibvorgänge an den Hypervisor und anschließend an HX. Da diese Schreibvorgänge bereits verschlüsselt sind, werden sie nicht dedupliziert oder komprimiert. HX Software Based Encryption (in der 3.x-Codelinie) wird eine Softwareverschlüsselungslösung sein, die im Stapel implementiert wird, nachdem Schreiboptimierungen (Deduplizierung und Komprimierung) stattgefunden haben, sodass der Vorteil in diesem Fall erhalten bleibt.

Die folgende Abbildung ist eine Übersichtview der Implementierung von SED mit HX.

Laufwerksdetails 

• F 3.1: Wer stellt die verschlüsselten Laufwerke her, die in HX verwendet werden?
  Antwort 3.1: HX verwendet Laufwerke von Micron: Im Abschnitt „Unterstützende Dokumente“ dieser FAQ finden Sie Links zu Micron-spezifischen Dokumenten.
• F 3.2: Unterstützen wir SEDs, die nicht FIPS-kompatibel sind?
  Antwort 3.2: Wir unterstützen auch einige Laufwerke, die nicht FIPS sind, aber SED (TCGE) unterstützen.
• F 3.3: Was ist das TCG?
  Antwort 3.3: TCG ist die Trusted Computing Group, die den Spezifikationsstandard für die verschlüsselte Datenspeicherung erstellt und verwaltet
• F 3.4: Was gilt als Sicherheit der Enterprise-Klasse bei SAS-SSDs für das Rechenzentrum? Welche besonderen Funktionen bieten diese Laufwerke, um Sicherheit zu gewährleisten und vor Angriffen zu schützen?
  Antwort 3.4: Diese Liste fasst die Enterprise-Class-Funktionen der in HX verwendeten SEDs und ihre Beziehung zum TCG-Standard zusammen.
  1. Selbstverschlüsselnde Laufwerke (SEDs) bieten starke Sicherheit für ruhende Daten auf Ihrem SED und verhindern unbefugten Datenzugriff. Die Trusted Computing Group (TCG) hat eine Liste der Funktionen und Vorteile selbstverschlüsselnder Laufwerke für HDDs und SSDs entwickelt. Die TCG bietet einen Standard namens TCG Enterprise SSC (Security Subsystem Class), der sich auf ruhende Daten konzentriert. Dies ist eine Anforderung für alle SEDs. Die Spezifikation gilt für Datenspeichergeräte und Controller, die in Unternehmensspeichern betrieben werden. Die Liste umfasst:
     • Transparenz: Keine System- oder Anwendungsänderungen erforderlich; der Verschlüsselungsschlüssel wird vom Laufwerk selbst mithilfe eines integrierten Zufallszahlengenerators generiert; das Laufwerk verschlüsselt immer.
     • Einfache Verwaltung: Kein zu verwaltender Verschlüsselungsschlüssel; Softwareanbieter nutzen eine standardisierte Schnittstelle zur Verwaltung von SEDs, einschließlich Fernverwaltung, Authentifizierung vor dem Start und Kennwortwiederherstellung
     • Kosten für Entsorgung bzw. Wiederverwendung: Bei einem SED den integrierten Verschlüsselungsschlüssel löschen
     • Neuverschlüsselung: Mit SED ist es nicht nötig, die Daten erneut zu verschlüsseln
     • Leistung: Keine Verschlechterung der SED-Leistung; hardwarebasiert
     • Standardisierung: Die gesamte Antriebsindustrie orientiert sich an den TCG/SED-Spezifikationen
     • Vereinfacht: Keine Beeinträchtigung vorgelagerter Prozesse
  2. SSD-SEDs bieten die Möglichkeit, das Laufwerk kryptografisch zu löschen. Das bedeutet, dass ein einfacher authentifizierter Befehl an das Laufwerk gesendet werden kann, um den auf dem Laufwerk gespeicherten 256-Bit-Verschlüsselungsschlüssel zu ändern. Dadurch wird sichergestellt, dass das Laufwerk gelöscht wird und keine Daten übrig bleiben. Selbst das ursprüngliche Hostsystem kann die Daten nicht lesen, sodass sie für kein anderes System lesbar sind. Der Vorgang dauert nur ein paar Sekunden, im Gegensatz zu den vielen Minuten oder sogar Stunden, die ein analoger Vorgang auf einer unverschlüsselten Festplatte dauert, und vermeidet die Kosten für teure Geräte oder Dienste zur Festplattenentmagnetisierung.
  3. FIPS (Federal Information Processing Standard) 140-2 ist ein US-Regierungsstandard, der die Verschlüsselung und die damit verbundenen Sicherheitsanforderungen beschreibt, die IT-Produkte für sensible, aber nicht klassifizierte Verwendungen erfüllen müssen. Dies ist häufig auch eine Anforderung für Regierungsbehörden und Unternehmen in den Bereichen Finanzdienstleistungen und Gesundheitswesen. Eine FIPS-140-2-validierte SSD verwendet starke Sicherheitspraktiken, einschließlich zugelassener Verschlüsselungsalgorithmen. Außerdem wird festgelegt, wie Einzelpersonen oder andere Prozesse autorisiert werden müssen, um das Produkt zu verwenden, und wie Module oder Komponenten gestaltet sein müssen, um sicher mit anderen Systemen zu interagieren. Tatsächlich ist eine der Anforderungen an ein FIPS-140-2-validiertes SSD-Laufwerk, dass es ein SED ist. Bedenken Sie, dass TCG zwar nicht die einzige Möglichkeit ist, ein zertifiziertes verschlüsseltes Laufwerk zu erhalten, die Spezifikationen TCG Opal und Enterprise SSC uns jedoch ein Sprungbrett zur FIPS-Validierung bieten. 4. Eine weitere wichtige Funktion sind sichere Downloads und Diagnosen. Diese Firmware-Funktion schützt das Laufwerk durch eine in die Firmware integrierte digitale Signatur vor Softwareangriffen. Wenn Downloads erforderlich sind, verhindert die digitale Signatur den unbefugten Zugriff auf das Laufwerk und verhindert, dass gefälschte Firmware auf das Laufwerk geladen wird.

Hyperflex-Installation mit SEDs

• F 4.1: Wie handhabt das Installationsprogramm eine SED-Bereitstellung? Gibt es besondere Prüfungen?
  Antwort 4.1: Das Installationsprogramm kommuniziert mit UCSM und stellt sicher, dass die Systemfirmware korrekt ist und für die erkannte Hardware unterstützt wird. Die Verschlüsselungskompatibilität wird überprüft und erzwungen (z. B. keine Mischung von SED und Nicht-SED).
• F 4.2: Unterscheidet sich die Bereitstellung ansonsten?
  Antwort 4.2: Die Installation ähnelt einer regulären HX-Installation, jedoch wird der benutzerdefinierte Workflow für SEDs nicht unterstützt. Dieser Vorgang erfordert auch UCSM-Anmeldeinformationen für die SEDs.
• F 4.3: Wie funktioniert die Lizenzierung bei Verschlüsselung? Muss ich dafür etwas Zusätzliches beachten?
  Antwort 4.3: SED-Hardware (ab Werk bestellt, nicht nachgerüstet) + HXDP 2.5 + UCSM (3.1(3x)) sind die einzigen Dinge, die benötigt werden, um die Verschlüsselung mit Schlüsselverwaltung zu aktivieren. Außer dem Basis-HXDP-Abonnement, das in der Version 2.5 erforderlich ist, ist keine zusätzliche Lizenzierung erforderlich.
• F 4.4: Was passiert, wenn ich ein SED-System habe, dessen Laufwerke nicht mehr verfügbar sind? Wie kann ich diesen Cluster erweitern?
  Antwort 4.4: Wenn wir von unseren Lieferanten ein PID erhalten, dessen Lebensdauer abgelaufen ist, haben wir ein Ersatz-PID, das mit dem alten PID kompatibel ist. Dieses Ersatz-PID kann für RMA, Erweiterung innerhalb eines Knotens und Erweiterung des Clusters (mit neuen Knoten) verwendet werden. Alle Methoden werden unterstützt, es kann jedoch ein Upgrade auf eine bestimmte Version erforderlich sein, die auch in den Übergangsversionshinweisen angegeben ist.

Schlüsselverwaltung

• F 5.1: Was ist Schlüsselverwaltung?
  Antwort 5.1: Unter Schlüsselverwaltung versteht man die Aufgaben zum Schützen, Speichern, Sichern und Organisieren von Verschlüsselungsschlüsseln. HX implementiert dies in einer UCSM-zentrierten Richtlinie.
• F 5.2: Welcher Mechanismus unterstützt die Schlüsselkonfiguration?
  Antwort 5.2: UCSM bietet Unterstützung beim Konfigurieren von Sicherheitsschlüsseln.
• F 5.3: Welche Art der Schlüsselverwaltung ist verfügbar?
  Antwort 5.3: Die lokale Verwaltung von Schlüsseln wird unterstützt, ebenso wie die Remote-Schlüsselverwaltung der Enterprise-Klasse mit Schlüsselverwaltungsservern von Drittanbietern.
• F 5.4: Wer sind die Partner für das Remote-Schlüsselmanagement?
  Antwort 5.4: Wir unterstützen derzeit Vormetric und Gemalto (Safenet) und bieten Hochverfügbarkeit (HA). HyTrust befindet sich in der Testphase.
• F 5.5: Wie wird die Remote-Schlüsselverwaltung implementiert?
  Antwort 5.5: Die Remote-Schlüsselverwaltung erfolgt über KMIP 1.1.
• F 5.6: Wie ist die lokale Verwaltung konfiguriert?
  Antwort 5.6: Der Sicherheitsschlüssel (KEK) wird in HX Connect direkt vom Benutzer konfiguriert.
• F 5.7: Wie wird die Remoteverwaltung konfiguriert?
  Antwort 5.7: Die Adressinformationen des Remote Key Management (KMIP)-Servers werden zusammen mit den Anmeldeinformationen vom Benutzer in HX Connect konfiguriert.
• F 5.8: Welcher Teil von HX kommuniziert zur Konfiguration mit dem KMIP-Server?
  Antwort 5.8: Der CIMC auf jedem Knoten verwendet diese Informationen, um eine Verbindung mit dem KMIP-Server herzustellen und den Sicherheitsschlüssel (KEK) von ihm abzurufen.
  
• F 5.9: Welche Arten von Zertifikaten werden beim Prozess zur Schlüsselgenerierung/-abfrage/-aktualisierung unterstützt?
  Antwort 5.9: Es werden sowohl von einer Zertifizierungsstelle signierte als auch selbstsignierte Zertifikate unterstützt.
  
• F 5.10: Welche Arbeitsabläufe werden beim Verschlüsselungsprozess unterstützt?
  Antwort 5.10: Schützen/Aufheben des Schutzes mit einem benutzerdefinierten Passwort wird zusammen mit der Konvertierung des lokalen in das Remote-Schlüsselmanagement unterstützt. Neuverschlüsselungsvorgänge werden unterstützt. Sicheres Löschen von Datenträgern wird ebenfalls unterstützt.
  

Benutzer-Workflow: Lokal

• F 6.1: Wo richte ich in HX Connect die lokale Schlüsselverwaltung ein?
  Antwort 6.1: Wählen Sie im Verschlüsselungs-Dashboard die Schaltfläche „Konfigurieren“ und folgen Sie dem Assistenten.
• F 6.2: Was muss ich bereithalten, um loslegen zu können?
  Antwort 6.2: Sie müssen eine 32-stellige Sicherheitspassphrase angeben.
• F 6.3: Was passiert, wenn ich ein neues SED einsetzen muss?
  Eine 6.3: In UCSM müssen Sie die lokale Sicherheitsrichtlinie bearbeiten und den bereitgestellten Schlüssel auf den vorhandenen Knotenschlüssel festlegen.
• F 6.4: Was passiert, wenn ich die neue Diskette einlege?
  Antwort 6.4: Wenn der Sicherheitsschlüssel auf der Festplatte mit dem des Servers (Knotens) übereinstimmt, wird sie automatisch entsperrt. Wenn die Sicherheitsschlüssel unterschiedlich sind, wird die Festplatte als „Gesperrt“ angezeigt. Sie können die Festplatte entweder leeren, um alle Daten zu löschen, oder sie durch Eingabe des richtigen Schlüssels entsperren. Dies ist ein guter Zeitpunkt, um TAC zu aktivieren.

Benutzer-Workflow: Remote

• F 7.1: Worauf muss ich bei der Konfiguration der Remote-Schlüsselverwaltung achten?
  Antwort 7.1: Die Kommunikation zwischen dem Cluster und den KMIP-Servern erfolgt über das CIMC auf jedem Knoten. Dies bedeutet, dass der Hostname nur dann für den KMIP-Server verwendet werden kann, wenn die Inband-IP-Adresse und DNS auf dem CIMC-Management konfiguriert sind.
• F 7.2: Was passiert, wenn ich ein neues SED ersetzen oder einsetzen muss?
  Antwort 7.2: Der Cluster liest die Kennung von der Festplatte und versucht, sie automatisch zu entsperren. Wenn die automatische Entsperrung fehlschlägt, wird die Festplatte als „gesperrt“ angezeigt und der Benutzer muss die Festplatte manuell entsperren. Sie müssen die Zertifikate zum Austausch der Anmeldeinformationen auf KMIP-Server kopieren.
• F 7.3: Wie kopiere ich Zertifikate vom Cluster auf den/die KMIP-Server?
  Antwort 7.3: Hierzu gibt es zwei Möglichkeiten. Sie können das Zertifikat direkt vom BMC auf den KMIP-Server kopieren oder Sie können die CSR verwenden, um ein von der Zertifizierungsstelle signiertes Zertifikat abzurufen und das von der Zertifizierungsstelle signierte Zertifikat mithilfe von UCSM-Befehlen auf den BMC zu kopieren.
• F 7.4: Welche Überlegungen gibt es beim Hinzufügen verschlüsselter Knoten zu einem Cluster, der Remote-Schlüsselverwaltung verwendet?
  Antwort 7.4: Wenn Sie den KMIP-Servern neue Hosts hinzufügen, sollte der verwendete Hostname die Seriennummer des Servers sein. Um das Zertifikat des KMIP-Servers zu erhalten, können Sie einen Browser verwenden, um das Stammzertifikat der KMIP-Server abzurufen.

Benutzer-Workflow: Allgemein

• F 8.1: Wie lösche ich eine Festplatte?
  Antwort 8.1: Wählen Sie im HX Connect Dashboard die Systeminformationen viewVon dort aus können Sie einzelne Datenträger zum sicheren Löschen auswählen.
• F 8.2: Was passiert, wenn ich eine Festplatte versehentlich gelöscht habe?
  Antwort 8.2: Beim sicheren Löschen werden die Daten dauerhaft vernichtet.
• F 8.3: Was passiert, wenn ich einen Knoten außer Betrieb setzen oder einen Dienst trennen möchte?file?
  Antwort 8.3: Keine dieser Aktionen entfernt die Verschlüsselung auf der Festplatte/dem Controller.
• F 8.4: Wie wird die Verschlüsselung deaktiviert?
  Antwort 8.4: Der Benutzer muss die Verschlüsselung in HX Connect explizit deaktivieren. Wenn der Benutzer versucht, eine Sicherheitsrichtlinie in UCSM zu löschen, wenn der zugehörige Server gesichert wurde, zeigt UCSM einen Konfigurationsfehler an und lässt die Aktion nicht zu. Die Sicherheitsrichtlinie muss zuerst deaktiviert werden.

Benutzer-Workflow: Zertifikatsverwaltung

• F 9.1: Wie werden Zertifikate bei der Einrichtung der Fernverwaltung behandelt?
  Antwort 9.1: Zertifikate werden mit HX Connect und den Remote-KMIP-Servern erstellt. Einmal erstellte Zertifikate werden fast nie gelöscht.
• F 9.2: Welche Art von Zertifikaten kann ich verwenden?
  Antwort 9.2: Sie können entweder selbstsignierte Zertifikate oder CA-Zertifikate verwenden. Sie müssen während der Einrichtung eine Auswahl treffen. Für von einer CA signierte Zertifikate generieren Sie eine Reihe von Zertifikatsignieranforderungen (Certificate Signing Requests, CSRs). Die signierten Zertifikate werden auf die KMIP-Server hochgeladen.
• F 9.3: Welchen Hostnamen soll ich beim Generieren der Zertifikate verwenden?
  Antwort 9.3: Der zum Generieren des Zertifikats verwendete Hostname sollte die Seriennummer des Servers sein.

Firmware-Aktualisierungen

• F 10.1: Gibt es Einschränkungen beim Upgrade der Festplatten-Firmware?
  Antwort 10.1: Wenn ein Laufwerk mit Verschlüsselungsfunktion erkannt wird, sind für dieses Laufwerk keine Änderungen an der Firmware zulässig.
• F 10.2: Gibt es Einschränkungen beim Upgrade der UCSM-Firmware?
  Antwort 10.2: Ein Downgrade von UCSM/CIMC auf eine Version vor UCSM 3.1(3x) ist eingeschränkt, wenn ein Controller im gesicherten Zustand vorhanden ist.

Sicheres Löschen (Details)

• F 11.1: Was ist Secure Erase?
  Antwort 11.1: Sicheres Löschen ist das sofortige Löschen von Daten auf dem Laufwerk (Löschen des Festplattenverschlüsselungsschlüssels). Dies bedeutet, dass ein einfacher authentifizierter Befehl an das Laufwerk gesendet werden kann, um den auf dem Laufwerk gespeicherten 256-Bit-Verschlüsselungsschlüssel zu ändern. Dadurch wird sichergestellt, dass das Laufwerk gelöscht wird und keine Daten übrig bleiben. Selbst das ursprüngliche Hostsystem kann die Daten nicht lesen, sodass sie für kein anderes System lesbar sind. Der Vorgang dauert nur ein paar Sekunden, im Gegensatz zu den vielen Minuten oder sogar Stunden, die ein analoger Vorgang auf einer unverschlüsselten Festplatte dauert, und vermeidet die Kosten für teure Entmagnetisierungsgeräte oder -dienste.
• F 11.2: Wie wird sicheres Löschen durchgeführt?
  Antwort 11.2: Dies ist ein GUI-Vorgang, der Laufwerk für Laufwerk ausgeführt wird.
• F 11.3: Wann wird normalerweise eine sichere Löschung durchgeführt?
  Antwort 11.3: Das vom Benutzer initiierte sichere Löschen einer einzelnen Festplatte ist ein seltener Vorgang. Dies wird meistens durchgeführt, wenn Sie die Festplatte physisch entfernen möchten, um sie auszutauschen, sie auf einen anderen Knoten zu übertragen oder einen Ausfall in naher Zukunft zu vermeiden.
• F 11.4: Welche Einschränkungen gibt es für das sichere Löschen?
  Antwort 11.4: Um sicherzustellen, dass die Fehlerresilienz des Clusters nicht beeinträchtigt wird, können sichere Löschvorgänge nur durchgeführt werden, wenn der Cluster fehlerfrei ist.
• F 11.5: Was passiert, wenn ich einen ganzen Knoten entfernen muss?
  Antwort 11.5: Es gibt Workflows zum Entfernen und Ersetzen von Knoten, um das sichere Löschen aller Laufwerke zu unterstützen. Weitere Informationen finden Sie im Administratorhandbuch oder wenden Sie sich an das Cisco TAC.
• F 11.6: Kann eine sicher gelöschte Festplatte wiederverwendet werden?
  Antwort 11.6: Eine sicher gelöschte Festplatte kann nur in einem anderen Cluster wiederverwendet werden. Das sichere Löschen der SED erfolgt durch das Löschen des Festplattenverschlüsselungsschlüssels (DEK). Die Daten auf der Festplatte können ohne DEK nicht entschlüsselt werden. Auf diese Weise können Sie die Festplatte wiederverwenden oder außer Betrieb nehmen, ohne dass die Daten gefährdet werden.
• F 11.7: Was passiert, wenn die Festplatte, die ich löschen möchte, die letzte primäre Kopie der Clusterdaten enthält?
  Antwort 11.7: Um Datenverlust zu vermeiden, sollten die Daten auf der Festplatte weitere Kopien im Cluster haben. Wenn jedoch sicheres Löschen auf einer Festplatte angefordert wird, die die letzte primäre Kopie ist, wird dieser Vorgang abgelehnt, bis mindestens eine weitere Kopie verfügbar ist. Rebalance sollte diese Kopie im Hintergrund erstellen.
• F 11.8: Ich muss eine Festplatte unbedingt sicher löschen, aber der Cluster ist nicht fehlerfrei. Wie kann ich das tun?
  Antwort 11.8: Die Befehlszeile (STCLI/HXCLI) ermöglicht das sichere Löschen, wenn der Cluster nicht fehlerfrei ist und die Festplatte nicht die letzte primäre Kopie enthält, andernfalls ist es nicht zulässig.
• F 11.9: Wie kann ich einen ganzen Knoten sicher löschen?
  Antwort 11.9: Dies ist ein seltenes Szenario. Das sichere Löschen aller Datenträger in einem Knoten wird durchgeführt, wenn der Knoten aus dem Cluster entfernt werden soll. Dabei soll der Knoten entweder in einem anderen Cluster bereitgestellt oder außer Betrieb genommen werden. In diesem Szenario kann die Knotenentfernung auf zwei verschiedene Arten klassifiziert werden:
  1. Sicheres Löschen aller Datenträger ohne Deaktivierung der Verschlüsselung
  2. Löschen Sie alle Datenträger sicher und deaktivieren Sie anschließend die Verschlüsselung für diesen Knoten (und die Datenträger). Wenden Sie sich für weitere Unterstützung an das Cisco TAC.

Sichere Erweiterung eines Clusters

• F 12.1: Mit welcher Art von Knoten kann ich einen verschlüsselten Cluster erweitern?
  Antwort 12.1: Zu einem HX-Cluster mit SEDs können nur SED-fähige Knoten hinzugefügt werden.
• F 12.2: Wie wird die Erweiterung mit lokalem Schlüsselmanagement gehandhabt?
  Antwort 12.2: Die lokale Schlüsselerweiterung ist ein nahtloser Vorgang, für den keine externe Konfiguration erforderlich ist.
• F 12.3: Wie erfolgt die Erweiterung mit Remote-Schlüsselverwaltung?
  Antwort 12.3: Für die Remote-Schlüsselerweiterung ist ein Lockstep mit der Zertifikats-/Schlüsselverwaltungsinfrastruktur erforderlich:
  • Um einen neuen Knoten sicher hinzuzufügen, sind Zertifikate erforderlich
  • Bei der Bereitstellung wird eine Warnung mit den Schritten zum Fortfahren angezeigt, einschließlich eines Links zum Herunterladen des Zertifikats
  • Der Benutzer befolgt die Schritte zum Hochladen des Zertifikats bzw. der Zertifikate und versucht dann erneut, das Zertifikat bereitzustellen.

Unterstützende Dokumente

Mikron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Liste der für FIPS 140-2 zugelassenen Kryptoalgorithmen: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Projekt: CSC.nuova Produkt: ucs-blade-server Komponente: ucsm

SED-Funktionsspezifikation:

• EDCS: 1574090

SED CIMC-Spezifikation:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Mailinglisten:

• ucsm-dev@cisco.com
• ask-hci-tme@cisco.com
• ask-hci-pm@cisco.com

Dokumente / Ressourcen

CISCO HyperFlex HX-Datenplattform [pdf] Anweisungen HyperFlex HX-Datenplattform, HyperFlex, HX-Datenplattform, Datenplattform, Plattform

Verweise

• Bedienungsanleitung