Le système fournit un
chiffrement des données au repos, qui protège contre un risque éventuel d'exposition des
données et des métadonnées utilisateur sensibles qui sont stockées sur des modules flash
supprimés, perdus ou volés. Le chiffrement des données et des métadonnées du système n'est pas obligatoire, ce qui fait que ces dernières ne sont pas chiffrées.
Si vous souhaiter utiliser le chiffrement, assurez-vous d'avoir acheté Feature
Code AF14: Encryption Enablement Pack (Plant).
Scénario 1 : initialisation d'un nouveau système avec chiffrement
Dans ce
scénario, vous initialisez et activez le chiffrement sur un nouveau système
ne comportant pas de données actuellement stockées sur des modules flash.
Vous avez acheté le code de fonction de chiffrement AF14 lorsque vous avez acheté le
système. Dans ce cas, IBM envoie
au total trois clés USB ; une pour le système
et deux autres pour le code de fonction de chiffrement.
Vous pouvez utiliser l'outil d'initialisation pour
activer le chiffrement. Lorsque le chiffrement est activé, une clé de chiffrement est générée
par le système pour permettre l'accès aux données chiffrées stockées sur le système. L'outil d'initialisation lance un
assistant qui vous guide tout au long du processus de copie de la clé de chiffrement sur plusieurs
clés USB. Les actions suivantes sont recommandées pour la copie et le stockage
des clés de chiffrement :
- Effectuez des copies de la clé de
chiffrement sur au moins trois clés USB pour accéder au système.
- En outre, copiez les clés de chiffrement sur d'autres formes de stockage
à des fins de résilience et de limitation des risques, au cas où, par exemple, les trois
clés USB proviendraient d'un lot d'unités défectueux.
- Testez chaque copie de la clé de chiffrement avant d'écrire des données utilisateur
sur le système initialisé.
- Stockez en lieu sûr toutes les copies de la clé de chiffrement. Par
exemple, les clés USB qui ne restent pas insérées dans le système pourraient être placées
dans un coffre-fort. Des précautions comparables doivent être prises pour protéger toutes
les autres copies de la clé de chiffrement stockées sur d'autres formes de stockage.
Remarque : lors de l'initialisation, l'assistant vous
invite à insérer deux des clés USB qui contiennent les clés de chiffrement ; une dans
chaque cartouche. Cela suppose que l'environnement physique dans lequel
se trouve le système soit extrêmement sécurisé.
Scénario 2 : activation du chiffrement après l'initialisation du système
Les
situations suivantes peuvent se produire si le chiffrement est activé une fois
que le système a été initialisé :
- Ajout d'une licence de chiffrement à un système déjà initialisé
- Modification de la clé de chiffrement sur un système déjà initialisé
Ces deux opérations ne peuvent être effectuées qu'en travaillant étroitement
avec le support IBM. Les deux opérations nécessitent que vous achetiez Feature
Code AF14: Encryption Enablement Pack (Plant), et nécessitent que toutes
les données existantes soient copiées depuis les modules flash et stockées sur un support
externe.
Pour acheter la licence, vous devez soumettre une demande de devis
(RPQ) au service d'assistance IBM pour lui demander que le code de fonction de
chiffrement soit appliqué à votre système. Une fois que vous avez acheté le code de fonction, IBM vous envoie deux clés USB supplémentaires.
Pour
activer le chiffrement sur un système initialisé précédemment, le support IBM
travaille avec vous pour terminer les étapes suivantes :
- Copiez toutes les données stockées sur tous les volumes virtuels vers le support
de stockage externe. Avant d'activer le chiffrement sur un système déjà initialisé,
vous devez supprimer toutes les données utilisateur du système. Déplacez toutes données
à conserver sur une autre forme de support de stockage résistent. Toutes les données existantes sur les modules flash sont supprimées
lorsque le chiffrement est activé sur le système.
- Supprimez tous les volumes virtuels et les grappes RAID définis
sans chiffrement.
- Démarrez l'outil d'initialisation et sélectionnez Oui pour configurer
un nouveau système.
- Dans le panneau Chiffrement, sélectionnez Oui pour
indiquer que vous avez acheté la licence et que vous souhaitez activer le chiffrement.
- Terminez l'utilitaire d'initialisation. Assurez-vous que les clés de
chiffrement sont copiées sur au moins trois clés USB et que des copies supplémentaires
sont effectuées sur les autres systèmes de stockage requis par votre environnement.
- Après l'outil d'initialisation, démarrez l'interface graphique de gestion et exécutez
l'assistant de configuration du système. Cet assistant crée automatiquement une grappe
RAID chiffrée.
- Recopiez sur le système toutes les données copiées sur le système de stockage externe à l'étape 1.
Avertissement
: Au démarrage du système (mise
sous tension) ou pour accéder à un système chiffré, la clé de chiffrement doit être
fournie par une source externe pour que le système soit accessible. La clé de chiffrement
est lue sur la clé USB qui stocke les copies des clés créées lors de l'initialisation du
système. Si vous souhaitez que le système soit automatiquement réamorcé,
vous devez laisser une clé USB avec les clés de chiffrement dans chaque
cartouche, pour que les deux cartouches aient accès à la clé de chiffrement
lorsqu'elles sont mises sous tension. Cette méthode requiert que l'environnement physique dans lequel
se trouve le système soit extrêmement sécurisé, de sorte qu'aucune personne non autorisée ne puisse
effectuer des copies des clés de chiffrement sur les clés USB et accéder aux données stockées sur le système. Pour
un fonctionnement plus sécurisé, ne laissez pas les clés USB dans les
cartouches du système. Toutefois, cette méthode requiert
que vous insériez manuellement les clés USB qui contiennent des copies de la clé de
chiffrement dans les deux cartouches avant de réinitialiser le système. La clé de
chiffrement est requise pour accéder aux données chiffrées ; elle ne se trouve que sur
les copies de la clé USB et sur les autres copies effectuées sur d'autres formes de
stockage. La clé de chiffrement ne peut pas être récupérée ou régénérée
par IBM si toutes les copies conservées par l'utilisateur sont perdues ou irrécupérables.
Le code de fonction AF14: Encryption Enablement Pack (Plant)
est requis pour obtenir de l'aide
Si vous activez le chiffrement en sélectionnant Oui,
pour obtenir une assistance supplémentaire d'IBM, vous devez fournir la preuve d'achat
du code de fonction de chiffrement (FC AF14: Encryption Enablement Pack (Plant)) .
Le support IBM par RPQ est requis pour contourner
les limitations suivantes :
- Le chiffrement ne peut pas être activé ou désactivé une fois le système
initialisé.
- La clé de chiffrement ne peut pas être modifiée.