Le système fournit un
chiffrement des données au repos, qui protège contre un risque éventuel d'exposition des
données et des métadonnées utilisateur sensibles qui sont stockées sur des modules flash
supprimés, perdus ou volés. Le chiffrement des données et des métadonnées du système n'est pas obligatoire, ce qui fait que ces dernières ne sont pas chiffrées.
Si vous utilisez le chiffrement, assurez-vous d'avoir bien acheté le code de fonction AF14: Encryption Enablement Pack (Plant).
Scénario 1 : initialisation d'un nouveau système avec chiffrement
Dans ce
scénario, vous initialisez et activez le chiffrement sur un nouveau système
ne comportant pas de données actuellement stockées sur des modules flash.
Vous avez acheté le code de fonction de chiffrement AF14 lorsque vous avez acheté le
système. Dans ce cas, IBM envoie au total trois clés USB ; une pour le système et deux autres pour le code de fonction de chiffrement.
Vous pouvez utiliser l'outil d'initialisation pour
activer le chiffrement. Lorsque le chiffrement est activé, une clé de chiffrement est générée
par le système pour permettre l'accès aux données chiffrées stockées sur le système. L'outil d'initialisation lance un
assistant qui vous guide tout au long du processus de copie de la clé de chiffrement sur plusieurs
clés USB. Les actions suivantes sont recommandées pour la copie et le stockage
des clés de chiffrement :
- Effectuez des copies de la clé de
chiffrement sur au moins trois clés USB pour accéder au système.
- En outre, copiez les clés de chiffrement sur d'autres formes de stockage
à des fins de résilience et de limitation des risques, au cas où, par exemple, les trois
clés USB proviendraient d'un lot d'unités défectueux.
- Testez chaque copie de la clé de chiffrement avant d'écrire des données utilisateur
sur le système initialisé.
- Stockez en lieu sûr toutes les copies de la clé de chiffrement. Par
exemple, les clés USB qui ne restent pas insérées dans le système pourraient être placées
dans un coffre-fort. Des précautions comparables doivent être prises pour protéger toutes
les autres copies de la clé de chiffrement stockées sur d'autres formes de stockage.
Remarque : lors de l'initialisation, l'assistant vous
invite à insérer deux des clés USB qui contiennent les clés de chiffrement ; une dans
chaque cartouche. Cela suppose que l'environnement physique dans lequel
se trouve le système soit extrêmement sécurisé.
Scénario 2 : activation du chiffrement après l'initialisation du système
Les
situations suivantes peuvent se produire si le chiffrement est activé une fois
que le système a été initialisé :
- Ajout d'une licence de chiffrement à un système déjà initialisé
- Modification de la clé de chiffrement sur un système déjà initialisé
Ces deux situations requièrent l'achat du code de fonction AF14: Encryption Enablement
Pack (Plant) et la copie de toutes les données existantes des modules flash sur un
système de stockage externe.
Pour acheter la licence, vous devez soumettre une demande de devis
(RPQ) au service d'assistance IBM pour lui demander que le code de fonction de
chiffrement soit appliqué à votre système. Une fois que vous avez acheté le code de fonction, IBM vous envoie
deux clés USB supplémentaires.
Pour activer le chiffrement sur un système déjà initialisé,
procédez comme suit :
- Copiez
toutes les données stockées sur l'ensemble des volumes virtuels sur un système de
stockage externe.
Avant d'activer le chiffrement sur un système déjà initialisé,
vous devez supprimer toutes les données utilisateur du système. Toutes les données
à conserver doivent être déplacées sur un autre type de stockage résilient.
Toutes les données existantes sur les modules flash sont supprimées
lorsque le chiffrement est activé sur le système.
- Supprimez tous les volumes virtuels et les grappes RAID définis
sans chiffrement.
- Lancez l'outil d'initialisation et sélectionnez Oui pour configurer
un nouveau système.
- Dans le panneau Chiffrement, sélectionnez Oui pour
indiquer que vous avez acheté la licence et que vous souhaitez activer le chiffrement.
- Lancez l'outil d'initialisation, en vous assurant que les clés de
chiffrement sont copiées sur au moins trois clés USB et que des copies supplémentaires
sont effectuées sur les autres systèmes de stockage requis par votre environnement.
- Après l'outil d'initialisation, lancez l'interface graphique de gestion et exécutez
l'assistant de configuration du système. Cet assistant crée automatiquement une grappe
RAID chiffrée.
- Recopiez sur le système toutes les données copiées sur le système de stockage externe à l'étape 1.
Avertissement
: Au démarrage du système (mise
sous tension) ou pour accéder à un système chiffré, la clé de chiffrement doit être
fournie par une source externe pour que le système soit accessible. La clé de chiffrement
est lue sur la clé USB qui stocke les copies des clés créées lors de l'initialisation du
système. Si vous souhaitez que le système soit automatiquement réamorcé,
vous devez laisser une clé USB avec les clés de chiffrement dans chaque
cartouche, pour que les deux cartouches aient accès à la clé de chiffrement
lorsqu'elles sont mises sous tension. Cette méthode requiert que l'environnement physique dans lequel
se trouve le système soit extrêmement sécurisé, de sorte qu'aucune personne non autorisée ne puisse
effectuer des copies des clés de chiffrement sur les clés USB et accéder aux données stockées sur le système. Pour
un fonctionnement plus sécurisé, ne laissez pas les clés USB dans les
cartouches du système. Toutefois, cette méthode requiert
que vous insériez manuellement les clés USB qui contiennent des copies de la clé de
chiffrement dans les deux cartouches avant de réinitialiser le système. La clé de
chiffrement est requise pour accéder aux données chiffrées ; elle ne se trouve que sur
les copies de la clé USB et sur les autres copies effectuées sur d'autres formes de
stockage. La clé de chiffrement ne peut pas être récupérée ou régénérée
par IBM si toutes les copies conservées par l'utilisateur sont perdues ou irrécupérables.
Le code de fonction AF14: Encryption Enablement Pack (Plant)
est requis pour obtenir de l'aide
Si vous activez le chiffrement en sélectionnant Oui,
pour obtenir une assistance supplémentaire d'IBM, vous devez fournir la preuve d'achat
du code de fonction de chiffrement (FC AF14: Encryption Enablement Pack (Plant)) .
L'assistance IBM via RPQ est requise pour contourner les restrictions suivantes :
- Le chiffrement ne peut pas être
activé ou désactivé une fois que le système a été initialisé.
- La clé de chiffrement ne peut pas être modifiée.