В этой статье представлена информация о ключах безопасности и управлении RAID для RAID-контроллеров Dell PowerEdge H710, H710P и H810
Содержание:
- Реализация ключа безопасности
- Управление ключами безопасности в утилите настройки BIOS
- Создание ключа безопасности
- Изменение ключа безопасности
- Удаление ключа безопасности
- Создание защищенных виртуальных дисков
- Защита уже существующих виртуальных дисков
- Создание незащищенного виртуального диска при наличии у контроллера ключа безопасности
- Мгновенное надежное стирание
- Поиск и устранение ошибок ключа безопасности
Платы контроллера Dell PowerEdge RAID (PERC) H710, H710P и H810 поддерживают диски с самошифрованием (SED) для защиты данных от потери или кражи SED. Защита достигается за счет использования технологии шифрования на накопителях. Для каждого контроллера имеется один ключ безопасности. Управлять ключом безопасности можно в разделе Локальное управление ключами (LKM). Ключ можно депонировать в файл с помощью Dell OpenManage. Ключ безопасности используется контроллером для блокировки и разблокировки доступа к физическим дискам с поддержкой шифрования. Чтобы воспользоваться этой функцией, необходимо:
- В системе должны быть накопители SED.
- Создание (LKM) ключа безопасности.
Приложение для управления хранилищем данных Dell OpenManage и утилита настройки BIOS (<CTRL><R>) контроллера позволяют создавать ключи безопасности и управлять ими, а также создавать защищенные виртуальные диски. В следующем разделе описываются параметры меню, относящиеся к управлению ключами безопасности, и приводятся подробные инструкции по выполнению задач настройки. Содержимое следующего раздела относится к утилите настройки BIOS (<CTRL><R>). Дополнительные сведения о приложениях для управления см. в разделе Приложения для управления для плат PERC.
Экран управления виртуальными дисками, VD Mgmt, — это первый экран, который отображается при доступе к RAID-контроллеру с экрана главного меню утилиты настройки BIOS (<Ctrl><R>). Ниже перечислены действия, связанные с безопасностью, которые можно выполнять с помощью меню управления виртуальными дисками.
- Управление ключами безопасности — создает, изменяет или удаляет параметры безопасности на контроллере.
- Защищенная группа дисков — защищает все виртуальные диски в группе дисков.
На экране «Physical Disk Management» PD Mgmt отображается информация о физическом диске и меню действий. Ниже перечислены действия, связанные с безопасностью, которые можно выполнить с помощью меню управления физическими дисками.
- Мгновенное безопасное удаление — окончательное удаление всех данных на физическом диске с поддержкой шифрования и сброс
атрибутов безопасности.
Дополнительные сведения на экране Physical Disk Management и экране Virtual Disk Management см. в разделах Physical Disk Management (PD Mgmt) и Virtual Disk Management соответственно.
Локальное управление ключами (LKM):
- LKM можно использовать для создания идентификатора ключа и парольной фразы, необходимой для защиты виртуального диска. Этот режим безопасности позволяет защищать виртуальные
диски, изменять ключи безопасности и управлять защищенными внешними конфигурациями.
Примечание.: В разделе LKM при создании ключа будет предложено ввести парольную фразу.
Платы H710, H710P и H810 контроллера Dell™ PowerEdge™ RAID (PERC) поддерживают шифрование данных на накопителях при использовании сертифицированных Dell самошифруемых дисков (SED). Эта функция обеспечивает защиту неиспользуемых данных в случае кражи или потери накопителей. Для каждого контроллера имеется один ключ безопасности, который находится в памяти контроллера и может управляться пользователем (управление ключами на контроллере). Ключ безопасности используется контроллером для блокировки и разблокировки доступа к физическим дискам с поддержкой шифрования. Чтобы воспользоваться этой функцией, необходимо создать ключ безопасности на плате PERC H710, PERC H710P или PERC H810 и иметь в системе сертифицированные Dell диски SED.
Примечание.: При создании ключа безопасности отсутствует опция резервного копирования парольной фразы; Вам нужно запомнить парольную фразу. Вы потеряете доступ к данным, если будете забыты ключ безопасности.
Примечание.: Создание ключа безопасности на контроллере не шифрует данные ни на одном виртуальном диске. Для защиты данных виртуальные диски должны быть защищены индивидуально.
Чтобы создать ключ безопасности в утилите настройки BIOS, выполните следующие действия.
- Во время загрузки хост-системы нажмите <клавишу Ctrl><R> при появлении экрана BIOS. Отобразится экран Virtual Disk Management. Если доступно несколько контроллеров, отобразится экран главного меню. Выберите контроллер и нажмите <клавишу Enter>. Отобразится экран Virtual Disk Management для выбранного контроллера.
- С помощью клавиш со стрелками выделите пункт Security Key Management.
- Нажмите <F2> для отображения доступных действий.
- Выберите Создать ключ и нажмите <клавишу Enter> .
- Отобразится экран Создание ключа безопасности. Курсор находится на идентификаторе ключа безопасности.
- Введите идентификатор ключа безопасности.
- Нажмите <клавишу Tab> , чтобы ввести парольную фразу.
- Нажмите <клавишу Tab> и выберите OK, чтобы принять настройки и выйти из окна. Выберите Отмена, чтобы выйти, если вы не хотите включать безопасность на контроллере.
Чтобы изменить ключ безопасности, необходимо иметь ранее установленный ключ безопасности на контроллере и указать текущую парольную фразу на момент изменения.
Примечание.: Если на контроллере уже имеется конфигурация, она обновляется новым ключом безопасности. Если вы ранее удалили какие-либо защищенные диски, вам все равно потребуется ввести старую парольную фразу для их импорта.
Чтобы изменить ключ безопасности в утилите настройки BIOS, выполните следующие действия.
- Во время загрузки хост-системы нажмите <клавишу Ctrl><R> при появлении экрана BIOS. Отобразится экран Virtual Disk Management. Если доступно несколько контроллеров, отобразится экран главного меню.
- Выберите контроллер и нажмите <клавишу Enter> . Отобразится экран Virtual Disk Management для выбранного контроллера.
- С помощью клавиш со стрелками выделите пункт Security Key Management.
- Нажмите <F2> для отображения доступных действий.
- Выберите Change Key и нажмите <Enter> .
- Отобразится экран Изменение ключа безопасности. Курсор находится на идентификаторе ключа безопасности. Введите идентификатор ключа безопасности.
- Нажмите <клавишу Tab> , чтобы ввести новую парольную фразу.
- Нажмите <клавишу Tab> и выберите OK, чтобы принять настройки и выйти из окна. Выберите Отмена, чтобы выйти, если вы не хотите изменять ключ безопасности на контроллере.
Примечание.: В случае удаления ключа безопасности создать защищенные виртуальные диски будет невозможно, и все защищенные ненастроенные самошифруемые диски будут удалены. Однако удаление ключа безопасности не повлияет на безопасность или данные на внешних дисках.
Чтобы удалить ключ безопасности в утилите настройки BIOS, выполните следующие действия.
- Во время загрузки хост-системы нажмите <клавишу Ctrl><R> при появлении экрана BIOS. Отобразится экран Virtual Disk Management.
Если доступно несколько контроллеров, отобразится экран главного меню.
- Выберите контроллер и нажмите <клавишу Enter> . Отобразится экран Virtual Disk Management для выбранного контроллера.
- С помощью клавиш со стрелками выделите пункт Security Key Management.
- Нажмите <F2> для отображения доступных действий.
- Выберите Delete Key и нажмите <Enter> .
Защищенный виртуальный диск — это виртуальный диск, заблокированный на контроллере, на котором хранится ключ безопасности. Чтобы создать защищенный виртуальный диск, контроллер должен иметь ключ безопасности, и пользователь должен выбрать опцию защиты виртуального диска во время создания виртуального диска или после создания виртуального диска. Элементы защищенного виртуального диска должны быть только погружениями для самошифруемых дисков.
Для создания защищенного виртуального диска необходимо сначала установить ключ безопасности для контроллера. См. раздел Создание ключа безопасности
Примечание.: Объединение жестких дисков SAS и SATA в виртуальном диске не поддерживается. Кроме того, не поддерживается объединение жестких дисков и твердотельных накопителей (SSD) в виртуальный диск.
После установки ключа безопасности выполните действия, описанные в разделе Создание виртуальных дисков , чтобы создать виртуальный диск.
Чтобы защитить виртуальный диск, выберите параметр Secure VD в левой нижней части экрана Create New VD.
Примечание.: Все виртуальные диски, добавленные в защищенную группу дисков, защищены.
Чтобы защитить существующий виртуальный диск в утилите настройки BIOS, выполните следующие действия.
- Во время загрузки хост-системы нажмите <клавишу Ctrl><R> при появлении экрана BIOS. Отобразится экран Virtual Disk Management. Если доступно несколько контроллеров, отобразится экран главного меню. Выберите контроллер и нажмите <клавишу Enter> . Отобразится экран Virtual Disk Management для выбранного контроллера.
- С помощью клавиш со стрелками выделите номер группы дисков.
- Нажмите <F2> , чтобы отобразить меню доступных действий.
- Выделите параметр Secure Disk Group и нажмите клавишу <Enter> .
Примечание.: Если вы выберете защиту группы дисков, все виртуальные диски, входящие в группу дисков, будут защищены.
Защищенные виртуальные диски, созданные на плате PERC H700/H800 или H710/H710P/H810, можно перенести на другую плату PERC H710, H710P или H810. Виртуальные диски, защищенные ключом безопасности, отличным от текущего ключа безопасности контроллера, невозможно импортировать без аутентификации исходной парольной фразы, используемой для их защиты. При импорте защищенных виртуальных дисков, созданных с помощью другого ключа безопасности, защищенные внешние конфигурации не отображаются на экране Представление внешней конфигурации. Выполните следующие действия, чтобы импортировать или очистить внешний защищенный виртуальный диск.
Примечание.: При импорте защищенных и незащищенных виртуальных дисков вам будет предложено сначала разрешить защищенную внешнюю конфигурацию.
Примечание.: Плата PERC H710, H710P или H810 должна иметь ключ безопасности перед импортом защищенного виртуального диска.
Примечание.: Все импортированные незащищенные виртуальные диски по-прежнему являются незащищенными.
Примечание.: При импорте виртуального диска, изначально защищенного локальным ключом (LKM), вам будет предложено ввести парольную фразу, которая использовалась для защиты этого виртуального диска.
Примечание.: Защищенный виртуальный диск невозможно импортировать с помощью платы PERC H310.
При импорте внешнего защищенного виртуального диска выполните следующие действия:
Примечание.: Для очистки необходимо мгновенно и надежно удалить внешние конфигурации, защищенные другим ключом безопасности.
Примечание.: Идентификатор ключа для парольной фразы, используемой для защиты внешних защищенных виртуальных дисков, отображается в разделе «Защищенные диски».
- Во время загрузки хост-системы нажмите <клавишу Ctrl><R> при появлении экрана BIOS.
Отобразится экран «Virtual Disk Management».
Если имеется несколько контроллеров, отображается экран главного меню.
- Выберите контроллер и нажмите <клавишу Enter> .
Для выбранного контроллера отобразится экран управления виртуальными дисками.
- Нажмите <F2> , чтобы отобразить меню доступных действий.
- Выберите Импорт, чтобы импортировать внешнюю конфигурацию, или Очистить, чтобы удалить внешнюю конфигурацию. Нажмите клавишу <<Enter>.
Если выбрано значение для импорта конфигурации, отобразится экран Безопасный импорт внешних устройств.
- Введите парольную фразу, которая использовалась для защиты внешней конфигурации.
- Нажмите <клавишу Tab> и выберите OK, чтобы завершить импорт защищенной внешней конфигурации, или Cancel, чтобы выйти из этого меню.
Если для защищенного импорта внешних данных выбрано значение Отмена, диски будут недоступны до тех пор, пока они не будут импортированы или мгновенно безопасно
удалены. См. раздел Мгновенное надежное стирание.
Мгновенное надежное удаление — это процесс безвозвратного удаления всех данных на физическом диске с поддержкой шифрования и
сброса атрибутов безопасности. Необходимо выполнить мгновенное надежное стирание для SED, которые недоступны (заблокированы) из-за
утерянной или забытой парольной фразы.
Примечание.: При выполнении мгновенного безопасного стирания данные на физическом диске с поддержкой шифрования будут утрачены.
Для выполнения мгновенного надежного стирания выполните следующие действия.
- Нажмите <Ctrl><N> , чтобы перейти на экран PD Mgmt.
Отобразится список физических дисков. В правом меню отображаются свойства физического диска, в том числе
информация о том, защищен ли физический диск.
- Нажмите клавишу со стрелкой вниз, чтобы выделить физический диск.
- Нажмите <F2> , чтобы отобразить меню доступных действий.
- Параметр Надежное удаление выделен в нижней части меню.
- Нажмите< клавишу Enter>, чтобы надежно очистить физический диск, и выберите YES.
Ошибки защищенного импорта внешних ресурсов
Внешняя конфигурация — это конфигурация RAID, которая уже существует на физическом диске для замены, устанавливаемом в систему. Защищенная внешняя конфигурация — это конфигурация RAID, созданная под другим ключом безопасности.
Существует два сценария, в которых защищенный импорт за границу завершается сбоем:
- Проверка подлинности по фразе-паролю завершается ошибкой — виртуальный диск, защищенный с помощью ключа безопасности, отличного от текущего ключа безопасности контроллера, не может быть импортирован без проверки подлинности исходной парольной фразы, используемой для его защиты. Укажите правильную парольную фразу для импорта защищенной внешней конфигурации. Если вы потеряли или забыли парольную фразу, защищенные внешние диски останутся заблокированными (недоступными) до тех пор,
пока не будет введена соответствующая фраза-пароль или пока они не будут мгновенно надежно удалены.
- Защищенный виртуальный диск находится в автономном режиме после указания правильной парольной фразы — необходимо проверить причину сбоя виртуального диска и устранить проблему. См. раздел Поиск и устранение неисправностей .
Не удалось выбрать или настроить несамошифруемые диски (без SED)
Виртуальный диск может быть защищенным или незащищенным в зависимости от того, как он был настроен при создании. Для создания защищенного виртуального диска контроллер должен иметь ключ безопасности и должен состоять только из дисков SED. Чтобы выбрать/настроить не-самошифруемый диск, необходимо создать незащищенный виртуальный диск. Незащищенный виртуальный диск можно создать даже при наличии ключа безопасности. Выберите для параметра Secure VD значение Нет в меню Create New VD. Инструкции по созданию незащищенного виртуального диска см. в разделе Создание виртуальных дисков .
Не удалось удалить ключ безопасности
Ключ безопасности используется для блокировки или разблокировки доступа к защищенному компоненту. Этот ключ не используется при фактическом шифровании данных. Если ключ безопасности присутствует, могут существовать как защищенные, так и незащищенные виртуальные диски.
Для удаления ключа безопасности на контроллере должен присутствовать ранее установленный ключ безопасности и
не может быть настроенных защищенных дисков. Если имеются настроенные защищенные диски, удалите или удалите их.
Сбой задачи мгновенного безопасного удаления на физических дисках
Instant Secure Erase — это процесс безвозвратного надежного удаления всех данных на физическом диске с поддержкой шифрования и сброса атрибутов безопасности. Он используется в нескольких сценариях, таких как удаление внешней конфигурации в случае забытой или утерянной парольной фразы или разблокировка диска, который был ранее заблокирован.
Мгновенное безопасное стирание может быть выполнено только на дисках с поддержкой шифрования, если эти диски не являются дисками «горячего» резерва и не настроены (не являются частью виртуального диска). Убедитесь, что условия выполнены, и см. раздел Мгновенное надежное удаление.