系統提供選用的靜態資料加密,當快閃記憶體模組丟棄、遺失或失竊時,可保護其中儲存的敏感性使用者資料和使用者 meta 資料不會曝露。
系統資料和系統 meta 資料不需要加密,所以系統資料和 meta 資料並未加密。
如果您想要使用加密,請確定您已購買「特性碼 AF14:加密啟用套件 (Plant)」。
實務 1:起始設定加密的新系統
在這個實務中,您是在目前沒有任何資料儲存在快閃記憶體模組中的新系統上,起始設定和啟動加密。
當您購買系統時,您已購買加密特性碼 AF14。
在這種情況下,IBM 會送出總共三個 USB 快閃記憶體隨身碟,一個 USB 快閃記憶體隨身碟用於系統,另兩個 USB 快閃記憶體隨身碟用於加密特性碼。
您可以利用起始設定工具來啟動加密。
如果已啟動加密,系統會產生加密金鑰,以用來存取系統上所儲存的加密資料。
起始設定工具會啟動精靈,引導您進行複製加密金鑰到多個 USB 快閃記憶體隨身碟的程序。
下列動作可視為複製和儲存加密金鑰的最佳作法:
- 至少在三個 USB 快閃記憶體隨身碟上製作加密金鑰副本來存取系統。
- 另外,還要將加密金鑰複製到其他形式的儲存體中,以提供復原力及減輕風險,比方說,三個 USB 快閃記憶體隨身碟都是來自同一批故障的磁碟機。
- 在將任何使用者資料寫入已起始設定的系統之前,先測試每個加密金鑰副本。
- 安全地儲存所有加密金鑰副本。
例如,可以將任何未插在系統中的 USB 快閃記憶體隨身碟鎖在安全之處。
針對儲存在其他形式之儲存體中的任何其他加密金鑰副本,都應該採取可比得上的預防措施來安全地保護。
附註:在起始設定期間,精靈會提示您插入兩個包含加密金鑰的 USB 快閃記憶體隨身碟,每個機匣各一個。
這時會假設系統所在的實體環境非常安全。
實務 2:在系統起始設定之後,啟動加密
在系統起始設定之後啟動加密,可能會發生下列狀況:
- 新增加密授權至先前已起始設定的系統中
- 在先前已起始設定的系統上,變更加密金鑰
這兩個狀況都需要購買「特性碼 AF14:加密啟用套件 (Plant)」,且所有現有資料都是從快閃記憶體模組複製而來,並儲存在外部儲存體中。
如果要購買授權,您必須向 IBM 支援中心提交要求報價 (RPQ),要求在您的系統上套用加密特性碼。
購買這個特性碼之後,IBM 會送出另外兩個 USB 快閃記憶體隨身碟。
如果要在先前已起始設定的系統上啟動加密,請完成下列步驟:
- 將儲存於所有虛擬磁區的所有資料複製到外部儲存體中。
在先前已起始設定的系統上啟動加密之前,您必須先移除系統中的所有使用者資料。
任何必須保留的資料,必須移至另一形式的具復原力儲存體。
當在系統上啟動加密時,會採有效率的密碼式刪除快閃記憶體模組上所有現有的資料。
- 刪除所有定義時未經加密的虛擬磁區和 RAID 陣列。
- 啟動起始設定工具,然後選取是來配置新的系統。
- 在加密畫面中,選取是,指出您已購買授權,想要啟動加密。
- 完成起始設定工具,確定已將加密金鑰的副本複製到至少三個 USB 快閃記憶體隨身碟,且已將任何其他副本複製到您的環境所需要的其他儲存體中。
- 在起始設定工具之後,請啟動管理 GUI,然後執行系統設定精靈。
這個設定精靈會自動建立已加密的 RAID 陣列。
- 將步驟 1 中複製至外部儲存體的所有資料複製回系統中。
警告:在系統啟動(開啟電源)時,或是要存取加密系統,必須由外部來源提供加密金鑰,才能存取系統。加密金鑰是從儲存了系統起始設定期間所建金鑰之副本的 USB 快閃記憶體隨身碟中讀取。
如果您想要系統自動重新開機,含有加密金鑰的 USB 快閃記憶體隨身碟必須保持插在各個機匣中,讓兩個機匣在開啟電源時,都能夠存取加密金鑰。這個方法要求系統所在的實體環境非常安全,任何未獲授權的人員都無法在 USB 快閃記憶體隨身碟上製作加密金鑰副本,取得系統所儲存之資料的存取權。
在最高安全的作業中,請勿將 USB 快閃記憶體隨身碟持續插入系統機匣中。
不過,這個方法需要您在系統重新開機之前,將包含加密金鑰副本的 USB 快閃記憶體隨身碟手動插到兩個機匣中。
存取加密資料需要加密金鑰,它只存在於 USB 快閃記憶體隨身碟副本中,以及儲存在其他儲存體形式所建立的任何其他副本中。
如果所有使用者維護的副本都遺失或無法復原,IBM 無法回復或重新產生加密金鑰。
必須有「特性碼 AF14:加密啟用套件 (Plant)」,才能取得支援
如果您選取是來啟動加密,且要取得進一步的 IBM 支援,您必須提供加密特性碼(FC AF14:加密啟用套件 (Plant))的購買證明。
如果要避開下列限制,必須向 IBM 支援中心提交 RPQ:
- 在系統起始設定之後,便無法啟動或停用加密。
- 加密金鑰無法變更。