Il sistema fornisce una codifica facoltativa di dati inattivi,
che protegge da potenziali rischi i dati e i metadati sensibili dell'utente archiviati su moduli
flash eliminati, smarriti o rubati. La codifica dei dati e dei metadati di sistema non è richiesta,
pertanto tale operazione non viene eseguita.
Se si desidera utilizzare la codifica, verificare di aver
acquistato il codice funzione AF14: Encryption Enablement Pack (Plant).
Scenario 1: Inizializzazione di un nuovo sistema con la codifica
In
questo scenario, si sta inizializzando ed attivando la codifica su un nuovo
sistema che non dispone di dati memorizzati nei moduli flash.
Al momento dell'acquisto del sistema, è stato acquistato il codice funzione
di
codifica AF14. In questo caso, IBM® invia tre unità flash USB: un'unità
flash USB per il sistema e due ulteriori unità flash per il codice funzione
di codifica.
È possibile utilizzare lo strumento di inizializzazione
per attivare la codifica. Se la codifica viene attivata, il sistema genera una chiave di codifica
da utilizzare per accedere ai dati crittografati memorizzati sul
sistema. Lo strumento di inizializzazione avvia una procedura guidata che
guida l'utente nel processo di copia della chiave di codifica su più
unità flash USB. Le seguenti azioni sono considerate le procedure ottimali
per copiare e memorizzare le chiavi di codifica:
- Effettuare la copia della
chiave di codifica su almeno tre unità flash USB per accedere al sistema.
- Inoltre, copiare le chiavi di codifica su altre forme di memorizzazione per
fornire resilienza e ridurre i rischi se, per esempio le tre unità
flash USB provengono da una partita difettosa di unità.
- Verificare ciascuna copia della chiave di codifica prima di scrivere qualsiasi dato utente
sul sistema inizializzato.
- Riporre in modo sicuro tutte le copie della chiave di codifica. Ad esempio,
le unità flash USB che non vengono lasciate inserite nel sistema potrebbero essere
chiuse a chiave in un armadietto. Precauzioni simili devono essere prese per proteggere
in modo sicuro qualsiasi altra copia della chiave di codifica archiviata su altre forme di
memorizzazione.
Nota: durante l'inizializzazione, la procedura
guidata richiede di inserire due delle unità flash USB che contengono le chiavi di codifica,
una in ciascun contenitore. Questo presuppone che l'ambiente fisico in cui
si trova il sistema sia molto sicuro.
Scenario 2: attivazione della codifica dopo l'inizializzazione del sistema
Quando la codifica viene attivata dopo l'inizializzazione di un sistema,
possono verificarsi le seguenti situazioni:
- Aggiunta di una licenza di codifica ad un sistema inizializzato in precedenza
- Modifica della chiave di codifica su un sistema inizializzato in precedenza
Entrambe queste operazioni possono essere eseguite solo collaborando con il
supporto IBM. Entrambe le operazioni richiedono l'acquisto del codice funzione AF14:
Encryption Enablement Pack (Plant) e che tutti i dati esistenti vengano copiati
dai moduli flash e memorizzati sulla memoria esterna.
Per acquistare la licenza, è necessario inoltrare una richiesta
RPQ (request price quotation) al supporto IBM e richiedere che il codice
funzione di codifica venga applicato al proprio sistema. Una volta acquistato il codice funzione, IBM
invia due ulteriori unità USB.
Per attivare la codifica su un sistema precedentemente
inizializzato, il supporto IBM collabora con l'utente per completare i
passi riportati di seguito:
- Copiare tutti i dati memorizzati su tutti i
volumi virtuali sulla memoria esterna. Prima di attivare la codifica su un sistema inizializzato in precedenza,
è necessario rimuovere tutti i dati utente dal sistema. Spostare i dati da
conservare su un altro formato di memorizzazione resiliente. Tutti i dati esistenti sui moduli flash vengono eliminati
in modo crittografico quando viene attivata la codifica sul
sistema.
- Eliminare tutti i volumi virtuali e gli array RAID che sono stati definiti
senza codifica.
- Avviare lo strumento di inizializzazione e selezionare
Sì per configurare un nuovo sistema.
- Nel pannello Codifica,
selezionare Sì per indicare che è stata
acquistata la licenza e si desidera attivare la codifica.
- Completare lo strumento di inizializzazione. Verificare che le copie delle chiavi di codifica siano copiate su almeno tre
unità flash USB e che vengano eseguite tutte le ulteriori copie su altri
dispositivi di memorizzazione richieste dal proprio ambiente.
- Dopo lo strumento di inizializzazione, avviare la GUI di
gestione ed eseguire la procedura guidata di configurazione del sistema. Questa procedura guidata di configurazione crea automaticamente
un array RAID criptato.
- Copiare nuovamente sul sistema tutti i dati che erano stati copiati su una memoria
esterna al passo 1.
Avvertenza: all'avvio del sistema
(accensione) o per accedere ad un sistema criptato, la chiave di codifica deve essere fornita da un'origine esterna in modo
da poter accedere al sistema. La chiave di codifica viene letta dalle unità flash USB
su cui sono memorizzate le copie delle chiavi create
durante l'inizializzazione del sistema. Se si desidera che il sistema venga riavviato
automaticamente, è necessario lasciare un'unità flash USB con le chiavi di
codifica inserita in ciascuno dei contenitori, in modo che entrambi i
contenitori possano accedere alla chiave di codifica quando vengono accesi. Questo metodo richiede che
l'ambiente fisico in cui si trova il sistema sia molto sicuro, in modo che nessuna persona non autorizzata
possa effettuare copie delle chiavi di codifica sulle unità flash
USB per ottenere l'accesso ai dati memorizzati sul sistema. Per un'operazione in massima sicurezza, non
lasciare le unità flash USB inserite nei contenitori sul sistema. Tuttavia,
questo metodo richiede l'inserimento manuale delle unità flash USB che contengono le
copie della chiave di codifica in entrambi i contenitori prima di
riavviare il sistema. La chiave di codifica è necessaria per accedere ai dati criptati e
risiede solo sulle copie di unità flash USB e su qualsiasi copia aggiuntiva
effettuata su altre forme di memorizzazione. La chiave di codifica non può essere recuperata
o rigenerata da IBM se tutte le copie gestite dagli utenti vengono perse o
non sono recuperabili.
Codice funzione AF14: Encryption Enablement Pack (Plant)
è richiesto per il supporto
Se si attiva la codifica selezionando Sì,
per ottenere ulteriore supporto IBM è necessario fornire una prova di acquisto
del codice funzione di codifica (FC AF14: Encryption Enablement Pack
(Plant)) .
Per eludere le seguenti limitazione, è necessario il supporto IBM
tramite RPQ:
- La codifica non può essere attivata o
disattivata dopo l'inizializzazione del sistema.
- Non è possibile modificare la chiave di codifica.