跳转到主内容

Element驱动器加密的工作原理是什么?

Views:
10
Visibility:
Public
Votes:
0
Category:
element-software
Specialty:
solidfire
Last Updated:

可不使用

适用场景

  • NetApp Element 软件
  • 所有NetApp SolidFire 存储节点
  • 所有NetApp SolidFire SSD

问题解答

如何创建加密密钥

  • 每个驱动器都有一个‘批量加密密钥'、驱动器密码用于保护(加密)密钥。  实际上、我们不会自行设置密钥、但会管理驱动器密码
  • 我们使用驱动器密码创建一个Shamir共享、并将其拆分到集群中。  因此、它是每个驱动器的一个密钥、并在集群中拆分一个共享密码

 
更改密钥
密码的过程(通常称为密钥、但它们不是加密密钥、而是用于解锁驱动器的密码)。密码用于对"批量密钥"进行加密、然后使用该密钥对驱动器上的每个字节进行加密。由于密码仅会对‘批量密钥'进行加密、因此可以快速设置和更改这些密钥。  密码由我们安全地存储在整个集群中、因此它们不会与驱动器一起使用、也不会位于单个节点上、并且不会完整地遍历缆线。可以通过禁用加密功能并重新打开密码来重置该密码、但只需几分钟即可完成

  1. 上述操作步骤 将更改集群中每个驱动器的驱动器密码
  2. 如果客户需要重置驱动器上的实际加密密钥、则必须"安全擦除"驱动器、这意味着丢弃‘批量密钥'并生成新密钥。系统中更改‘批量加密密钥'的过程增加了删除/添加驱动器的步骤、以便我们迁移和保护数据(否则会丢失)

存储归档密钥的过程
驱动器的密码不会归档、而是存储在整个集群中、为了收集密码并解除驱动

的锁定当前用于交换或传输密钥
过程、需要至少2个以上的节点、密钥管理在本地进行、无法在外部传输/交换

密钥的过程撤消密钥
可以通过禁用加密功能重置批量密钥的密码、然后重新打开它并需要几分钟时间。此操作将重置
单个驱动器的密钥轮换时的批量密钥密码:

  1. 通过UI/API从集群中"删除"驱动器、使其处于可用状态
  2. 在驱动器上使用secure erase API命令
  3. 这会强制驱动器擦除加密数据、丢弃旧密钥并生成新密钥
  4. 然后、将此驱动器重新添加到集群中
  5. 可以使用脚本自动执行此操作

使用了哪些加密算法?
目前、SolidFire的大多数加密功能都是通过OpenSSL实施的。使用skein和Shamir共享。Shamir Share是由Adi Shamir创建的一种加密算法。这是一种秘密共享形式、其中、机密分为若干部分、为每个参与者提供各自的独特部分、在哪些部分或全部部分是重建机密所必需的?

使用什么加密强度?
AES-256是SolidFire 使用的标准化加密规范

证书使用的位长度(如果适用;应为2048位或更高)
目前、SolidFire 不会使用从外部生成并导入到具有2048位或更高密钥的模块

证书屏幕截图、其中显示
了SolidFire 使用自加密驱动器的当前加密设置配置。可以在不影响集群性能的情况下打开/关闭集群范围的空闲数据加密。请参见 SolidFire Element软件用户和API指南

集群图形用户界面>设置>空闲加密>启用空闲加密

clipboard_e92a520fc5d95d25614b3370fc9981453.png

追加信息

附加信息 _text

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.