Chiffrement

Le système fournit un chiffrement des données au repos, qui protège contre un risque éventuel d'exposition des données et des métadonnées utilisateur sensibles qui sont stockées sur des modules flash supprimés, perdus ou volés. Le chiffrement des données et des métadonnées du système n'est pas obligatoire, ce qui fait que ces dernières ne sont pas chiffrées.

Si vous utilisez le chiffrement, assurez-vous d'avoir bien acheté le code de fonction AF14: Encryption Enablement Pack (Plant).

Scénario 1 : initialisation d'un nouveau système avec chiffrement

Dans ce scénario, vous initialisez et activez le chiffrement sur un nouveau système ne comportant pas de données actuellement stockées sur des modules flash. Vous avez acheté le code de fonction de chiffrement AF14 lorsque vous avez acheté le système. Dans ce cas, IBM envoie au total trois clés USB ; une pour le système et deux autres pour le code de fonction de chiffrement.

Vous pouvez utiliser l'outil d'initialisation pour activer le chiffrement. Lorsque le chiffrement est activé, une clé de chiffrement est générée par le système pour permettre l'accès aux données chiffrées stockées sur le système. L'outil d'initialisation lance un assistant qui vous guide tout au long du processus de copie de la clé de chiffrement sur plusieurs clés USB. Les actions suivantes sont recommandées pour la copie et le stockage des clés de chiffrement :
  1. Effectuez des copies de la clé de chiffrement sur au moins trois clés USB pour accéder au système.
  2. En outre, copiez les clés de chiffrement sur d'autres formes de stockage à des fins de résilience et de limitation des risques, au cas où, par exemple, les trois clés USB proviendraient d'un lot d'unités défectueux.
  3. Testez chaque copie de la clé de chiffrement avant d'écrire des données utilisateur sur le système initialisé.
  4. Stockez en lieu sûr toutes les copies de la clé de chiffrement. Par exemple, les clés USB qui ne restent pas insérées dans le système pourraient être placées dans un coffre-fort. Des précautions comparables doivent être prises pour protéger toutes les autres copies de la clé de chiffrement stockées sur d'autres formes de stockage.
    Remarque : lors de l'initialisation, l'assistant vous invite à insérer deux des clés USB qui contiennent les clés de chiffrement ; une dans chaque cartouche. Cela suppose que l'environnement physique dans lequel se trouve le système soit extrêmement sécurisé.

Scénario 2 : activation du chiffrement après l'initialisation du système

Les situations suivantes peuvent se produire si le chiffrement est activé une fois que le système a été initialisé :
  • Ajout d'une licence de chiffrement à un système déjà initialisé
  • Modification de la clé de chiffrement sur un système déjà initialisé
Ces deux situations requièrent l'achat du code de fonction AF14: Encryption Enablement Pack (Plant) et la copie de toutes les données existantes des modules flash sur un système de stockage externe.

Pour acheter la licence, vous devez soumettre une demande de devis (RPQ) au service d'assistance IBM pour lui demander que le code de fonction de chiffrement soit appliqué à votre système. Une fois que vous avez acheté le code de fonction, IBM vous envoie deux clés USB supplémentaires.

Pour activer le chiffrement sur un système déjà initialisé, procédez comme suit :
  1. Copiez toutes les données stockées sur l'ensemble des volumes virtuels sur un système de stockage externe. Avant d'activer le chiffrement sur un système déjà initialisé, vous devez supprimer toutes les données utilisateur du système. Toutes les données à conserver doivent être déplacées sur un autre type de stockage résilient. Toutes les données existantes sur les modules flash sont supprimées lorsque le chiffrement est activé sur le système.
  2. Supprimez tous les volumes virtuels et les grappes RAID définis sans chiffrement.
  3. Lancez l'outil d'initialisation et sélectionnez Oui pour configurer un nouveau système.
  4. Dans le panneau Chiffrement, sélectionnez Oui pour indiquer que vous avez acheté la licence et que vous souhaitez activer le chiffrement.
  5. Lancez l'outil d'initialisation, en vous assurant que les clés de chiffrement sont copiées sur au moins trois clés USB et que des copies supplémentaires sont effectuées sur les autres systèmes de stockage requis par votre environnement.
  6. Après l'outil d'initialisation, lancez l'interface graphique de gestion et exécutez l'assistant de configuration du système. Cet assistant crée automatiquement une grappe RAID chiffrée.
  7. Recopiez sur le système toutes les données copiées sur le système de stockage externe à l'étape 1.
Avertissement : Au démarrage du système (mise sous tension) ou pour accéder à un système chiffré, la clé de chiffrement doit être fournie par une source externe pour que le système soit accessible. La clé de chiffrement est lue sur la clé USB qui stocke les copies des clés créées lors de l'initialisation du système. Si vous souhaitez que le système soit automatiquement réamorcé, vous devez laisser une clé USB avec les clés de chiffrement dans chaque cartouche, pour que les deux cartouches aient accès à la clé de chiffrement lorsqu'elles sont mises sous tension. Cette méthode requiert que l'environnement physique dans lequel se trouve le système soit extrêmement sécurisé, de sorte qu'aucune personne non autorisée ne puisse effectuer des copies des clés de chiffrement sur les clés USB et accéder aux données stockées sur le système. Pour un fonctionnement plus sécurisé, ne laissez pas les clés USB dans les cartouches du système. Toutefois, cette méthode requiert que vous insériez manuellement les clés USB qui contiennent des copies de la clé de chiffrement dans les deux cartouches avant de réinitialiser le système. La clé de chiffrement est requise pour accéder aux données chiffrées ; elle ne se trouve que sur les copies de la clé USB et sur les autres copies effectuées sur d'autres formes de stockage. La clé de chiffrement ne peut pas être récupérée ou régénérée par IBM si toutes les copies conservées par l'utilisateur sont perdues ou irrécupérables.

Le code de fonction AF14: Encryption Enablement Pack (Plant) est requis pour obtenir de l'aide

Si vous activez le chiffrement en sélectionnant Oui, pour obtenir une assistance supplémentaire d'IBM, vous devez fournir la preuve d'achat du code de fonction de chiffrement (FC AF14: Encryption Enablement Pack (Plant)) .

L'assistance IBM via RPQ est requise pour contourner les restrictions suivantes :
  • Le chiffrement ne peut pas être activé ou désactivé une fois que le système a été initialisé.
  • La clé de chiffrement ne peut pas être modifiée.