Codifica

Il sistema fornisce una codifica facoltativa di dati inattivi, che protegge da potenziali rischi i dati e i metadati sensibili dell'utente archiviati su moduli flash eliminati, smarriti o rubati. La codifica dei dati e dei metadati di sistema non è richiesta, pertanto tale operazione non viene eseguita.

Se si desidera utilizzare la codifica, assicurarsi di aver acquistato il codice funzione AF14: Encryption Enablement Pack (Plant).

Scenario 1: Inizializzazione di un nuovo sistema con la codifica

In questo scenario, si sta inizializzando ed attivando la codifica su un nuovo sistema che attualmente non dispone di dati archiviati sui moduli flash. Al momento dell'acquisto del sistema, è stato acquistato il codice funzione di codifica AF14. In questo caso, IBM invia tre unità flash USB: una per il sistema e due per il codice funzione della codifica.

È possibile utilizzare lo strumento di inizializzazione per attivare la codifica. Se la codifica viene attivata, il sistema genera una chiave di codifica da utilizzare per accedere ai dati crittografati memorizzati sul sistema. Lo strumento di inizializzazione avvia una procedura guidata che guida l'utente nel processo di copia della chiave di codifica su più unità flash USB. Le seguenti azioni sono considerate le procedure ottimali per copiare e memorizzare le chiavi di codifica:
  1. Effettuare la copia della chiave di codifica su almeno tre unità flash USB per accedere al sistema.
  2. Inoltre, copiare le chiavi di codifica su altre forme di memorizzazione per fornire resilienza e ridurre i rischi se, per esempio le tre unità flash USB provengono da una partita difettosa di unità.
  3. Verificare ciascuna copia della chiave di codifica prima di scrivere qualsiasi dato utente sul sistema inizializzato.
  4. Riporre in modo sicuro tutte le copie della chiave di codifica. Ad esempio, le unità flash USB che non vengono lasciate inserite nel sistema potrebbero essere chiuse a chiave in un armadietto. Precauzioni simili devono essere prese per proteggere in modo sicuro qualsiasi altra copia della chiave di codifica archiviata su altre forme di memorizzazione.
    Nota: durante l'inizializzazione, la procedura guidata richiede di inserire due delle unità flash USB che contengono le chiavi di codifica, una in ciascun contenitore. Questo presuppone che l'ambiente fisico in cui si trova il sistema sia molto sicuro.

Scenario 2: attivazione della codifica dopo l'inizializzazione del sistema

Quando è attivata la codifica dopo l'inizializzazione del sistema, possono verificarsi le seguenti situazioni:
  • Aggiunta di una licenza di codifica ad un sistema inizializzato in precedenza
  • Modifica della chiave di codifica su un sistema inizializzato in precedenza
Entrambe le situazioni richiedono l'acquisto del codice funzione AF14: Encryption Enablement Pack (Plant) e che tutti i dati esistenti vengano copiati dai moduli flash e memorizzati su una memoria esterna.

Per acquistare la licenza è necessario inoltrare una richiesta di preventivo del prezzo (RPQ, request price quotation) al supporto IBM per richiedere di applicare al proprio sistema il codice funzione di codifica. Quando si acquista il codice funzione, IBM invia due unità flash USB aggiuntive.

Per attivare la codifica su un sistema inizializzato in precedenza, completare le seguenti operazioni:
  1. Copiare su una memoria esterna tutti i dati memorizzati su tutti i volumi virtuali. Prima di attivare la codifica su un sistema inizializzato in precedenza, è necessario rimuovere tutti i dati utente dal sistema. I dati che devono essere conservati devono essere spostati su un altro formato di memorizzazione resiliente. Tutti i dati esistenti sui moduli flash vengono eliminati in modo crittografico quando viene attivata la codifica sul sistema.
  2. Eliminare tutti i volumi virtuali e gli array RAID che sono stati definiti senza codifica.
  3. Avviare lo strumento di inizializzazione e selezionare per configurare un nuovo sistema.
  4. Nel pannello Codifica, selezionare per indicare che è stata acquistata la licenza e si desidera attivare la codifica.
  5. Completare lo strumento di inizializzazione, assicurandosi che vengano effettuate copie delle chiavi di codifica su almeno tre unità flash USB e vengano effettuate eventuali ulteriori copie, richieste dal proprio ambiente, su altre forme di memorizzazione.
  6. Dopo lo strumento di inizializzazione, avviare la GUI di gestione ed eseguire la procedura guidata di configurazione del sistema. Questa procedura guidata di configurazione crea automaticamente un array RAID criptato.
  7. Copiare nuovamente sul sistema tutti i dati che erano stati copiati su una memoria esterna al passo 1.
Avvertenza: all'avvio del sistema (accensione) o per accedere ad un sistema criptato, la chiave di codifica deve essere fornita da un'origine esterna in modo da poter accedere al sistema. La chiave di codifica viene letta dalle unità flash USB su cui sono memorizzate le copie delle chiavi create durante l'inizializzazione del sistema. Se si desidera che il sistema venga riavviato automaticamente, è necessario lasciare un'unità flash USB con le chiavi di codifica inserita in ciascuno dei contenitori, in modo che entrambi i contenitori possano accedere alla chiave di codifica quando vengono accesi. Questo metodo richiede che l'ambiente fisico in cui si trova il sistema sia molto sicuro, in modo che nessuna persona non autorizzata possa effettuare copie delle chiavi di codifica sulle unità flash USB per ottenere l'accesso ai dati memorizzati sul sistema. Per un'operazione in massima sicurezza, non lasciare le unità flash USB inserite nei contenitori sul sistema. Tuttavia, questo metodo richiede l'inserimento manuale delle unità flash USB che contengono le copie della chiave di codifica in entrambi i contenitori prima di riavviare il sistema. La chiave di codifica è necessaria per accedere ai dati criptati e risiede solo sulle copie di unità flash USB e su qualsiasi copia aggiuntiva effettuata su altre forme di memorizzazione. La chiave di codifica non può essere recuperata o rigenerata da IBM se tutte le copie gestite dagli utenti vengono perse o non sono recuperabili.

Codice funzione AF14: Encryption Enablement Pack (Plant) è richiesto per il supporto

Se si attiva la codifica selezionando , per ottenere ulteriore supporto IBM è necessario fornire una prova di acquisto del codice funzione di codifica (FC AF14: Encryption Enablement Pack (Plant)) .

Per eludere le seguenti limitazioni è necessario il supporto IBM tramite RPQ (Request Price Quotation):
  • La codifica non può essere attivata o disattivata una volta che il sistema è stato inizializzato.
  • Non è possibile modificare la chiave di codifica.