Element驱动器加密的工作原理
适用场景
- NetApp Element软件
- 所有NetApp SolidFire存储节点
- 所有NetApp SolidFire SSD
问题解答
如何创建加密密钥
- 每个驱动器都有一个‘批量加密密钥’,驱动器密码用于保护(加密)密钥。 实际上、我们并不是自己设置密钥、而是管理驱动器密码
- 我们使用驱动器密码创建一个Shamir共享、并将其拆分到整个集群中。 因此、每个驱动器都有一个密钥、该密钥具有一个共享密码、可在集群中拆分
更改密钥密码的过程
(通常称为密钥、但它们不是加密密钥、而是用于解锁驱动器的密码)。此密码将对"批量密钥"进行加密、然后使用该密钥对驱动器上的每个字节进行加密。由于密码仅对‘批量密钥’进行加密,因此可以快速设置和更改密码。 密码由我们安全地存储在整个集群中、因此它们不会与驱动器一起使用、也不会位于单个节点上、并且永远不会完整地遍历缆线。可以通过禁用加密功能并重新打开来重置该密码、只需几分钟即可完成
- 上述操作步骤将更改集群中每个驱动器的驱动器密码
- 如果客户需要重置驱动器上的实际加密密钥、则必须"安全擦除"驱动器、这意味着丢弃‘批量密钥'并生成新密钥。‘系统中更改"批量加密密钥"的过程会添加删除/添加驱动器的步骤、以便我们迁移和保护数据(否则数据将丢失)
存储归档密钥的过程
不会归档驱动器的密码、而是存储在集群中、需要至少2个以上的节点才能汇编密码并解锁驱动器
用于交换或传输
密钥的过程
当前、密钥管理在本地进行、无法在外部传输/交换
撤消密钥的过程
通过禁用加密功能可以重置批量密钥的密码、然后重新启用它只需几分钟。此操作将重置单个驱动器的密钥轮换的批量密钥密码
:
- 通过UI/API从集群中"删除"驱动器、使其处于可用状态
- 对驱动器使用安全擦除API命令
- 这会强制驱动器擦除加密数据、并丢弃旧密钥并生成新密钥
- 然后将该驱动器重新添加到集群中
- 可以使用脚本自动执行此操作
使用哪些加密算法?
目前、大多数SolidFire加密方法都是通过OpenSSL实施的。使用skein和shamir共享。Shamir Share是由Adi Shamir创建的加密算法。这是一种机密共享的形式、其中、一个机密分为若干部分、为每个参与者提供自己的独特部分、需要其中的部分或全部部分来重建机密
使用什么加密强度?
AES-256是SolidFire使用的标准化加密规范
证书使用的位长度(如果适用、应为2048位或更高)
目前、SolidFire不使用外部生成并导入到具有2048位密钥或更高密钥的模块的证书
显示 加密设置SolidFire使用自加密驱动器的当前配置的屏幕截图
。可以打开/关闭集群范围的空闲数据加密、而不会对集群性能造成任何影响。请参见SolidFire Element软件用户和API指南
集群图形用户界面>设置>空闲加密>启用空闲加密
追加信息
其他信息文本