Система предоставляет
дополнительные возможности для шифрования хранимых данных, позволяя предотвратить
раскрытие конфиденциальных данных пользователей и метаданных пользователей, записанных на
списанных, утерянных или украденных модулях флэш-памяти. Шифрование системных данных и
системных метаданных не требуется, поэтому они хранятся в незашифрованном виде.
Для применения шифрования необходимо приобрести компонент AF14:
Encryption Enablement Pack (Plant).
Сценарий 1: инициализация новой системы с поддержкой шифрования
В этом сценарии выполняется инициализация и активация шифрования в новой системе, которая
не содержит никаких данных на модулях флэш-памяти.
Вместе с системой был приобретен компонент шифрования AF14. При наличии такого компонента компания
IBM предоставляет три флэш-накопителя USB: один для системы и два для компонента
шифрования.
Шифрование можно активировать с помощью инструмента инициализации. Когда
шифрование активировано, система создает ключ шифрования, который должен применяться для
доступа к хранящимся в системе зашифрованным данным. Инструмент инициализации запускает
мастер, который помогает пользователю скопировать ключ шифрования на несколько
флэш-накопителей USB. Ниже указаны рекомендуемые методы копирования и хранения ключей
шифрования:
- Создайте копии ключа шифрования, позволяющего
получить доступ к системе, по крайней мере на трех флэш-накопителях USB.
- В дополнение к этому скопируйте ключ шифрования на устройства хранения
других типов для обеспечения гибкости и минимизации риска в случае, если, например, все
три флэш-накопителя USB окажутся дефективными.
- Протестируйте каждую копию ключа шифрования прежде, чем записать любые пользовательские данные
в инициализированную систему.
- Обеспечьте безопасное хранение всех копий ключей шифрования. Например, все
не подключенные к системе флэш-накопители USB можно хранить в сейфе. Аналогичные меры
предосторожности следует применять в отношении других копий ключей шифрования, созданных
на устройствах хранения других типов.
Примечание: во время инициализации мастер предлагает
вставить два флэш-накопителя USB, содержащих ключ шифрования, в оба кейса. При этом
предполагается, что система расположена в хорошо защищенном помещении.
Сценарий 2: активация шифрования после инициализации системы
При активации шифрования после инициализации системы возможны следующие сценарии:
- Добавление лицензии шифрования в уже инициализированную систему
- Изменение ключа шифрования в уже инициализированной системе
В обоих случаях необходимо приобрести компонент AF14: Encryption Enablement Pack (Plant)
и скопировать все данные с модулей флэш-памяти во внешнее хранилище.
Для приобретения лицензии необходимо отправить запрос на расценки (RPQ) в
службу поддержки IBM, чтобы запросить применение компонента шифрования в системе. После
приобретения компонента шифрования компания IBM предоставит два дополнительных
флэш-накопителя USB.
Для активации шифрования в уже инициализированной системе выполните
следующие действия:
- Скопируйте все данные со всех виртуальных томов во внешнее хранилище.
Перед активацией шифрования в уже инициализированной системе необходимо удалить все
пользовательские данные из системы. Те данные, которые требуется сохранить, необходимо
переместить в другое отказоустойчивое хранилище.
Все имеющиеся данные удаляются с модулей флэш-памяти криптографическими средствами во время активации шифрования в системе.
- Удалите все виртуальные тома и массивы RAID, которые были определены до применения шифрования.
- Запустите инструмент инициализации и выберите ответ
Да, когда он предложит настроить новую систему.
- На панели Шифрование выберите
Да в ответ на вопрос о том, была ли приобретена
лицензия и нужно ли активировать шифрование.
- Выполните инструкции инструмента инициализации, скопировав ключи
шифрования по крайней мере на три флэш-накопителя USB и дополнительные устройства
хранения другого типа, поддерживаемые вашей средой.
- После инструмента инициализации откройте графический интерфейс управления
и запустите мастер настройки системы. Этот мастер настройки автоматически создаст зашифрованный массив RAID.
- Скопируйте все данные, которые были перенесены во внешнее хранилище на
шаге 1, обратно в систему.
Предупреждение: При запуске (включении)
системы или доступе к зашифрованной системе требуется ключ шифрования, полученный из
внешнего источника. Ключ шифрования считывается с флэш-накопителя USB, содержащего копию
ключа, созданную во время инициализации системы. Для автоматической перезагрузки системы необходимо оставить
флэш-накопители USB с ключами шифрования в обоих кейсах, для того чтобы кейсы могли
получить к ним доступ во время включения. Для применения такого способа помещение, в
котором находится система, должно быть хорошо защищено, чтобы никто посторонний не мог
сделать копию ключей шифрования, хранящихся на флэш-накопителях USB, и получить доступ к
хранящимся в системе данным. Безопаснее не оставлять флэш-накопители USB в кейсах
системы. Однако в этом случае их потребуется вручную вставлять в кейсы перед
перезагрузкой системы. Ключ шифрования необходим для получения доступа к зашифрованным
данным и хранится только на флэш-накопителях USB и других устройствах хранения,
содержащих дополнительные копии (если они были созданы). В случае потери или утраты всех
копий ключа его нельзя восстановить или воссоздать в сервисном центре IBM.
Для поддержки шифрования необходим компонент AF14: Encryption Enablement Pack (Plant)
Если шифрование было активировано путем выбора ответа Да,
то для получения дальнейшей поддержки в компании IBM потребуется предоставить
подтверждение покупки компонента шифрования (AF14: Encryption Enablement
Pack (Plant)).
Для обхода следующих ограничений следует обратиться в службу поддержки IBM, отправив RPQ:
- Невозможно активировать или деактивировать шифрование после инициализации системы.
- Невозможно изменить ключ шифрования.