Шифрование

Система предоставляет дополнительные возможности для шифрования хранимых данных, позволяя предотвратить раскрытие конфиденциальных данных пользователей и метаданных пользователей, записанных на списанных, утерянных или украденных модулях флэш-памяти. Шифрование системных данных и системных метаданных не требуется, поэтому они хранятся в незашифрованном виде.

Для применения шифрования необходимо приобрести компонент AF14: Encryption Enablement Pack (Plant).

Сценарий 1: инициализация новой системы с поддержкой шифрования

В этом сценарии выполняется инициализация и активация шифрования в новой системе, которая не содержит никаких данных на модулях флэш-памяти. Вместе с системой был приобретен компонент шифрования AF14. При наличии такого компонента компания IBM предоставляет три флэш-накопителя USB: один для системы и два для компонента шифрования.

Шифрование можно активировать с помощью инструмента инициализации. Когда шифрование активировано, система создает ключ шифрования, который должен применяться для доступа к хранящимся в системе зашифрованным данным. Инструмент инициализации запускает мастер, который помогает пользователю скопировать ключ шифрования на несколько флэш-накопителей USB. Ниже указаны рекомендуемые методы копирования и хранения ключей шифрования:
  1. Создайте копии ключа шифрования, позволяющего получить доступ к системе, по крайней мере на трех флэш-накопителях USB.
  2. В дополнение к этому скопируйте ключ шифрования на устройства хранения других типов для обеспечения гибкости и минимизации риска в случае, если, например, все три флэш-накопителя USB окажутся дефективными.
  3. Протестируйте каждую копию ключа шифрования прежде, чем записать любые пользовательские данные в инициализированную систему.
  4. Обеспечьте безопасное хранение всех копий ключей шифрования. Например, все не подключенные к системе флэш-накопители USB можно хранить в сейфе. Аналогичные меры предосторожности следует применять в отношении других копий ключей шифрования, созданных на устройствах хранения других типов.
    Примечание: во время инициализации мастер предлагает вставить два флэш-накопителя USB, содержащих ключ шифрования, в оба кейса. При этом предполагается, что система расположена в хорошо защищенном помещении.

Сценарий 2: активация шифрования после инициализации системы

При активации шифрования после инициализации системы возможны следующие сценарии:
  • Добавление лицензии шифрования в уже инициализированную систему
  • Изменение ключа шифрования в уже инициализированной системе
В обоих случаях необходимо приобрести компонент AF14: Encryption Enablement Pack (Plant) и скопировать все данные с модулей флэш-памяти во внешнее хранилище.

Для приобретения лицензии необходимо отправить запрос на расценки (RPQ) в службу поддержки IBM, чтобы запросить применение компонента шифрования в системе. После приобретения компонента шифрования компания IBM предоставит два дополнительных флэш-накопителя USB.

Для активации шифрования в уже инициализированной системе выполните следующие действия:
  1. Скопируйте все данные со всех виртуальных томов во внешнее хранилище. Перед активацией шифрования в уже инициализированной системе необходимо удалить все пользовательские данные из системы. Те данные, которые требуется сохранить, необходимо переместить в другое отказоустойчивое хранилище. Все имеющиеся данные удаляются с модулей флэш-памяти криптографическими средствами во время активации шифрования в системе.
  2. Удалите все виртуальные тома и массивы RAID, которые были определены до применения шифрования.
  3. Запустите инструмент инициализации и выберите ответ Да, когда он предложит настроить новую систему.
  4. На панели Шифрование выберите Да в ответ на вопрос о том, была ли приобретена лицензия и нужно ли активировать шифрование.
  5. Выполните инструкции инструмента инициализации, скопировав ключи шифрования по крайней мере на три флэш-накопителя USB и дополнительные устройства хранения другого типа, поддерживаемые вашей средой.
  6. После инструмента инициализации откройте графический интерфейс управления и запустите мастер настройки системы. Этот мастер настройки автоматически создаст зашифрованный массив RAID.
  7. Скопируйте все данные, которые были перенесены во внешнее хранилище на шаге 1, обратно в систему.
Предупреждение: При запуске (включении) системы или доступе к зашифрованной системе требуется ключ шифрования, полученный из внешнего источника. Ключ шифрования считывается с флэш-накопителя USB, содержащего копию ключа, созданную во время инициализации системы. Для автоматической перезагрузки системы необходимо оставить флэш-накопители USB с ключами шифрования в обоих кейсах, для того чтобы кейсы могли получить к ним доступ во время включения. Для применения такого способа помещение, в котором находится система, должно быть хорошо защищено, чтобы никто посторонний не мог сделать копию ключей шифрования, хранящихся на флэш-накопителях USB, и получить доступ к хранящимся в системе данным. Безопаснее не оставлять флэш-накопители USB в кейсах системы. Однако в этом случае их потребуется вручную вставлять в кейсы перед перезагрузкой системы. Ключ шифрования необходим для получения доступа к зашифрованным данным и хранится только на флэш-накопителях USB и других устройствах хранения, содержащих дополнительные копии (если они были созданы). В случае потери или утраты всех копий ключа его нельзя восстановить или воссоздать в сервисном центре IBM.

Для поддержки шифрования необходим компонент AF14: Encryption Enablement Pack (Plant)

Если шифрование было активировано путем выбора ответа Да, то для получения дальнейшей поддержки в компании IBM потребуется предоставить подтверждение покупки компонента шифрования (AF14: Encryption Enablement Pack (Plant)).

Для обхода следующих ограничений следует обратиться в службу поддержки IBM, отправив RPQ:
  • Невозможно активировать или деактивировать шифрование после инициализации системы.
  • Невозможно изменить ключ шифрования.