Das System stellt die optionale Verschlüsselung ruhender Daten bereit, die Schutz gegen eine mögliche Gefährdung sensibler Benutzerdaten und Benutzermetadaten auf entsorgten, verlorenen oder gestohlenen Flashmodulen bietet. Eine Verschlüsselung von Systemdaten und -metadaten ist nicht erforderlich, daher werden Systemdaten und -metadaten nicht verschlüsselt.
Wenn Sie die Verschlüsselung verwenden wollen, müssen Sie den Feature-Code 'AF14: Encryption Enablement Pack (Plant)' erwerben.
Szenario 1: Neues System mit Verschlüsselung initialisieren
In diesem Szenario initialisieren und aktivieren Sie die Verschlüsselung auf einem neuen System, für das keine Daten auf Flashmodulen gespeichert sind. Sie haben den Feature-Code AF14 für die Verschlüsselung mit dem System erworben. In diesem Fall liefert IBM® insgesamt drei USB-Flashlaufwerke: eins für das System und zwei weitere USB-Flashlaufwerke für den Verschlüsselungs-Feature-Code.
Sie können die Verschlüsselung mit dem Initialisierungstool aktivieren. Wenn die Verschlüsselung aktiviert ist, generiert das System einen Chiffrierschlüssel, der für den Zugriff auf verschlüsselte Daten, die auf dem System gespeichert sind, verwendet werden muss. Das Initialisierungstool startet einen Assistenten, der Ihnen zeigt, wie der Chiffrierschlüssel auf mehrere USB-Flashlaufwerke kopiert wird. Für das Kopieren und Speichern von Chiffrierschlüsseln wird die folgende Vorgehensweise empfohlen:
- Erstellen Sie Kopien des Chiffrierschlüssels auf mindestens drei USB-Flashlaufwerken für den Zugriff auf das System.
- Kopieren Sie die Chiffrierschlüssel außerdem auf andere Speichermedien, um für Ausfallsicherheit zu sorgen und das Risiko zu mindern, z. B. für den Fall, dass die drei USB-Flashlaufwerke zu einer fehlerhaften Laufwerkcharge gehören.
- Testen Sie jede Kopie des Chiffrierschlüssels, bevor Sie Benutzerdaten auf das initialisierte System schreiben.
- Bewahren Sie alle Kopien des Chiffrierschlüssels sicher auf. Alle USB-Flashlaufwerke, die nicht am System angeschlossen bleiben, könnten z. B. in einem Tresor verschlossen aufbewahrt werden. Vergleichbare Vorsichtsmaßnahmen sollten für den Schutz aller anderen Kopien des Chiffrierschlüssels, die auf anderen Speichermedien gespeichert sind, ergriffen werden.
Anmerkung: Während der Initialisierung fordert Sie der Assistent auf, zwei der USB-Flashlaufwerke mit den Chiffrierschlüsseln einzustecken, eins in jeden Einschub. Das setzt voraus, dass die physische Umgebung des Systems sehr sicher ist.
Szenario 2: Verschlüsselung nach der Systeminitialisierung aktivieren
Es können die folgenden Situationen auftreten, in denen die Verschlüsselung nach der Initialisierung eines Systems aktiviert werden soll:
- Eine Verschlüsselungslizenz wird einem bereits initialisierten System hinzugefügt
- Der Chiffrierschlüssel wird auf einem bereits initialisierten System geändert
Diese beiden Operationen können nur in enger Zusammenarbeit mit IBM Support durchgeführt werden. Bei beiden Operationen muss der Feature-Code 'AF14: Encryption Enablement Pack (Plant)' erworben und alle vorhandenen Daten müssen von den Flashmodulen kopiert und in externem Speicher gespeichert werden.
Für den Erwerb der Lizenz muss ein RPQ (Request for Price Quotation) an IBM Support übergeben werden, mit dem die Anwendung des Feature-Codes für die Verschlüsselung auf Ihr System angefordert wird. Wenn der Feature-Code erworben wird, erhalten Sie zwei weitere USB-Flashlaufwerke von IBM.
Um die Verschlüsselung auf einem bereits initialisierten System zu aktivieren, führen Sie in Zusammenarbeit mit IBM Support die folgenden Schritte aus:
- Kopieren Sie alle Daten, die auf allen virtuellen Datenträgern gespeichert sind, in externen Speicher. Bevor Sie die Verschlüsselung auf einem bereits initialisierten System aktivieren, müssen Sie alle Benutzerdaten aus dem System entfernen. Versetzen Sie alle Daten, die erhalten bleiben sollen, in eine andere ausfallsichere Speicherart. Alle vorhandenen Daten in Flashmodulen werden bei der Aktivierung der Verschlüsselung auf dem System kryptografisch gelöscht.
- Löschen Sie alle virtuellen Datenträger und RAID-Arrays, die ohne Verschlüsselung definiert wurden.
- Starten Sie das Initialisierungstool und wählen Sie Ja aus, um ein neues System zu konfigurieren.
- In der Anzeige Verschlüsselung wählen Sie Ja aus, um anzuzeigen, dass Sie die Lizenz erworben haben und dass Sie die Verschlüsselung aktivieren wollen.
- Führen Sie das Initialisierungstool aus. Stellen Sie sicher, dass Kopien der Chiffrierschlüssel auf mindestens drei USB-Flashlaufwerke und alle weiteren Kopien auf andere, in Ihrer Umgebung erforderliche Speichermedien kopiert werden.
- Nach Beendigung des Initialisierungstools starten Sie die Management-GUI und führen Sie den Systemkonfigurationsassistenten aus. Dieser Konfigurationsassistent erstellt automatisch ein verschlüsseltes RAID-Array.
- Kopieren Sie alle Daten, die in Schritt 1 in externen Speicher kopiert wurden, zurück in das System.
Achtung: Beim Systemstart (Einschalten) oder für den Zugriff auf ein verschlüsseltes System muss der Chiffrierschlüssel von einer externen Quelle bereitgestellt werden, so dass ein Zugriff auf das System möglich ist. Der Chiffrierschlüssel wird von den USB-Flashlaufwerken gelesen, auf denen sich Kopien der Schlüssel befinden, die während der Systeminitialisierung erstellt wurden. Wenn das System einen automatischen Warmstart ausführen soll, muss ein USB-Flashlaufwerk mit den Chiffrierschlüsseln in jedem der Einschübe eingesteckt bleiben, damit beide Einschübe beim Einschalten auf den Chiffrierschlüssel zugreifen können. Bei dieser Methode ist es erforderlich, dass die physische Umgebung, in der sich das System befindet, sehr sicher ist, damit kein Unbefugter Kopien der Chiffrierschlüssel auf den USB-Flashlaufwerken erstellen kann und Zugriff auf die Daten erhält, die auf dem System gespeichert sind. Um maximale Sicherheit zu erreichen, entfernen Sie die USB-Flashlaufwerke aus den Einschüben im System, wenn sie nicht benötigt werden. Bei dieser Methode müssen die USB-Flashlaufwerke, die Kopien des Chiffrierschlüssels enthalten, jedoch manuell in beiden Einschüben eingesteckt werden, bevor ein Warmstart des Systems ausgeführt wird. Der Chiffrierschlüssel ist für den Zugriff auf verschlüsselte Daten erforderlich und befindet sich ausschließlich in den Kopien des USB-Flashlaufwerks sowie in allen zusätzlichen Kopien, die auf anderen Speichermedien erstellt wurden. IBM kann den Chiffrierschlüssel nicht wiederherstellen oder neu generieren, wenn alle Benutzerkopien verloren gegangen oder nicht wiederherstellbar sind.
Feature-Code 'AF14: Encryption Enablement Pack (Plant)' ist für die Unterstützung erforderlich
Wenn Sie die Verschlüsselung durch die Auswahl von Ja aktivieren, müssen Sie einen Kaufnachweis für den Verschlüsselungs-Feature-Code 'FC AF14: Encryption Enablement Pack (Plant)' angeben, um weitere Unterstützung durch IBM zu erhalten.
IBM Support via RPQ ist erforderlich, um folgende Einschränkungen zu vermeiden:
- Die Verschlüsselung kann nach der Initialisierung des Systems nicht aktiviert oder inaktiviert werden.
- Der Chiffrierschlüssel kann nicht geändert werden.