CISCO HyperFlex HX Data Platform

Impormasyon sa Produkto

• Ngalan sa Produkto: HX Security Encryption
• Bersyon: HXDP 5.01b
• Solusyon sa Encryption: Solusyon nga nakabase sa software gamit ang Intersight Key Manager
• Uri sa Pag-encrypt: Self-Encrypting Drives (SEDs)
• Gisuportahan nga mga Uri sa Drive: HDD ug SSD SED gikan sa Micron
• Mga Sumbanan sa Pagsunod: FIPS 140-2 nga lebel 2 (mga tiggama sa drive) ug FIPS 140-2 nga lebel 1 (plataporma)
• Cluster-Wide Encryption: Ang pag-encrypt sa HX gipatuman sa hardware alang sa datos nga nagpahulay gamit lamang ang mga SED
• Indibidwal nga VM Encryption: Gidumala sa software sa 3rd party sama sa Hytrust o transparent nga kliyente ni Vormetric
• VMware Native VM Encryption: Gisuportahan sa HX alang sa paggamit sa SED encryption
• Panguna nga Pagdumala: Ang Media Encryption Key (MEK) ug Key Encryption Key (KEK) gigamit alang sa matag SED
• Paggamit sa Memorya: Ang mga yawe sa pag-encrypt wala gayud anaa sa memorya sa node
• Epekto sa Pagganap: Ang disk encryption/decryption gidumala sa drive hardware, ang kinatibuk-ang performance sa sistema dili maapektuhan
• Dugang nga mga Benepisyo sa SEDs:
  • Diha-diha nga pagtangtang sa cryptographic alang sa pagkunhod sa pagretiro sa drive ug mga gasto sa pag-redeploy
  • Pagsunod sa mga regulasyon sa gobyerno o industriya alang sa pagkapribado sa datos
  • Gipakunhod ang risgo sa pagpangawat sa disk ug pagpangawat sa node tungod kay ang datos dili na mabasa sa higayon nga matangtang ang hardware

Mga Instruksyon sa Paggamit sa Produkto

Aron magamit ang HX Security Encryption, sunda kini nga mga panudlo:

1. Siguroha nga ang imong sistema nagsuporta sa hardware-based encryption o nga imong gusto ang software-based nga solusyon gamit ang Intersight Key Manager.
2. Tan-awa ang mga dokumento sa administrasyon o (mga) whitepaper para sa impormasyon sa software-based encryption.
3. Kung gipili nimo nga gamiton ang hardware-based encryption nga adunay SEDs, siguroha nga ang imong HX cluster naglangkob sa mga uniporme nga node (SED o non-SED).
4. Para sa SEDs, sabta nga adunay duha ka yawe nga gigamit: ang Media Encryption Key (MEK) ug ang Key Encryption Key (KEK).
5. Gikontrol sa MEK ang pag-encrypt ug pag-decryption sa data sa disk ug gisiguro ug gidumala sa hardware.
6. Gisiguro sa KEK ang MEK/DEK ug gimentinar sa lokal o hilit nga keystore.
7. Ayaw kabalaka bahin sa mga yawe nga naa sa memorya sa node, tungod kay ang mga yawe sa pag-encrypt wala gitipigan didto.
8. Timan-i nga ang disk encryption/decryption gidumala sa drive hardware, pagsiguro nga ang kinatibuk-ang performance sa sistema dili maapektuhan.
9. Kung ikaw adunay piho nga mga kinahanglanon alang sa mga sumbanan sa pagsunod, hibaloi nga ang HX SED nga na-encrypt nga mga drive nakab-ot sa FIPS 140-2 nga lebel 2 nga mga sumbanan gikan sa mga tiggama sa drive, samtang ang HX Encryption sa plataporma nagtagbo sa mga sukdanan sa FIPS 140-2 nga lebel 1.
10. Kung kinahanglan nimo nga i-encrypt ang indibidwal nga mga VM, ikonsiderar ang paggamit sa software sa 3rd party sama sa Hytrust o transparent nga kliyente sa Vormetric. Sa laing bahin, mahimo nimong gamiton ang lumad nga VM encryption sa VMware nga gipaila sa vSphere 6.5.
11. Hinumdomi nga ang paggamit sa usa ka VM encryption client sa ibabaw sa HX SED-based encryption moresulta sa dobleng encryption sa data.
12. Siguruha nga ang imong HX cluster konektado pinaagi sa kasaligan nga mga network o naka-encrypt nga mga tunnel alang sa luwas nga pagkopya, tungod kay ang HX nga pagkopya wala ma-encrypt.

HX Security Encryption FAQ

Ingon sa HXDP 5.01b, ang HyperFlex nagtanyag usa ka solusyon nga nakabase sa software gamit ang Intersight Key Manager alang sa mga sistema nga wala magsuporta sa pag-encrypt nga nakabase sa hardware o alang sa mga tiggamit nga gusto kini nga gamit sa mga solusyon sa hardware. Kini nga FAQ nagtutok lamang sa SED-based nga mga solusyon sa hardware alang sa HX encryption. Tan-awa ang mga dokumento sa administrasyon o (mga) whitepaper para sa impormasyon sa software-based encryption.

Pahayag sa Bias
Ang dokumentasyon nga gitakda alang niini nga produkto naningkamot sa paggamit sa walay bias nga pinulongan. Alang sa mga katuyoan niini nga set sa dokumentasyon, ang walay bias gihubit nga pinulongan nga wala magpasabot og diskriminasyon base sa edad, pagkabaldado, gender, rasa nga pagkatawo, etnikong pagkatawo, oryentasyong sekswal, kahimtang sa socioeconomic, ug intersectionality. Ang mga eksepsiyon mahimong anaa sa dokumentasyon tungod sa pinulongan nga hardcoded sa user interface sa software sa produkto, pinulongan nga gigamit base sa standards documentation, o pinulongan nga gigamit sa usa ka reference nga third-party nga produkto.

Ngano nga ang Cisco alang sa Seguridad ug HX Encryption 

• P 1.1: Unsang mga proseso ang anaa alang sa luwas nga kalamboan?
  A 1.1: Ang Cisco Servers nagsunod sa Cisco Secure Development Lifecycle (CSDL):
  • Naghatag ang Cisco og mga proseso, mga pamaagi, mga balangkas aron mapalambo ang naka-embed nga seguridad sa mga server sa Cisco, dili lamang usa ka overlay
  • Gipahinungod nga Cisco team alang sa pagmodelo sa hulga / static nga pagtuki sa UCS Product Portfolio
  • Ang Cisco Advanced Security Initiative Group (ASIG) nagpahigayon sa proactive penetration testing aron masabtan kung giunsa ang mga hulga sa pagsulod ug pag-ayo sa mga isyu pinaagi sa pagpauswag sa HW & SW pinaagi sa CDETS ug engineering
  • Gipahinungod nga grupo sa Cisco aron sulayan ug pagdumala ang pagkahuyang sa gawas ug makigkomunikar isip mga tigtambag sa seguridad sa mga kustomer
  • Ang tanan nga nagpahiping mga produkto moagi sa mga kinahanglanon sa baseline sa seguridad sa produkto (PSB) nga nagdumala sa mga sumbanan sa seguridad alang sa mga produkto sa Cisco
  • Gipahigayon sa Cisco ang Vulnerability/Protocol nga kalig-on nga pagsulay sa tanan nga mga pagpagawas sa UCS
• P 1.2: Nganong importante ang SEDs?
  A 1.2: Ang mga SED gigamit alang sa data-at-rest encryption ug usa ka kinahanglanon alang sa kadaghanan, kung dili tanan, federal, medikal, ug pinansyal nga mga institusyon.

Kinatibuk-ang Impormasyon Overview

• Q 2.1: Unsa ang SEDs?
  A 2.1: Ang SED (Self-Encrypting Drives) adunay espesyal nga hardware nga nag-encrypt sa umaabot nga data ug nag-decrypt sa mga outgoing data sa real-time.
• Q 2.2: Unsa ang kasangkaran sa pag-encrypt sa HX?
  A 2.2: Ang pag-encrypt sa HX sa pagkakaron gipatuman sa hardware alang sa datos nga nagpahulay gamit lamang ang mga encrypted drive (SEDs). Ang HX encryption kay cluster-wide. Ang indibidwal nga VM encryption gidumala sa software sa 3rd party sama sa Hytrust o transparent nga kliyente sa Vormetric ug wala sa sakup sa mga responsibilidad sa HX. Gisuportahan usab sa HX ang paggamit sa lumad nga VM encryption sa VMware nga gipaila sa vSphere 6.5. Ang paggamit sa usa ka VM encryption client sa ibabaw sa HX SED based encryption moresulta sa double encryption sa data. Ang replikasyon sa HX wala ma-encrypt ug nagsalig sa kasaligan nga mga network o naka-encrypt nga mga tunnel nga gi-deploy sa katapusan nga tiggamit.
• Q 2.3: Unsa nga mga sumbanan sa pagsunod ang gitagbo sa HX encryption?
  A 2.3: Ang HX SED nga naka-encrypt nga mga drive nakab-ot sa FIPS 140-2 nga lebel 2 nga mga sumbanan gikan sa mga tiggama sa drive. Ang HX Encryption sa plataporma nagtagbo sa FIPS 140-2 nga lebel 1 nga mga sumbanan.
• Q 2.4: Gisuportahan ba namo ang HDD ug SSD alang sa pag-encrypt?
  A 2.4: Oo gisuportahan namo ang HDD ug SSD SED gikan sa Micron.
• Q 2.5: Mahimo ba nga ang usa ka HX cluster adunay naka-encrypt ug dili naka-encrypt nga mga drive sa parehas nga oras?
  A 2.5: Ang tanan nga mga node sa cluster kinahanglan nga uniporme (SEDs o non-SEDs)
• P 2.6: Unsa nga mga yawe ang gigamit alang sa usa ka SED ug giunsa kini paggamit?
  A 2.6: Adunay duha ka yawe nga gigamit alang sa matag SED. Ang Media Encryption Key (MEK) gitawag usab nga Disk Encryption Key (DEK), nagkontrol sa encryption ug decryption sa data sa disk ug gisiguro ug gidumala sa hardware. Ang Key Encryption Key (KEK) nagsiguro sa DEK/MEK ug gipadayon sa bisan usa ka lokal o hilit nga keystore.
• P 2.7: Ang mga yawe ba anaa sa memorya?
  A 2.7: Ang mga yawe sa pag-encrypt wala gayud anaa sa memorya sa node
• P 2.8: Sa unsang paagi naapektuhan ang performance sa proseso sa pag-encrypt/decryption?
  A 2.8: Ang disk encryption/decryption gidumala sa drive hardware. Ang kinatibuk-ang pasundayag sa sistema dili maapektuhan ug dili ubos sa mga pag-atake nga nagpunting sa ubang mga sangkap sa sistema
• Q 2.9: Gawas sa encryption sa pagpahulay, unsa ang ubang mga rason sa paggamit sa SEDs?
  A 2.9: Ang mga SED makapakunhod sa mga gasto sa pagretiro sa pagmaneho ug pag-redeploy pinaagi sa diha-diha nga pagtangtang sa cryptographic. Nagsilbi usab sila aron sundon ang mga regulasyon sa gobyerno o industriya alang sa pagkapribado sa datos. Laing advantage mao ang pagkunhod sa risgo sa disk theft ug node theft tungod kay ang data, sa higayon nga ang hardware makuha gikan sa ekosistema, dili na mabasa.
• Q2.10: Unsay mahitabo sa deduplication ug compression sa SEDs? Unsay mahitabo sa 3rd party software-based encryption?
  A2.10: Ang deduplication ug compression sa SEDs sa HX gipadayon sukad ang data sa rest encryption mahitabo isip katapusang lakang sa proseso sa pagsulat. Ang deduplication ug compression nahitabo na. Uban sa 3rd party software-based encryption nga mga produkto, ang mga VM nagdumala sa ilang encryption ug nagpasa sa naka-encrypt nga mga sulat ngadto sa hypervisor ug sunod HX. Tungod kay kini nga mga sinulat na-encrypt na, dili kini ma-deduplicate o ma-compress. Ang HX Software Based Encryption (sa 5.x codeline) maoy usa ka software encryption solution nga gipatuman sa stack human mahitabo ang write optimizations (deduplication ug compression) aron ang benepisyo mapabilin sa maong kaso.

Ang numero sa ubos kay tapos naview sa pagpatuman sa SED uban sa HX.

Mga Detalye sa Pagmaneho 

• Q 3.1: Kinsa ang naghimo sa mga naka-encrypt nga drive nga gigamit sa HX?
  A 3.1: Gigamit sa HX ang mga drive nga gigama sa Micron: Ang mga dokumento nga espesipiko sa Micron gisumpay sa seksyon sa pagsuporta sa mga dokumento niini nga FAQ.
• Q 3.2: Gisuportahan ba namo ang bisan unsang SED nga dili subay sa FIPS?
  A 3.2: Gisuportahan usab namo ang pipila ka mga drive nga dili FIPS, apan gisuportahan ang SED (TCGE).
• Q 3.3: Unsa ang TCG?
  A 3.3: Ang TCG mao ang Trusted Computing Group, nga nagmugna ug nagdumala sa mga espesipikasyon nga sumbanan alang sa na-encrypt nga pagtipig sa datos
• Q 3.4: Unsa ang gikonsiderar nga seguridad sa klase sa negosyo kung bahin sa SAS SSD alang sa data center? Unsang mga piho nga bahin ang adunay kini nga mga drive nga nagsiguro sa seguridad ug nanalipod batok sa pag-atake?
  A 3.4: Kini nga lista nag-summarize sa enterprise-class nga mga feature sa SEDs nga gigamit sa HX ug kung unsa kini kalambigit sa TCG standard.
  1. Ang mga self-encrypting drive (SEDs) naghatag og lig-on nga seguridad alang sa datos nga nagpahulay sa imong SED, nga nagpugong sa dili awtorisado nga pag-access sa datos. Ang Trusted Computing Group (TCG) nakahimo og lista sa mga feature ug benepisyo sa self-encrypting drives para sa HDDs ug SSDs. Ang TCG naghatag og usa ka sumbanan nga gitawag nga TCG Enterprise SSC (Security Subsystem Class) ug naka-focus sa data sa pagpahulay. Kini usa ka kinahanglanon alang sa tanan nga mga SED. Ang spec magamit sa data storage device ug controllers nga naglihok sa enterprise storage. Ang listahan naglakip sa:
     • Transparency: Wala'y gikinahanglan nga mga pagbag-o sa sistema o aplikasyon; encryption key nga gihimo sa drive mismo, gamit ang on-board true random number generator; Ang drive kanunay nga nag-encrypt.
     • Kasayon ​​sa pagdumala: Walay encryption yawe sa pagdumala; Gipahimuslan sa mga tigbaligya sa software ang standardized interface aron madumala ang mga SED, lakip ang remote management, pre-boot authentication, ug password recovery
     • Gasto sa paglabay o re-purposing: Uban sa SED, papasa ang on-board encryption key
     • Pag-encrypt pag-usab: Sa SED, dili na kinahanglan nga i-encrypt pag-usab ang datos
     • Pagganap: Walay degradasyon sa SED performance; gibase sa hardware
     • Standardisasyon: Ang tibuuk nga industriya sa pagmaneho nagtukod sa TCG / SED Mga Detalye
     • Gipasimple: Walay interference sa upstream nga mga proseso
  2. Ang SSD SEDs nga gihatag mao ang abilidad sa cryptographically erase sa drive. Kini nagpasabot nga ang usa ka yano nga authenticated command mahimong ipadala sa drive aron mausab ang 256-bit encryption key nga gitipigan sa drive. Gisiguro niini nga ang drive malimpyohan ug wala nay nahabilin nga datos. Bisan ang orihinal nga sistema sa host dili makabasa sa datos, mao nga kini hingpit nga dili mabasa sa bisan unsang lain nga sistema. Ang operasyon nagkinahanglan lang og pipila ka segundo, sukwahi sa daghang minuto o bisan mga oras nga gikinahanglan aron makahimo og susama nga operasyon sa usa ka wala ma-encrypt nga HDD ug makalikay sa gasto sa mahal nga HDD de-gaussing equipment o mga serbisyo.
  3. Ang FIPS (Federal Information Processing Standard) 140-2 usa ka sumbanan sa gobyerno sa US nga naghulagway sa pag-encrypt ug mga may kalabutan nga mga kinahanglanon sa seguridad nga kinahanglan nga makab-ot sa mga produkto sa IT alang sa sensitibo, apan wala'y klase, nga paggamit. Kanunay kini nga kinahanglanon alang sa mga ahensya sa gobyerno ug kompanya sa serbisyo sa pinansya ug industriya usab sa pag-atiman sa kahimsog. Ang usa ka SSD nga gi-validate sa FIPS-140-2 naggamit sa lig-on nga mga gawi sa seguridad lakip ang gi-aprubahan nga mga algorithm sa pag-encrypt. Gipiho usab niini kung giunsa ang mga indibidwal o uban pang mga proseso kinahanglan nga awtorisado aron magamit ang produkto, ug kung giunsa ang mga module o sangkap kinahanglan gidisenyo aron luwas nga makig-uban sa ubang mga sistema. Sa tinuud, usa sa mga kinahanglanon sa usa ka FIPS-140-2 nga gi-validate nga SSD drive mao nga kini usa ka SED. Hinumdumi nga bisan kung ang TCG dili lamang ang paagi aron makakuha usa ka sertipikado nga naka-encrypt nga drive, ang mga detalye sa TCG Opal ug Enterprise SSC naghatag kanamo usa ka lakang nga bato sa pag-validate sa FIPS. 4. Laing importante nga bahin mao ang Secure Downloads ug Diagnostics. Kini nga bahin sa firmware nanalipod sa drive gikan sa mga pag-atake sa software pinaagi sa usa ka digital nga pirma nga gitukod sa firmware. Kung gikinahanglan ang mga pag-download, ang digital signature magpugong sa dili awtorisado nga pag-access sa drive, nga magpugong sa peke nga firmware gikan sa pagkarga sa drive.

Pag-install sa Hyperflex nga adunay mga SED

• P 4.1: Giunsa pagdumala sa installer ang pag-deploy sa SED? Aduna bay espesyal nga tseke?
  A 4.1: Ang installer nakigkomunikar sa UCSM ug nagsiguro nga ang firmware sa sistema husto ug gisuportahan alang sa nakit-an nga hardware. Ang pagkaangay sa pag-encrypt gisusi ug gipatuman (pananglitan, walay pagsagol sa SED ug non-SED).
• P 4.2: Lahi ba ang deployment?
  A 4.2: Ang pag-install parehas sa usa ka regular nga pag-install sa HX, bisan pa, ang naandan nga daloy sa trabaho dili suportado alang sa mga SED. Kini nga operasyon nanginahanglan usab nga mga kredensyal sa UCSM alang sa mga SED.
• P 4.3: Giunsa pagtrabaho ang paglilisensya sa pag-encrypt? Aduna bay dugang nga kinahanglan nga ibutang?
  A 4.3: SED hardware (gi-order gikan sa pabrika, dili retrofit) + HXDP 2.5 + UCSM (3.1(3x)) mao lamang ang mga butang nga gikinahanglan aron makahimo sa encryption uban sa yawe nga pagdumala. Wala'y dugang nga lisensya sa gawas sa base nga HXDP nga suskrisyon nga gikinahanglan sa 2.5 nga pagpagawas.
• Q 4.4: Unsa ang mahitabo kung ako adunay SED system nga adunay mga drive nga dili na magamit? Unsaon nako pagpalapad kini nga cluster?
  A 4.4: Sa matag higayon nga kami adunay bisan unsang PID nga end-of-life gikan sa among mga suppliers, kami adunay kapuli nga PID nga nahiuyon sa daan nga PID. Kini nga puli nga PID mahimong magamit alang sa RMA, pagpalapad sulod sa usa ka node, ug pagpalapad sa cluster (nga adunay bag-ong mga node). Gisuportahan ang tanan nga mga pamaagi, bisan pa, mahimo’g kinahanglan nila ang pag-upgrade sa usa ka piho nga pagpagawas nga nahibal-an usab sa mga nota sa pagpagawas sa pagbalhin.

Panguna nga Pagdumala

• P 5.1: Unsa ang Panguna nga Pagdumala?
  A 5.1: Ang yawe nga pagdumala mao ang mga buluhaton nga nalangkit sa pagpanalipod, pagtipig, pag-backup ug pag-organisar sa mga yawe sa pag-encrypt. Gipatuman kini sa HX sa usa ka palisiya nga nakasentro sa UCSM.
• Q 5.2: Unsa nga mekanismo ang naghatag suporta alang sa yawe nga pag-configure?
  A 5.2: Naghatag ang UCSM og suporta aron ma-configure ang mga yawe sa seguridad.
• P 5.3: Unsang matang sa yawe nga pagdumala ang anaa?
  A 5.3: Ang lokal nga pagdumala sa mga yawe gisuportahan, uban sa enterprise-class nga remote key management uban sa 3rd party key management servers.
• Q 5.4: Kinsa ang mga remote key management partners?
  A 5.4: Gisuportahan namon karon ang Vormetric ug Gemalto (Safenet) ug naglakip sa taas nga magamit (HA). Ang HyTrust anaa sa pagsulay.
• P 5.5: Giunsa pagpatuman ang remote key management?
  A 5.5: Ang remote key management gidumala pinaagi sa KMIP 1.1.
• P 5.6: Giunsa pag-configure ang lokal nga pagdumala?
  A 5.6: Ang yawe sa seguridad (KEK) gi-configure sa HX Connect, direkta sa tiggamit.
• Q 5.7: Giunsa pag-configure ang layo nga pagdumala?
  A 5.7: Ang impormasyon sa address sa server sa remote key management (KMIP) kauban ang mga kredensyal sa pag-login gi-configure sa HX Connect sa user.
• Q 5.8: Unsa nga bahin sa HX ang nakigsulti sa KMIP server alang sa pag-configure?
  A 5.8: Ang CIMC sa matag node naggamit niini nga impormasyon aron makonektar sa KMIP server ug makuha ang security key (KEK) gikan niini.
  
• P 5.9: Unsang mga klase sa Sertipiko ang gisuportahan sa yawe nga proseso sa paghimo/pagbawi/pag-update?
  A 5.9: Ang mga sertipiko nga gipirmahan sa CA ug gipirmahan sa kaugalingon pareho nga gisuportahan.
  
• P 5.10: Unsang mga workflow ang gisuportahan sa proseso sa pag-encrypt?
  A 5.10: Ang pagpanalipod/dili pagprotekta gamit ang custom nga password gisuportahan uban sa lokal ngadto sa hilit nga key management conversion. Gisuportahan ang mga re-key nga operasyon. Gisuportahan usab ang luwas nga operasyon sa pagtangtang sa disk.
  

Daloy sa Trabaho sa Gumagamit: Lokal

• Q 6.1: Sa HX Connect, asa man ko nag-set up sa local key management?
  A 6.1: Sa dashboard sa Encryption pilia ang buton sa pag-configure ug sunda ang wizard.
• P 6.2: Unsa ang akong kinahanglan nga andam sa pag-adto aron masugdan kini?
  A 6.2: Kinahanglan nimo nga maghatag usa ka 32-karakter nga passphrase sa seguridad.
• P 6.3: Unsa ang mahitabo kung kinahanglan kong magsal-ot og bag-ong SED?
  A 6.3: Sa UCSM kinahanglan nimo nga i-edit ang lokal nga polisiya sa seguridad ug itakda ang gi-deploy nga yawe sa kasamtangan nga node key.
• Q 6.4: Unsa ang mahitabo kung akong gisulod ang bag-ong disk?
  A 6.4: Kung ang yawe sa seguridad sa disk motakdo sa sa server (node) kini awtomatik nga ma-unlock. Kung ang mga yawe sa seguridad lahi, ang disk magpakita ingon usa ka "Locked". Mahimo nimong hawanan ang disk aron mapapas ang tanan nga datos o maablihan kini pinaagi sa paghatag sa husto nga yawe. Kini ang maayong panahon sa pag-apil sa TAC.

Daloy sa Trabaho sa Gumagamit: Layo

• Q 7.1: Unsa ang pipila ka mga butang nga kinahanglan nakong bantayan sa remote key management configuration?
  A 7.1: Ang komunikasyon tali sa cluster ug sa KMIP server(s) mahitabo ibabaw sa CIMC sa matag node. Kini nagpasabot nga ang hostname mahimong gamiton alang sa KMIP server lamang kung ang Inband IP address ug DNS gi-configure sa pagdumala sa CIMC
• P 7.2: Unsa ang mahitabo kung kinahanglan nako nga ilisan o isulod ang bag-ong SED?
  A 7.2: Ang cluster mobasa sa identifier gikan sa disk ug mosulay sa pag-unlock niini awtomatik. Kung mapakyas ang awtomatik nga pag-unlock, ang disk moabut ingon nga "naka-lock" ug ang user kinahanglan nga mag-unlock sa disk nga mano-mano. Kinahanglan nimong kopyahon ang mga sertipiko sa (mga) server sa KMIP alang sa pagbinayloay sa kredensyal.
• P 7.3: Unsaon nako pagkopya ang mga sertipiko gikan sa cluster ngadto sa (mga) KMIP server?
  A 7.3: Adunay duha ka paagi sa pagbuhat niini. Mahimo nimong kopyahon ang sertipiko gikan sa BMC ngadto sa KMIP server direkta o mahimo nimong gamiton ang CSR aron makakuha usa ka sertipiko nga gipirmahan sa CA ug kopyahon ang sertipiko nga gipirmahan sa CA sa BMC gamit ang mga mando sa UCSM.
• P 7.4: Unsa ang mga konsiderasyon alang sa pagdugang sa mga naka-encrypt nga node sa usa ka cluster nga naggamit sa remote key management?
  A 7.4: Kung magdugang ug bag-ong mga host sa (mga) KMIP server, ang gigamit nga hostname kinahanglan nga serial number sa server. Aron makuha ang sertipiko sa KMIP server, mahimo kang mogamit og browser aron makuha ang root certificate sa (mga) KMIP server.

Daloy sa Trabaho sa Gumagamit: Kinatibuk-an

• Q 8.1: Unsaon nako pagpapas sa disk?
  A 8.1: Sa dashboard sa HX Connect, pilia ang impormasyon sa sistema view. Gikan didto mahimo nimong pilion ang indibidwal nga mga disk alang sa luwas nga pagpapas.
• Q 8.2: Unsa kaha kung natangtang nako ang usa ka disk sa aksidente?
  A 8.2: Kung gigamit ang luwas nga pagpapas ang datos malaglag nga permanente
• Q 8.3: Unsa ang mahitabo kung gusto nakong i-decommission ang usa ka node o i-dissociate ang usa ka service profile?
  A 8.3: Walay usa niini nga mga aksyon ang magtangtang sa encryption sa disk/controller.
• Q 8.4: Sa unsang paagi ma-disable ang encryption?
  A 8.4: Ang tiggamit kinahanglan nga dayag nga pag-disable sa pag-encrypt sa HX Connect. Kung ang tiggamit mosulay sa pagtangtang sa usa ka palisiya sa seguridad sa UCSM kung ang kauban nga server nasiguro na, ang UCSM magpakita sa usa ka config-failure ug dili motugot sa aksyon. Ang polisiya sa seguridad kinahanglang i-disable una.

Daloy sa Trabaho sa Gumagamit: Pagdumala sa Sertipiko

• Q 9.1: Giunsa pagdumala ang mga sertipiko sa panahon sa pag-setup sa layo nga pagdumala?
  A 9.1: Ang mga sertipiko gihimo gamit ang HX Connect ug ang (mga) remote KMIP server. Ang mga sertipiko sa dihang nahimo na halos dili na mapapas.
• Q 9.2: Unsang klase sa mga sertipiko ang akong magamit?
  A 9.2: Mahimo nimong gamiton ang mga sertipiko nga gipirmahan sa kaugalingon o mga sertipiko sa CA. Kinahanglan ka nga mopili sa panahon sa pag-setup. Para sa mga sertipiko nga gipirmahan sa CA makamugna ka og usa ka set sa Certificate Signing Requests (CSRs). Ang gipirmahan nga mga sertipiko gi-upload sa (mga) server sa KMIP.
• Q 9.3: Unsang hostname ang akong gamiton sa paghimo sa mga sertipiko?
  A 9.3: Ang hostname nga gigamit alang sa paghimo sa sertipiko kinahanglan nga ang Serial Number sa server.

Mga Update sa Firmware

• Q 10.1: Aduna bay mga pagdili sa pag-upgrade sa disk firmware?
  A 10.1: Kung makit-an ang usa ka drive nga makahimo sa pag-encrypt, ang bisan unsang pagbag-o sa firmware sa disk dili tugutan alang sa kana nga disk.
• Q 10.2: Aduna bay bisan unsang mga pagdili sa pag-upgrade sa firmware sa UCSM?
  A 10.2: Ang pag-downgrade sa UCSM/CIMC ngadto sa pre-UCSM 3.1(3x) gidid-an kung adunay controller nga naa sa secured state.

Luwas nga mga Detalye sa Pagpapas

• P 11.1: Unsa ang Secure Erase?
  A 11.1: Ang secure erase mao ang diha-diha nga pagtangtang sa datos sa drive (pagpahid sa disk encryption key). Kini nagpasabot nga ang usa ka yano nga authenticated command mahimong ipadala sa drive aron mausab ang 256-bit encryption key nga gitipigan sa drive. Gisiguro niini nga ang drive malimpyohan ug wala nay nahabilin nga datos. Bisan ang orihinal nga sistema sa host dili makabasa sa datos aron kini dili mabasa sa bisan unsang lain nga sistema. Ang operasyon nagkinahanglan lang og pipila ka segundo, sukwahi sa daghang minuto o bisan mga oras nga gikinahanglan aron makahimo og susama nga operasyon sa usa ka unencrypted disk ug makalikay sa gasto sa mahal nga degaussing equipment o mga serbisyo.
• P 11.2: Giunsa pagbuhat ang luwas nga pagtangtang?
  A 11.2: Kini usa ka operasyon sa GUI nga gihimo usa ka drive matag higayon.
• P 11.3: Kanus-a kasagarang gihimo ang luwas nga pagtangtang?
  A 11.3: Ang gipasiugdahan sa user nga luwas nga pagtangtang sa usa ka disk usa ka talagsaon nga operasyon. Kasagaran kini gihimo kung gusto nimo nga pisikal nga tangtangon ang disk alang sa pag-ilis, ibalhin kini sa lain nga node, o malikayan ang hapit nga umaabot nga kapakyasan.
• P 11.4: Unsang mga pagdili ang anaa sa luwas nga pagpapas?
  A 11.4: Ang secure erase operations mahimo lamang kung ang cluster himsog aron masiguro nga ang fault resiliency sa cluster dili maapektuhan.
• Q 11.5: Unsa ang mahitabo kung kinahanglan nako nga tangtangon ang tibuuk nga node?
  A 11.5: Adunay pagtangtang sa node ug pag-ilis sa node sa mga workflow aron suportahan ang luwas nga pagtangtang sa tanan nga mga drive. Tan-awa ang giya sa admin para sa mga detalye o konsultaha ang Cisco TAC.
• P 11.6: Mahimo bang magamit pag-usab ang usa ka luwas nga napapas nga disk?
  A 11.6: Ang usa ka disk nga luwas nga mapapas mahimong magamit pag-usab sa lain nga cluster lamang. Ang luwas nga pagpapas sa SED gihimo pinaagi sa pagpahid sa disk encryption key (DEK). Ang datos sa disk dili ma-decrypt kung wala ang DEK. Kini nagtugot kanimo sa paggamit pag-usab o decommission sa disk nga walay bisan unsa nga pagkompromiso sa data.
• Q 11.7: Unsa ang mahitabo kung ang disk nga gusto nakong papason naglangkob sa katapusang panguna nga kopya sa cluster data?
  A 11.7: Ang datos sa disk kinahanglan adunay ubang mga kopya sa cluster aron malikayan ang pagkawala sa datos. Bisan pa, kung gihangyo ang luwas nga pagpapas sa usa ka disk nga mao ang katapusan nga panguna nga kopya, nan kini nga operasyon isalikway hangtod adunay labing menos usa pa nga kopya nga magamit. Ang pagbalanse kinahanglan nga maghimo niini nga kopya sa background.
• Q 11.8: Kinahanglan gyud nako nga luwas nga papason ang usa ka disk, apan ang cluster dili himsog. Unsaon nako pagbuhat niini?
  A 11.8: Ang command line (STCLI/HXCLI) magtugot sa luwas nga pagtangtang kung ang cluster dili himsog ug ang disk wala maglangkob sa katapusang panguna nga kopya, kung dili kini dili gitugotan.
• Q 11.9: Unsaon nako nga luwas nga mapapas ang tibuok node?
  A 11.9: Talagsa ra kini nga senaryo. Ang luwas nga pagtangtang sa tanan nga mga disk sa usa ka node gihimo kung gusto sa usa nga kuhaon ang node gikan sa cluster. Ang tuyo mao ang pag-deploy sa node sa laing cluster o pag-decommission sa node. Mahimo natong klasipikasyon ang pagtangtang sa node niini nga senaryo sa duha ka lainlaing paagi:
  1. Lig-on nga papason ang tanang mga disk nga walay pag-disable sa encryption
  2. Lig-on nga papason ang tanan nga mga disk nga gisundan sa pag-disable sa encryption alang sa kana nga node (ug mga disk). Palihog kontaka ang Cisco TAC alang sa tabang.

Luwas nga Pagpalapad sa usa ka Cluster

• Q 12.1: Unsang matanga sa node ang akong mapalapad sa usa ka naka-encrypt nga cluster?
  A 12.1: Ang mga node nga makahimo sa SED lamang ang mahimong idugang sa usa ka HX Cluster nga adunay mga SED.
• P 12.2: Giunsa pagdumala ang pagpalapad sa lokal nga yawe nga pagdumala?
  A 12.2: Ang lokal nga yawe nga pagpalapad usa ka hapsay nga operasyon nga wala’y kinahanglan nga pag-configure sa gawas.
• P 12.3: Giunsa pagdumala ang pagpalapad sa remote key management?
  A 12.3: Ang layo nga pagpalapad sa yawe nanginahanglan lockstep nga adunay mga sertipiko / imprastraktura sa pagdumala sa yawe:
  • Ang mga sertipiko gikinahanglan aron makadugang sa bag-ong node nga luwas
  • Ang Deployment magpakita og usa ka pasidaan nga adunay mga lakang sa pagpadayon lakip ang usa ka link alang sa pag-download sa sertipiko
  • Gisunod sa user ang mga lakang sa pag-upload sa (mga) sertipiko ug unya sulayan pag-usab ang pag-deploy

Pagsuporta nga mga Dokumento

Micron:

• https://www.micron.com/about/blogs/2016/may/selfencrypting-drives-understanding-the-strategy-of-security
• https://www.micron.com/~/media/documents/products/technical-marketing-brief/5100_sed_tcg-e_tech_brief.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2667.pdf
• https://csrc.nist.gov/csrc/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp2382.pdf

FIPS

• Listahan sa mga crypto algorithm nga giaprobahan para sa FIPS 140-2: https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402annexa.pdf

CDETS:

• Proyekto: CSC.nuova Produkto: ucs-blade-server Component: ucsm

SED Functional nga Detalye:

• EDCS: 1574090

SED CIMC Detalye:

• http://wwwin-eng.cisco.com/Eng/SAVBU/Projects/Rackmount/Freel_Peak/SW_Specs/Remote_Key_Mgmt_sw_design_spec.doc

Mga Listahan sa Mailing:

• ucsm-dev@cisco.com
• pangutana-hci-tme@cisco.com
• pangutana-hci-pm@cisco.com

Mga Dokumento / Mga Kapanguhaan

CISCO HyperFlex HX Data Platform [pdf] Mga instruksiyon HyperFlex HX Data Platform, HyperFlex, HX Data Platform, Data Platform, Platform

Mga pakisayran

• Manwal sa Gumagamit