Publicidad
VMAX All Flash con HYPERMAX OS
Las claves de cifrado deben contar con una alta disponibilidad cuando se las necesita, además de
una máxima seguridad. Las claves y la información requerida para usarlas (durante el descifrado)
se deben conservar durante toda la vida útil de los datos. Esto es primordial para los datos cifrados
que se conservan por muchos años.
La accesibilidad de las claves es vital en ambientes de alta disponibilidad. D@RE almacena en
caché las claves de forma local. Por lo tanto, la conexión con Key Manager se requiere solo para
operaciones como la instalación inicial del arreglo, el reemplazo de una unidad o la actualización de
unidades.
Los eventos del ciclo de vida de claves (generación y destrucción) se registran en el registro de
auditoría del arreglo.
Protección de claves
El archivo de almacenamiento de claves local está cifrado con una clave AES de 256 bits derivada
de un archivo de contraseña generada aleatoriamente. Este archivo de contraseña está fijo en la
caja de seguridad Common Security Toolkit (CST), que utiliza la tecnología de RSA BSAFE. La caja
de seguridad está protegida mediante valores de sistema estables específicos (SSV) de MMCS de
la MMCS principal. Estos son los mismos SSV que protegen las credenciales de servicio seguro
(SSC).
Poner en peligro la unidad de la MMCS o copiar los archivos de la caja de seguridad o del
almacenamiento de claves desde el arreglo provoca el fallo de las pruebas de SSV. Si se pone en
peligro toda la MMCS, lo único que se logra es darle acceso a un atacante si este también puede
poner en peligro las SSC.
No existen contraseñas o claves secretas para eludir la seguridad de D@RE.
Operaciones de claves
D@RE brinda una clave de cifrado de datos (DEK) única e independiente para cada unidad física
del arreglo, incluidas las unidades de repuesto. Con el fin de garantizar que D@RE utilice la clave
correcta para una unidad determinada:
l
l
l
l
l
Logs de auditoría
El registro de auditoría guarda una constancia de las actividades más importantes que se producen
en el arreglo, incluidas las siguientes:
l
l
l
Guía del producto Dell EMC VMAX All Flash VMAX 250F, 450F, 850F y 950F con HYPERMAX OS
36
Las DEK almacenadas en el arreglo incluyen una etiqueta de clave única y metadatos de claves
cuando se agrupan (cifrado) para que el arreglo las utilice.
Esta información se incluye en el material de la clave cuando la DEK se protege (se cifra) para
utilizarse en el arreglo.
Durante las operaciones de I/O de cifrado, la etiqueta de clave esperada asociada a la unidad se
proporciona de manera independiente desde la clave protegida.
Durante la cancelación de la protección de la clave, el hardware de cifrado verifica que dicha
operación se haya realizado correctamente y que la clave coincida con la etiqueta de clave
proporcionada.
La información en una dirección lógica de bloque reservada del sistema (bloque de información
física o PHIB) verifica la clave utilizada para cifrar el disco y garantiza que la unidad se
encuentre en la ubicación correcta.
Durante la inicialización, el hardware realiza autoevaluaciones para garantizar que la lógica de
cifrado/descifrado permanezca intacta.
La autoevaluación impide el daño silencioso de los datos debido a fallas del hardware de
cifrado.
Acciones iniciadas por hosts
Cambios en los componentes físicos
Acciones en la MMCS
Publicidad
Capítulos
