Criptografia

O sistema fornece criptografia opcional de dados inativos que protege contra a exposição potencial de dados e metadados do usuário sensíveis que estão armazenados em módulos flash descartados, perdidos ou roubados. A criptografia de dados e metadados do sistema não é necessária, portanto, os dados e metadados do sistema não são criptografados.

Se você deseja usar a criptografia, certifique-se de que tenha adquirido o Código de Recurso AF14: Encryption Enablement Pack (Plant).

Cenário 1: Inicializando um novo sistema com criptografia

Neste cenário, você está inicializando e ativando a criptografia em um novo sistema que não tenha nenhum dado atualmente armazenado em módulos flash. Você adquiriu o código de recurso de criptografia AF14 quando adquiriu o sistema. Neste caso, a IBM envia um total de três unidades flash USB, uma unidade flash USB para o sistema e duas unidades flash USB adicionais para o código de recurso de criptografia.

Você pode usar a ferramenta de inicialização para ativar a criptografia. Se a criptografia estiver ativada, uma chave de criptografia será gerada pelo sistema para ser usada para acessar os dados criptografados que estão armazenados no sistema. A ferramenta de inicialização ativa um assistente que o orienta pelo processo de cópia da chave de criptografia para várias unidades flash USB. As ações a seguir são consideradas as melhores práticas para copiar e armazenar chaves de criptografia:
  1. Faça cópias da chave de criptografia em pelo menos três unidades flash USB para acessar o sistema.
  2. Além disso, copie as chaves de criptografia para outras formas de armazenamento para fornecer resiliência e para atenuar riscos, se, por exemplo, as três unidades flash USB forem de um lote de unidades com defeito.
  3. Teste cada cópia da chave de criptografia antes de gravar quaisquer dados do usuário no sistema inicializado.
  4. Armazene com segurança todas as cópias da chave de criptografia. Como um exemplo, quaisquer unidades flash USB que não sejam deixadas inseridas no sistema podem ser trancadas em um cofre. Precauções comparáveis devem ser tomadas para proteger quaisquer outras cópias da chave de criptografia armazenada para outras formas de armazenamento.
    Nota: Durante a inicialização, o assistente solicita que você insira duas das unidades flash USB que contêm as chaves de criptografia, uma em cada caixa. Isto supõe que o ambiente físico onde o sistema está localizado é muito seguro.

Cenário 2: Ativando a criptografia após a inicialização do sistema

As seguintes situações podem ocorrer onde a criptografia estiver ativada após a inicialização de um sistema:
  • Incluindo uma licença de criptografia para um sistema inicializado anteriormente
  • Alterando a chave de criptografia em um sistema inicializado anteriormente
Essas duas situações requerem a compra o Código de Recurso AF14: Encryption Enablement Pack (Plant) e que todos os dados existentes sejam copiados do módulos flash e armazenados no armazenamento externo.

Para comprar a licença, você deve enviar um pedido de cotação de preço (RPQ) para o suporte IBM para solicitar que o código de recurso de criptografia seja aplicado em seu sistema. Quando o código de recurso é adquirido, a IBM envia duas unidades flash USB adicionais.

Para ativar a criptografia em um sistema inicializado anteriormente, conclua as seguintes etapas:
  1. Copie todos os dados armazenados em todos os volumes virtuais para armazenamento externo. Antes de ativar a criptografia em um sistema inicializado anteriormente, você deve remover todos os dados do usuário do sistema. Todos os dados que tiverem que ficar retidos deverão ser movidos para outra forma de armazenamento resiliente. Todos os dados existentes em módulos flash são efetivamente apagados criptograficamente quando a criptografia está ativada no sistema.
  2. Exclua todos os volumes virtuais e matrizes RAID que foram definidas sem criptografia.
  3. Ative a ferramenta de inicialização e selecione Sim para configurar um novo sistema.
  4. No painel de Criptografia, selecione Sim para indicar que você adquiriu a licença e deseja ativar a criptografia.
  5. Conclua a ferramenta de inicialização, assegurando que as cópias das chaves de criptografia sejam copiadas para pelo menos três unidades flash USB e quaisquer cópias adicionais para outro armazenamento que o seu ambiente exigir.
  6. Depois da ferramenta de inicialização, ative a GUI de gerenciamento e execute o assistente de configuração do sistema. Este assistente de configuração cria automaticamente uma matriz RAID criptografada.
  7. Copie todos os dados que foram copiados para armazenamento externo na etapa 1 de volta para o sistema.
Aviso: Na inicialização do sistema (ligar) ou para acessar um sistema criptografado, a chave de criptografia deve ser fornecida por uma origem externa para que o sistema possa ser acessado. A chave de criptografia é lida das unidades flash USB que armazenam cópias das chaves que foram criadas durante a inicialização do sistema. Para que o sistema seja reinicializado automaticamente, uma unidade flash USB com as chaves de criptografia deve ser deixada inserida em cada uma das caixas para que ambas as caixas tenham acesso à chave de criptografia quando forem ligadas. Este método requer que o ambiente físico onde o sistema está localizado seja muito seguro, portanto, nenhuma pessoa não autorizada poderá fazer cópias de chaves de criptografia nas unidades flash USB e obter acesso a dados armazenados no sistema. Para uma operação mais segura, não mantenha as unidades flash USB inseridas nas caixas no sistema. No entanto, este método requer que você insira manualmente as unidades flash USB que contêm cópias da chave de criptografia em ambas as caixas antes de reinicializar o sistema. A chave de criptografia é requerida para acessar dados criptografados e reside apenas nas cópias de unidade flash USB e em quaisquer cópias adicionais feitas em outras formas de armazenamento. A chave de criptografia não pode ser recuperada ou regenerada pela IBM se todas as cópias mantidas pelo usuário forem perdidas ou estiverem irrecuperáveis.

O Código de Recurso AF14: Encryption Enablement Pack (Plant) é necessário para suporte

Se você ativar a criptografia selecionando Sim, para obter suporte IBM adicional, você deve fornecer prova da compra do código de recurso de criptografia (FC AF14: Encryption Enablement Pack (Plant)).

O suporte IBM por meio de RPQ é necessário para uma solução alternativa às seguintes restrições:
  • A criptografia não pode ser ativada ou desativada depois que o sistema foi inicializado.
  • A chave de criptografia não pode ser alterada.