Element驱动器加密的工作原理是什么?
不可不使用
适用场景
- NetApp Element 软件
- 所有NetApp SolidFire 存储节点
- 所有NetApp SolidFire SSD
问题解答
如何创建加密密钥
- 每个驱动器都有一个‘批量加密密钥'、驱动器密码用于保护(加密)密钥。 实际上、我们不会自行设置密钥、但会管理驱动器密码
- 我们使用驱动器密码创建一个Shamir共享、并将其拆分到集群中。 因此、它是每个驱动器的一个密钥、并在集群中拆分一个共享密码
更改密钥
密码的过程(通常称为密钥、但它们不是加密密钥、而是用于解锁驱动器的密码)。密码用于对"批量密钥"进行加密、然后使用该密钥对驱动器上的每个字节进行加密。由于密码仅会对‘批量密钥'进行加密、因此可以快速设置和更改这些密钥。 密码由我们安全地存储在整个集群中、因此它们不会与驱动器一起使用、也不会位于单个节点上、并且不会完整地遍历缆线。可以通过禁用加密功能并重新打开密码来重置该密码、但只需几分钟即可完成
- 上述操作步骤 将更改集群中每个驱动器的驱动器密码
- 如果客户需要重置驱动器上的实际加密密钥、则必须"安全擦除"驱动器、这意味着丢弃‘批量密钥'并生成新密钥。系统中更改‘批量加密密钥'的过程增加了删除/添加驱动器的步骤、以便我们迁移和保护数据(否则会丢失)
存储归档密钥的过程
驱动器的密码不会归档、而是存储在整个集群中、为了收集密码并解除驱动
器的锁定当前用于交换或传输密钥
的过程、需要至少2个以上的节点、密钥管理在本地进行、无法在外部传输/交换
密钥的过程撤消密钥
可以通过禁用加密功能重置批量密钥的密码、然后重新打开它并需要几分钟时间。此操作将重置
单个驱动器的密钥轮换时的批量密钥密码:
- 通过UI/API从集群中"删除"驱动器、使其处于可用状态
- 在驱动器上使用secure erase API命令
- 这会强制驱动器擦除加密数据、丢弃旧密钥并生成新密钥
- 然后、将此驱动器重新添加到集群中
- 可以使用脚本自动执行此操作
使用了哪些加密算法?
目前、SolidFire的大多数加密功能都是通过OpenSSL实施的。使用skein和Shamir共享。Shamir Share是由Adi Shamir创建的一种加密算法。这是一种秘密共享形式、其中、机密分为若干部分、为每个参与者提供各自的独特部分、在哪些部分或全部部分是重建机密所必需的?
使用什么加密强度?
AES-256是SolidFire 使用的标准化加密规范
证书使用的位长度(如果适用;应为2048位或更高)
目前、SolidFire 不会使用从外部生成并导入到具有2048位或更高密钥的模块
的证书屏幕截图、其中显示
了SolidFire 使用自加密驱动器的当前加密设置配置。可以在不影响集群性能的情况下打开/关闭集群范围的空闲数据加密。请参见 SolidFire Element软件用户和API指南
集群图形用户界面>设置>空闲加密>启用空闲加密
追加信息
附加信息 _text