Cifrado

El sistema proporciona cifrado de datos opcional en descanso, el cual protege frente a una posible exposición de datos confidenciales de usuario y metadatos de usuario que se almacenan en módulos Flash descartados, perdidos o robados. El cifrado de datos del sistema y de los metadatos del sistema no es necesario, por lo tanto, los datos del sistema y los metadatos no se cifran.

Si desea utilizar el cifrado, debe adquirir el Código de característica AF14: Paquete de habilitación de cifrado (Planta).

Caso de ejemplo 1: Inicializar un sistema nuevo con cifrado

En este caso de ejemplo, está inicializando y activando el cifrado en un sistema nuevo que no tiene datos almacenados actualmente en módulos Flash. Ha adquirido el código de característica de cifrado AF14 al adquirir el sistema. En este caso, IBM envía un total de tres unidades Flash USB, una unidad Flash USB para el sistema y dos unidades Flash USB para el código de característica de cifrado.

Puede utilizar la herramienta de inicialización para activar el cifrado. Si el cifrado está activado, el sistema genera una clave de cifrado que se utilizará para acceder a los datos cifrados almacenados en el sistema. La herramienta de inicialización invoca un asistente que le guía por el proceso de copia de la clave de cifrado en varias unidades Flash USB. Las acciones siguientes se consideran métodos recomendados para copiar y almacenar las claves de cifrado:
  1. Realice copias de la clave de cifrado en al menos tres unidades Flash USB para acceder al sistema:
  2. Asimismo, copie las claves de cifrado en otras formas de almacenamiento para proporcionar flexibilidad y mitigar el riesgo si, por ejemplo, las tres unidades Flash USB pertenecen a un lote de unidades anómalas.
  3. Pruebe cada una de las copias de la clave de cifrado antes de grabar datos de usuario en el sistema inicializado.
  4. Almacene de forma segura todas las copias de la clave de cifrado. Por ejemplo, cualquier unidad Flash USB que no se deje insertada en el sistema puede guardarse en un lugar seguro y bloqueado. Deben tomarse precauciones similares para proteger de forma segura cualquier otra copia de la clave de cifrado almacenada en otras formas de almacenamiento.
    Nota: Durante la inicialización, el asistente le solicitará que inserte una de las dos unidades Flash USB que contienen las claves de cifrado en cada recipiente. Esto presupone que el entorno físico donde se encuentra ubicado el sistema es muy seguro.

Caso de ejemplo 2: Activación del cifrado después de la inicialización

Se pueden producir las situaciones siguientes cuando se activa el cifrado después de que el sistema se haya inicializado:
  • Adición de una licencia de cifrado a un sistema inicializado previamente
  • Cambio de la clave de cifrado en un sistema inicializado previamente
Estas dos situaciones requieren que se adquiera el Código de característica AF14: Paquete de habilitación de cifrado (Planta) y que los datos existentes se copien desde los módulos Flash y se almacenen en el almacenamiento externo.

Para comprar la licencia debe enviar una solicitud RPQ (Request Price Quotation) al soporte de IBM para solicitar que se aplique el código de característica de cifrado en el sistema. Cuando haya adquirido el código de característica, IBM le enviará dos unidades Flash USB adicionales.

Para activar el cifrado en un sistema inicializado previamente, siga estos pasos:
  1. Copie todos los datos almacenados en todos los volúmenes virtuales en el almacenamiento externo. Antes de activar el cifrado en un sistema inicializado previamente, debe eliminar todos los datos de usuario del sistema. Todos los datos que deban conservarse deberían trasladarse a otro tipo de almacenamiento flexible. Todos los datos existentes en los módulos flash se borran criptográfica y efectivamente cuando se activa el cifrado en el sistema.
  2. Suprima todos los volúmenes virtuales y las matrices RAID definidas sin cifrado.
  3. Inicie la herramienta de inicialización y seleccione para configurar un sistema nuevo.
  4. En el panel Cifrado, seleccione para indicar que ha comprado la licencia y desea activar el cifrado.
  5. Complete la herramienta de inicialización, asegurándose de que las copias de las claves de cifrado se copien en al menos tres unidades Flash USB y cualquier otra copia adicional en otro almacenamiento que requiera el entorno.
  6. Después de la herramienta de inicialización, inicie la GUI de gestión y ejecute el asistente de configuración del sistema. Este asistente de configuración crea automáticamente una matriz RAID cifrada.
  7. Vuelva a copiar en el sistema todos los datos que se han copiado en el almacenamiento externo durante el paso 1.
Aviso: Durante el arranque del sistema (encendido) o para acceder a un sistema cifrado, la clave de cifrado la debe proporcionar un origen externo, de modo que se pueda acceder al sistema. La clave de cifrado se lee de las unidades Flash USB que almacenan copias de las claves creadas durante la inicialización del sistema. Si desea que el sistema se reinicie automáticamente, se debe dejar insertada una unidad Flash USB con las claves de cifrado en cada uno de los recipientes, de modo que los dos recipientes tengan acceso a la clave de cifrado durante el encendido. Este método requiere que el entorno físico donde se encuentra ubicado el sistema sea muy seguro, de forma que ninguna persona no autorizada pueda realizar copias de las claves de cifrado en las unidades Flash USB y obtener acceso a los datos almacenados en el sistema. Para que el funcionamiento sea más seguro, no deje las unidades Flash USB insertadas en los recipientes del sistema. Sin embargo, este método requiere que inserte manualmente las unidades Flash USB que contienen copias de la clave de cifrado en los dos recipientes antes de reiniciar el sistema. La clave de cifrado es necesaria para acceder a los datos de cifrado y solo reside en las copias de las unidades Flash USB y en cualquier otra copia realizada en otras formas de almacenamiento. IBM no puede recuperar ni volver a generar la clave de cifrado si todas las copias mantenidas por el usuario se pierden o dejan de ser recuperables.

El Código de característica AF14: Paquete de habilitación de cifrado (Planta) es necesario para el soporte

Si activa el cifrado seleccionando , para obtener soporte de IBM adicional, debe proporcionar la prueba de compra del código de característica de cifrado (FC AF14: Paquete de habilitación de cifrado (Planta)).

Para omitir las siguientes restricciones se necesita el soporte de IBM mediante RPQ:
  • No se puede activar o desactivar el cifrado una vez inicializado el sistema.
  • No se puede cambiar la clave de cifrado.