Il sistema fornisce una codifica facoltativa di dati inattivi,
che protegge da potenziali rischi i dati e i metadati sensibili dell'utente archiviati su moduli
flash eliminati, smarriti o rubati. La codifica dei dati e dei metadati di sistema non è richiesta,
pertanto tale operazione non viene eseguita.
Se si desidera utilizzare la codifica, assicurarsi di aver acquistato il codice funzione
AF14: Encryption Enablement Pack (Plant).
Scenario 1: Inizializzazione di un nuovo sistema con la codifica
In
questo scenario, si sta inizializzando ed attivando la codifica su un nuovo sistema
che attualmente non dispone di dati archiviati sui moduli flash.
Al momento dell'acquisto del sistema, è stato acquistato il codice funzione di
codifica AF14. In questo caso, IBM invia tre unità flash USB: una
per il sistema e due per il codice funzione della codifica.
È possibile utilizzare lo strumento di inizializzazione
per attivare la codifica. Se la codifica viene attivata, il sistema genera una chiave di codifica
da utilizzare per accedere ai dati crittografati memorizzati sul
sistema. Lo strumento di inizializzazione avvia una procedura guidata che
guida l'utente nel processo di copia della chiave di codifica su più
unità flash USB. Le seguenti azioni sono considerate le procedure ottimali
per copiare e memorizzare le chiavi di codifica:
- Effettuare la copia della
chiave di codifica su almeno tre unità flash USB per accedere al sistema.
- Inoltre, copiare le chiavi di codifica su altre forme di memorizzazione per
fornire resilienza e ridurre i rischi se, per esempio le tre unità
flash USB provengono da una partita difettosa di unità.
- Verificare ciascuna copia della chiave di codifica prima di scrivere qualsiasi dato utente
sul sistema inizializzato.
- Riporre in modo sicuro tutte le copie della chiave di codifica. Ad esempio,
le unità flash USB che non vengono lasciate inserite nel sistema potrebbero essere
chiuse a chiave in un armadietto. Precauzioni simili devono essere prese per proteggere
in modo sicuro qualsiasi altra copia della chiave di codifica archiviata su altre forme di
memorizzazione.
Nota: durante l'inizializzazione, la procedura
guidata richiede di inserire due delle unità flash USB che contengono le chiavi di codifica,
una in ciascun contenitore. Questo presuppone che l'ambiente fisico in cui
si trova il sistema sia molto sicuro.
Scenario 2: attivazione della codifica dopo l'inizializzazione del sistema
Quando
è attivata la codifica dopo l'inizializzazione del sistema, possono verificarsi
le seguenti situazioni:
- Aggiunta di una licenza di codifica ad un sistema inizializzato in precedenza
- Modifica della chiave di codifica su un sistema inizializzato in precedenza
Entrambe le situazioni richiedono l'acquisto del codice funzione
AF14: Encryption Enablement Pack (Plant) e che tutti i dati esistenti
vengano copiati dai moduli flash e memorizzati su una memoria esterna.
Per acquistare la licenza è necessario inoltrare una richiesta di preventivo del prezzo (RPQ, request price quotation)
al supporto IBM per richiedere di applicare al proprio sistema il codice funzione
di codifica. Quando si acquista il codice funzione, IBM invia due unità
flash USB aggiuntive.
Per attivare la codifica su un sistema inizializzato in precedenza,
completare le seguenti operazioni:
- Copiare su una memoria esterna tutti i dati memorizzati su tutti i volumi virtuali.
Prima di attivare la codifica su un sistema inizializzato in precedenza,
è necessario rimuovere tutti i dati utente dal sistema. I dati che devono
essere conservati devono essere spostati su un altro formato di memorizzazione
resiliente.
Tutti i dati esistenti sui moduli flash vengono eliminati
in modo crittografico quando viene attivata la codifica sul
sistema.
- Eliminare tutti i volumi virtuali e gli array RAID che sono stati definiti
senza codifica.
- Avviare lo strumento di inizializzazione e selezionare Sì per
configurare un nuovo sistema.
- Nel pannello Codifica, selezionare Sì per
indicare che è stata acquistata la licenza e si desidera attivare la
codifica.
- Completare lo strumento di inizializzazione, assicurandosi che vengano effettuate copie delle chiavi
di codifica su almeno tre unità flash USB e vengano effettuate eventuali ulteriori copie,
richieste dal proprio ambiente, su altre forme di memorizzazione.
- Dopo lo strumento di inizializzazione, avviare la GUI di gestione ed eseguire la
procedura guidata di configurazione del sistema. Questa procedura guidata di configurazione crea automaticamente
un array RAID criptato.
- Copiare nuovamente sul sistema tutti i dati che erano stati copiati su una memoria
esterna al passo 1.
Avvertenza: all'avvio del sistema
(accensione) o per accedere ad un sistema criptato, la chiave di codifica deve essere fornita da un'origine esterna in modo
da poter accedere al sistema. La chiave di codifica viene letta dalle unità flash USB
su cui sono memorizzate le copie delle chiavi create
durante l'inizializzazione del sistema. Se si desidera che il sistema venga riavviato
automaticamente, è necessario lasciare un'unità flash USB con le chiavi di
codifica inserita in ciascuno dei contenitori, in modo che entrambi i
contenitori possano accedere alla chiave di codifica quando vengono accesi. Questo metodo richiede che
l'ambiente fisico in cui si trova il sistema sia molto sicuro, in modo che nessuna persona non autorizzata
possa effettuare copie delle chiavi di codifica sulle unità flash
USB per ottenere l'accesso ai dati memorizzati sul sistema. Per un'operazione in massima sicurezza, non
lasciare le unità flash USB inserite nei contenitori sul sistema. Tuttavia,
questo metodo richiede l'inserimento manuale delle unità flash USB che contengono le
copie della chiave di codifica in entrambi i contenitori prima di
riavviare il sistema. La chiave di codifica è necessaria per accedere ai dati criptati e
risiede solo sulle copie di unità flash USB e su qualsiasi copia aggiuntiva
effettuata su altre forme di memorizzazione. La chiave di codifica non può essere recuperata
o rigenerata da IBM se tutte le copie gestite dagli utenti vengono perse o
non sono recuperabili.
Codice funzione AF14: Encryption Enablement Pack (Plant)
è richiesto per il supporto
Se si attiva la codifica selezionando Sì,
per ottenere ulteriore supporto IBM è necessario fornire una prova di acquisto
del codice funzione di codifica (FC AF14: Encryption Enablement Pack
(Plant)) .
Per eludere le seguenti limitazioni è necessario il supporto IBM tramite RPQ
(Request Price Quotation):
- La codifica non può essere attivata o disattivata una volta che
il sistema è stato inizializzato.
- Non è possibile modificare la chiave di codifica.