Reference Guide
Configurações da segurança de dados
Esta seção contém os seguintes tópicos:
Tópicos:
• Criptografia de dados em repouso
• Ativação da criptografia
• Status de criptografia
• Gerenciamento de chaves
• Arquivo de backup de keystore
• Reutilizar uma unidade em um equipamento com criptografia ativada
• Substituindo uma gaveta de base e os nós de um sistema com criptografia ativada
• Redefinindo um equipamento com as configurações de fábrica
Criptografia de dados em repouso
A criptografia de dados em repouso (D@RE) no PowerStore utiliza unidades com criptografia automática (SEDS, Self-Encrypting Drives)
FIPS 140-2 validadas para armazenamento primário (SSD NVMe, SCM NVMe e SSD SAS). O dispositivo para cache NVRAM é
criptografado, mas não validado com FIPS 140-2 neste momento.
A criptografia é realizada dentro de cada unidade antes que os dados sejam gravados na mídia. Isso protege os dados na unidade contra
roubo ou perda e tentativas de ler a unidade diretamente por meio da desconstrução física. A criptografia também oferece um meio de
apagar informações contidas em uma unidade, com rapidez e segurança, para garantir que elas não possam ser recuperadas. Além de
proteger contra ameaças relacionadas à remoção física da mídia, a mídia pode ser prontamente reutilizada destruindo-se a chave de
criptografia usada para proteger os dados anteriormente armazenados nessa mídia.
A leitura dos dados criptografados exige uma chave de autenticação para a SED desbloquear a unidade. Somente as SEDs autenticadas
serão desbloqueadas e acessadas. Uma vez que a unidade esteja desbloqueada, a unidade SED descriptografa os dados criptografados de
volta para o formato original.
O equipamento PowerStore deve conter todas as SEDs. Se você tentar adicionar a um equipamento uma unidade que não seja com
criptografia automática, ele gerará um erro. Além disso, não é permitido ter equipamentos não criptografados em um cluster criptografado.
Ativação da criptografia
O recurso de criptografia de dados em repouso nos equipamentos PowerStore é definido na fábrica. Em todos os países que permitem a
importação de um equipamento que dá suporte para criptografia, a criptografia é ativada por padrão. Uma vez ativada, a criptografia não
pode ser desativada. Em todos os países que não permitem a importação de um equipamento que dá suporte para criptografia, o recurso
de criptografia de dados em repouso fica desativado.
NOTA:
Equipamentos que não dão suporte para criptografia de dados em repouso não podem ser colocados em um cluster com
equipamentos criptografados.
Status de criptografia
O status de criptografia de um equipamento é informado nos seguintes níveis:
● Nível do cluster
● Nível do equipamento
● Nível da unidade
O status de criptografia no nível do cluster simplesmente indica se um equipamento está habilitado para criptografia. Ele não está
relacionado ao status da unidade.
4
36 Configurações da segurança de dados