Questo articolo fornisce informazioni sulla gestione delle chiavi di sicurezza e RAID per i controller RAID Dell PowerEdge H710, H710P e H810
Sommario:
- Implementazione della chiave di sicurezza
- Gestione delle chiavi di sicurezza nell'utility di configurazione del BIOS
- Creazione di una chiave di sicurezza
- Modifica di una chiave di sicurezza
- Eliminazione di una chiave di sicurezza
- Creazione di dischi virtuali protetti
- Protezione dei dischi virtuali preesistenti
- Creazione di un disco virtuale non protetto mentre il controller dispone di una chiave di sicurezza
- Cancellazione sicura immediata
- Risoluzione degli errori delle chiavi di protezione
Le schede Dell PowerEdge RAID Controller (PERC) H710, H710P e H810 supportano dischi SED (Self-Encrypting Disk) per la protezione dei dati contro la perdita o il furto di SED. La protezione si ottiene mediante l'utilizzo della tecnologia di crittografia sulle unità. È presente una chiave di sicurezza per controller. È possibile gestire la chiave di sicurezza in Local Key Management (LKM). La chiave può essere depositata in un file utilizzando Dell OpenManage. La chiave di sicurezza viene utilizzata dal controller per bloccare e sbloccare l'accesso ai dischi fisici con funzionalità di crittografia. Per sfruttare questa funzione, è necessario:
- Disporre di SED nel sistema.
- Creare (LKM) una chiave di sicurezza.
L'applicazione di gestione dello storage Dell OpenManage e l'utilità di configurazione del BIOS (<Ctrl><R>) del controller consentono di creare e gestire chiavi di sicurezza, nonché di creare dischi virtuali protetti. La sezione seguente descrive le opzioni di menu specifiche per la gestione delle chiavi di sicurezza e fornisce istruzioni dettagliate per eseguire le attività di configurazione. I contenuti della sezione seguente si applicano all'utilità di configurazione del BIOS (<Ctrl><R>). Per ulteriori informazioni sulle applicazioni di gestione, vedere l'argomento Applicazioni di gestione per schede PERC.
La schermata Virtual Disk Management, VD Mgmt, è la prima schermata visualizzata quando si accede a un controller RAID dalla schermata del menu principale dell'utilità di configurazione del BIOS (<Ctrl><R>). Di seguito sono riportate le azioni correlate alla sicurezza che è possibile eseguire tramite il menu Virtual Disk Management:
- Security Key Management: crea, modifica o elimina le impostazioni di sicurezza su un controller.
- Secure Disk Group: protegge tutti i dischi virtuali nel gruppo di dischi.
La schermata Physical Disk Management, PD Mgmt, visualizza le informazioni sul disco fisico e i menu delle azioni. Di seguito sono riportate le azioni relative alla sicurezza che è possibile eseguire tramite il menu di gestione del disco fisico:
- Instant Secure Erase: cancella in modo permanente tutti i dati su un disco fisico con funzionalità di crittografia e reimposta
gli attributi di sicurezza.
Per ulteriori informazioni sulle schermate Physical Disk Management e Virtual Disk Management, vedere rispettivamente gli argomenti Physical Disk Management (PD Mgmt) e Virtual Disk Management .
Local Key Management (LKM):
- È possibile utilizzare LKM per generare l'ID della chiave e la passphrase necessari per proteggere il disco virtuale. Utilizzando questa modalità di sicurezza, è possibile proteggere i dischi virtuali
, modificare le chiavi di sicurezza e gestire le configurazioni esterne protette.
Nota: In LKM, viene richiesta una passphrase quando si crea la chiave.
Le schede Dell™ PowerEdge™ RAID Controller (PERC) H710, H710P e H810 supportano la crittografia dei dati sulle unità quando si utilizzano dischi autocrittografanti (SED) qualificati da Dell. Questa funzione fornisce protezione ai dati inattivi in caso di furto o perdita delle unità. Esiste una chiave di sicurezza per ogni controller che risiede nella memoria del controller e può essere gestita dall'utente (gestione delle chiavi sul controller). La chiave di sicurezza viene utilizzata dal controller per bloccare e sbloccare l'accesso ai dischi fisici con funzionalità di crittografia. Per sfruttare questa funzione, è necessario creare una chiave di sicurezza sulla scheda PERC H710, PERC H710P o PERC H810 e disporre di SED qualificate da Dell nel sistema.
Nota: Non esiste alcuna opzione di backup della passphrase quando si crea una chiave di sicurezza; È necessario ricordare la passphrase. Se si dimentica la chiave di sicurezza, si perderà l'accesso ai dati.
Nota: La creazione di una chiave di sicurezza sul controller non crittografa i dati su alcun disco virtuale. I dischi virtuali devono essere protetti singolarmente per proteggere i dati.
Per creare una chiave di sicurezza nell'utility di configurazione del BIOS:
- Durante l'avvio del sistema host, premere <Ctrl><R> quando viene visualizzata la schermata del BIOS. Viene visualizzata la scherma Virtual Disk Management. Se sono presenti più controller, viene visualizzata la schermata del menu principale. Selezionare un controller e premere <Invio>. Viene visualizzata la schermata Virtual Disk Management per il controller selezionato.
- Utilizzare i tasti freccia per evidenziare Security Key Management.
- Premere <F2> per visualizzare le azioni che è possibile eseguire.
- Selezionare Crea chiave e premere <Invio> .
- Viene visualizzata la schermata Create Security Key. Il cursore si trova in corrispondenza dell'ID della chiave di sicurezza.
- Immettere un ID per la chiave di sicurezza.
- Premere <Tab> per immettere una passphrase.
- Premere <Tab> e selezionare OK per accettare le impostazioni e uscire dalla finestra. Selezionare Cancel per uscire se non si desidera abilitare la sicurezza sul controller.
Per modificare la chiave di sicurezza, è necessario disporre di una chiave di sicurezza precedentemente stabilita sul controller e fornire la passphrase corrente al momento della modifica.
Nota: Se sul controller è presente una configurazione esistente, questa viene aggiornata con la nuova chiave di sicurezza. Se in precedenza sono stati rimossi dischi protetti, è comunque necessario fornire la passphrase precedente per importarli.
Per modificare una chiave di sicurezza nell'utility di configurazione del BIOS:
- Durante l'avvio del sistema host, premere <Ctrl><R> quando viene visualizzata la schermata del BIOS. Viene visualizzata la schermata Virtual Disk Management. Se sono presenti più controller, viene visualizzata la schermata del menu principale.
- Selezionare un controller e premere Enter <> . Viene visualizzata la schermata Virtual Disk Management per il controller selezionato.
- Utilizzare i tasti freccia per evidenziare Security Key Management.
- Premere <F2> per visualizzare le azioni che è possibile eseguire.
- Selezionare Cambia chiave e premere Invio <> .
- Viene visualizzata la schermata Change Security Key. Il cursore si trova in corrispondenza dell'ID della chiave di sicurezza. Inserire un ID per la chiave di sicurezza.
- Premere <Tab> per immettere una nuova passphrase.
- Premere <Tab> e selezionare OK per accettare le impostazioni e uscire dalla finestra. Selezionare Annulla per uscire se non si desidera modificare la chiave di sicurezza sul controller.
Nota: Se si elimina la chiave di sicurezza, non sarà possibile creare dischi virtuali protetti e tutte le unità autocrittografanti non configurate protette verranno cancellate. Tuttavia, l'eliminazione di una chiave di sicurezza non influirà sulla sicurezza o sui dati nei dischi esterni.
Per eliminare una chiave di sicurezza nell'utility di configurazione del BIOS:
- Durante l'avvio del sistema host, premere <Ctrl><R> quando viene visualizzata la schermata del BIOS. Viene visualizzata la scherma Virtual Disk Management.
Se sono presenti più controller, viene visualizzata la schermata del menu principale.
- Selezionare un controller e premere Enter <> . Viene visualizzata la schermata Virtual Disk Management per il controller selezionato.
- Utilizzare i tasti freccia per evidenziare Security Key Management.
- Premere <F2> per visualizzare le azioni che è possibile eseguire.
- Selezionare Elimina chiave e premere <Invio> .
Un disco virtuale protetto è un disco virtuale che è stato bloccato su un controller che contiene una chiave di sicurezza. Per creare un disco virtuale protetto, il controller deve disporre di una chiave di sicurezza e l'utente deve selezionare l'opzione per proteggere il disco virtuale durante la creazione del disco virtuale o dopo la creazione del disco virtuale. I membri di un disco virtuale protetto devono essere solo dive con SED.
Per creare un disco virtuale protetto, è necessario che nel controller sia prima stabilita una chiave di sicurezza. Vedere l'argomento Creazione di una chiave di sicurezza
Nota: La combinazione di dischi rigidi SAS e SATA all'interno di un disco virtuale non è supportata. Inoltre, la combinazione di dischi rigidi e unità a stato solido (SSD) all'interno di un disco virtuale non è supportata.
Dopo aver stabilito la chiave di sicurezza, eseguire la procedura descritta nell'argomento Creazione di dischi virtuali per creare un disco virtuale.
Per proteggere il disco virtuale, accedere all'opzione Secure VD nell'area in basso a sinistra della schermata Create New VD.
Nota: Tutti i dischi virtuali aggiunti a un gruppo di dischi protetto sono protetti.
Per proteggere un disco virtuale preesistente nell'utility di configurazione del BIOS:
- Durante l'avvio del sistema host, premere <Ctrl><R> quando viene visualizzata la schermata del BIOS. Viene visualizzata la scherma Virtual Disk Management. Se sono presenti più controller, viene visualizzata la schermata del menu principale. Selezionare un controller e premere Enter <> . Viene visualizzata la schermata Virtual Disk Management per il controller selezionato.
- Utilizzare i tasti freccia per evidenziare il numero del gruppo di dischi.
- Premere <F2> per visualizzare un menu delle azioni disponibili.
- Evidenziare l'opzione Secure Disk Group e premere Invio <> .
Nota: Se si sceglie di proteggere un gruppo di dischi, vengono protetti tutti i dischi virtuali che fanno parte del gruppo di dischi.
I dischi virtuali protetti creati su una scheda PERC H700/H800 o H710/H710P/H810 possono essere migrati su un'altra scheda PERC H710, H710P o H810. Un disco virtuale protetto con una chiave di sicurezza diversa dalla chiave di sicurezza del controller corrente non può essere importato senza l'autenticazione della passphrase originale utilizzata per proteggerli. Quando si importano dischi virtuali protetti creati con una chiave di sicurezza diversa, le configurazioni esterne protette non vengono visualizzate nella schermata Foreign Configuration View. Seguire la procedura riportata di seguito per importare o cancellare un disco virtuale protetto esterno.
Nota: Se si importano dischi virtuali protetti e non protetti, viene richiesto di risolvere prima la configurazione esterna protetta.
Nota: La scheda PERC H710, H710P o H810 deve disporre di una chiave di protezione prima di poter importare un disco virtuale protetto.
Nota: Tutti i dischi virtuali non protetti importati sono ancora non protetti.
Nota: Se si sta importando un disco virtuale originariamente protetto con una chiave locale (LKM), viene richiesta la passphrase utilizzata per proteggere tale disco virtuale.
Nota: Non è possibile importare un VD protetto utilizzando la scheda PERC H310.
Durante l'importazione di un disco virtuale protetto esterno, attenersi alla seguente procedura:
Nota: Per cancellare l'opzione, è necessario cancellare con protezione immediata le configurazioni esterne protette con una chiave di sicurezza diversa.
Nota: L'identificatore di chiave per la passphrase utilizzata per proteggere i dischi virtuali protetti esterni viene visualizzato nell'opzione Unità protette.
- Durante l'avvio del sistema host, premere <Ctrl><R> quando viene visualizzata la schermata del BIOS.
Viene visualizzata la scherma Virtual Disk Management.
Se sono presenti più controller, viene visualizzata la schermata del menu principale.
- Selezionare un controller e premere Enter <> .
Viene visualizzata la schermata Virtual Disk Management (Gestione dei dischi virtuali) del controller selezionato.
- Premere <F2> per visualizzare un menu delle azioni disponibili.
- Selezionare Import per importare la configurazione esterna o Clear per eliminarla. Premere <<Invio>.
Se si sceglie di importare la configurazione, viene visualizzata la schermata Secure Foreign Import.
- Immettere la passphrase utilizzata per proteggere la configurazione esterna.
- Premere <Tab> e selezionare OK per completare l'importazione della configurazione esterna protetta oppure selezionare Cancel per uscire da questo menu.
Se si seleziona Cancel per l'importazione esterna protetta, i dischi rimangono inaccessibili fino all'importazione o alla cancellazione sicura
immediata. Vedere l'argomento Cancellazione sicura immediata .
Instant Secure Erase è il processo di cancellazione permanente di tutti i dati su un disco fisico con funzionalità di crittografia e
di reimpostazione degli attributi di sicurezza. È necessario eseguire Instant Secure Erase sulle SED inaccessibili (bloccate) a causa
di una passphrase persa o dimenticata.
Nota: Eseguendo Instant Secure Erase, i dati presenti sul disco fisico crittografabile andranno persi.
Per eseguire Instant Secure Erase:
- Premere <Ctrl><N> per accedere alla schermata PD Mgmt.
Viene visualizzato un elenco di dischi fisici. Nel menu a destra, vengono visualizzate le proprietà del disco fisico, incluse
le informazioni che indicano se il disco fisico è protetto o meno.
- Premere il tasto freccia giù per evidenziare un disco fisico protetto.
- Premere <F2> per visualizzare un menu delle azioni disponibili.
- L'opzione Secure Erase è evidenziata nella parte inferiore del menu.
- Premere <Invio> per cancellare in modo sicuro il disco fisico e selezionare YES.
Errori di importazione esterna protetta
Una configurazione esterna è una configurazione RAID già esistente su un disco fisico sostitutivo installato in un sistema. Una configurazione esterna protetta è una configurazione RAID creata con una chiave di sicurezza diversa.
Esistono due scenari in cui un'importazione estera protetta fallisce:
- L'autenticazione della passphrase ha esito negativo: un VD protetto con una chiave di sicurezza diversa dalla chiave di sicurezza del controller corrente non può essere importato senza l'autenticazione della passphrase originale utilizzata per proteggerli. Fornire la passphrase corretta per importare la configurazione esterna protetta. Se la passphrase è stata persa o dimenticata, i dischi esterni protetti rimangono bloccati (inaccessibili) fino a quando non viene immessa la passphrase appropriata o, in caso contrario,
vengono cancellati immediatamente.
- Il VD protetto è in stato offline dopo aver fornito la passphrase corretta: è necessario verificare per determinare il motivo per cui si è verificato l'errore del disco virtuale e correggere il problema. Vedere l'argomento Risoluzione dei problemi .
Errore durante la selezione o la configurazione di dischi non SED (Non Self-Encrypting Disks)
Un disco virtuale può essere protetto o non protetto a seconda di come è stato configurato al momento della creazione. Per creare un disco virtuale protetto, il controller deve disporre di una chiave di sicurezza e deve essere composto solo da SED. Per selezionare/configurare un dispositivo non SED, è necessario creare un disco virtuale non protetto. È possibile creare un disco virtuale non protetto anche se è presente una chiave di sicurezza. Selezionare l'opzione Secure VD impostata su No nel menu Create New VD. Consultare l'argomento Creazione di dischi virtuali per la procedura di creazione di un disco virtuale non protetto.
Impossibile eliminare la chiave di sicurezza
Una chiave di sicurezza viene utilizzata per bloccare o sbloccare l'accesso a un componente abilitato per la sicurezza. Questa chiave non viene utilizzata nella crittografia effettiva dei dati. Se è presente una chiave di sicurezza, possono esistere dischi virtuali protetti e non protetti.
Per eliminare la chiave di sicurezza, è necessario disporre di una chiave di sicurezza precedentemente stabilita sul controller e non possono essere presenti
dischi protetti configurati. Se sono presenti dischi protetti configurati, rimuoverli o eliminarli.
Impossibile eseguire l'attività di cancellazione sicura immediata sui dischi fisici
Instant Secure Erase è il processo che consente di cancellare in modo sicuro tutti i dati in modo permanente su un disco fisico crittografabile e di reimpostare gli attributi di sicurezza. Viene utilizzato in un paio di scenari, ad esempio l'eliminazione di una configurazione esterna in caso di passphrase dimenticata o persa o lo sblocco di un disco precedentemente bloccato.
Instant Secure Erase può essere eseguita solo su dischi con funzionalità di crittografia, purché non siano hot-spare e non siano configurati (parte di un disco virtuale). Verificare che le condizioni siano soddisfatte e consultare l'argomento Instant Secure Erase.