Codifica

Il sistema fornisce una codifica facoltativa di dati inattivi, che protegge da potenziali rischi i dati e i metadati sensibili dell'utente archiviati su moduli flash eliminati, smarriti o rubati. La codifica dei dati e dei metadati di sistema non è richiesta, pertanto tale operazione non viene eseguita.

Se si desidera utilizzare la codifica, verificare di aver acquistato il codice funzione AF14: Encryption Enablement Pack (Plant).

Scenario 1: Inizializzazione di un nuovo sistema con la codifica

In questo scenario, si sta inizializzando ed attivando la codifica su un nuovo sistema che non dispone di dati memorizzati nei moduli flash. Al momento dell'acquisto del sistema, è stato acquistato il codice funzione di codifica AF14. In questo caso, IBM® invia tre unità flash USB: un'unità flash USB per il sistema e due ulteriori unità flash per il codice funzione di codifica.

È possibile utilizzare lo strumento di inizializzazione per attivare la codifica. Se la codifica viene attivata, il sistema genera una chiave di codifica da utilizzare per accedere ai dati crittografati memorizzati sul sistema. Lo strumento di inizializzazione avvia una procedura guidata che guida l'utente nel processo di copia della chiave di codifica su più unità flash USB. Le seguenti azioni sono considerate le procedure ottimali per copiare e memorizzare le chiavi di codifica:
  1. Effettuare la copia della chiave di codifica su almeno tre unità flash USB per accedere al sistema.
  2. Inoltre, copiare le chiavi di codifica su altre forme di memorizzazione per fornire resilienza e ridurre i rischi se, per esempio le tre unità flash USB provengono da una partita difettosa di unità.
  3. Verificare ciascuna copia della chiave di codifica prima di scrivere qualsiasi dato utente sul sistema inizializzato.
  4. Riporre in modo sicuro tutte le copie della chiave di codifica. Ad esempio, le unità flash USB che non vengono lasciate inserite nel sistema potrebbero essere chiuse a chiave in un armadietto. Precauzioni simili devono essere prese per proteggere in modo sicuro qualsiasi altra copia della chiave di codifica archiviata su altre forme di memorizzazione.
    Nota: durante l'inizializzazione, la procedura guidata richiede di inserire due delle unità flash USB che contengono le chiavi di codifica, una in ciascun contenitore. Questo presuppone che l'ambiente fisico in cui si trova il sistema sia molto sicuro.

Scenario 2: attivazione della codifica dopo l'inizializzazione del sistema

Quando la codifica viene attivata dopo l'inizializzazione di un sistema, possono verificarsi le seguenti situazioni:
  • Aggiunta di una licenza di codifica ad un sistema inizializzato in precedenza
  • Modifica della chiave di codifica su un sistema inizializzato in precedenza
Entrambe queste operazioni possono essere eseguite solo collaborando con il supporto IBM. Entrambe le operazioni richiedono l'acquisto del codice funzione AF14: Encryption Enablement Pack (Plant) e che tutti i dati esistenti vengano copiati dai moduli flash e memorizzati sulla memoria esterna.

Per acquistare la licenza, è necessario inoltrare una richiesta RPQ (request price quotation) al supporto IBM e richiedere che il codice funzione di codifica venga applicato al proprio sistema. Una volta acquistato il codice funzione, IBM invia due ulteriori unità USB.

Per attivare la codifica su un sistema precedentemente inizializzato, il supporto IBM collabora con l'utente per completare i passi riportati di seguito:
  1. Copiare tutti i dati memorizzati su tutti i volumi virtuali sulla memoria esterna. Prima di attivare la codifica su un sistema inizializzato in precedenza, è necessario rimuovere tutti i dati utente dal sistema. Spostare i dati da conservare su un altro formato di memorizzazione resiliente. Tutti i dati esistenti sui moduli flash vengono eliminati in modo crittografico quando viene attivata la codifica sul sistema.
  2. Eliminare tutti i volumi virtuali e gli array RAID che sono stati definiti senza codifica.
  3. Avviare lo strumento di inizializzazione e selezionare per configurare un nuovo sistema.
  4. Nel pannello Codifica, selezionare per indicare che è stata acquistata la licenza e si desidera attivare la codifica.
  5. Completare lo strumento di inizializzazione. Verificare che le copie delle chiavi di codifica siano copiate su almeno tre unità flash USB e che vengano eseguite tutte le ulteriori copie su altri dispositivi di memorizzazione richieste dal proprio ambiente.
  6. Dopo lo strumento di inizializzazione, avviare la GUI di gestione ed eseguire la procedura guidata di configurazione del sistema. Questa procedura guidata di configurazione crea automaticamente un array RAID criptato.
  7. Copiare nuovamente sul sistema tutti i dati che erano stati copiati su una memoria esterna al passo 1.
Avvertenza: all'avvio del sistema (accensione) o per accedere ad un sistema criptato, la chiave di codifica deve essere fornita da un'origine esterna in modo da poter accedere al sistema. La chiave di codifica viene letta dalle unità flash USB su cui sono memorizzate le copie delle chiavi create durante l'inizializzazione del sistema. Se si desidera che il sistema venga riavviato automaticamente, è necessario lasciare un'unità flash USB con le chiavi di codifica inserita in ciascuno dei contenitori, in modo che entrambi i contenitori possano accedere alla chiave di codifica quando vengono accesi. Questo metodo richiede che l'ambiente fisico in cui si trova il sistema sia molto sicuro, in modo che nessuna persona non autorizzata possa effettuare copie delle chiavi di codifica sulle unità flash USB per ottenere l'accesso ai dati memorizzati sul sistema. Per un'operazione in massima sicurezza, non lasciare le unità flash USB inserite nei contenitori sul sistema. Tuttavia, questo metodo richiede l'inserimento manuale delle unità flash USB che contengono le copie della chiave di codifica in entrambi i contenitori prima di riavviare il sistema. La chiave di codifica è necessaria per accedere ai dati criptati e risiede solo sulle copie di unità flash USB e su qualsiasi copia aggiuntiva effettuata su altre forme di memorizzazione. La chiave di codifica non può essere recuperata o rigenerata da IBM se tutte le copie gestite dagli utenti vengono perse o non sono recuperabili.

Codice funzione AF14: Encryption Enablement Pack (Plant) è richiesto per il supporto

Se si attiva la codifica selezionando , per ottenere ulteriore supporto IBM è necessario fornire una prova di acquisto del codice funzione di codifica (FC AF14: Encryption Enablement Pack (Plant)) .

Per eludere le seguenti limitazione, è necessario il supporto IBM tramite RPQ:
  • La codifica non può essere attivata o disattivata dopo l'inizializzazione del sistema.
  • Non è possibile modificare la chiave di codifica.