この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
自己暗号化ドライブ(SED)には、リアルタイムで着信データを暗号化し、送信データを復号化する特殊なハードウェアが搭載されています。ディスク上のデータは常にディスクで暗号化され、暗号化された形式で格納されます。暗号化されたデータはディスクから読み出す際に常に復号化されます。メディア暗号化キーがこの暗号化と復号化を制御します。このキーは、プロセッサやメモリに格納されることはありません。Cisco UCS Manager は、Cisco UCS C シリーズと S シリーズのサーバの SED セキュリティ ポリシーをサポートしています。
SED は、セキュリティ キーを指定してロックする必要があります。このセキュリティ キーはキー暗号化キーまたは認証パスフレーズとも呼ばれ、メディア暗号化キーの暗号化に使用されます。ディスクがロックされていない場合は、データの取得にキーは必要ありません。
Cisco UCS Manager では、セキュリティ キーをローカルででも、リモートからでも設定できます。ローカルでキーを設定した場合、そのキーを覚えておく必要があります。キーを忘れた場合はそれを取得することはできず、データが失われます。キー管理サーバ(KMIP サーバとも呼ばれる)を使用して、キーをリモートから設定できます。この方法で、ローカル管理でのキーの保管と取得に関する問題に対処します。
SED の暗号化と復号化は、ハードウェアを通じて実行されます。したがって、全体的なシステム パフォーマンスに影響しません。SED は瞬時に暗号を消去することで、ディスクの使用停止や再展開のコストを削減します。メディア暗号化キーを変更することで、暗号消去が実行されます。ディスクのメディア暗号化キーを変更すると、そのディスク上のデータは復号化できず、すぐに使用できない状態になります。Cisco UCS Manager リリース 3.1(3) では、SED は C シリーズ サーバと S シリーズ サーバにディスク盗難防止機能を提供します。HX サーバについては、SED はノード盗難防止機能を提供します。
セキュリティ フラグは、ストレージ コントローラとディスクの現在のセキュリティ ステータスを示します。
ストレージ コントローラとディスクには、次のセキュリティ フラグがあります。
Security Capable:コントローラまたはディスクが SED 管理をサポートできることを示します。
Security Enable:コントローラまたはディスクにセキュリティ キーがプログラムされており、セキュリティがデバイス上で有効であることを示します。このフラグは、セキュリティ ポリシーを設定してサーバに関連付け、コントローラとディスクを保護しているときに設定されます。HX デバイスでは、このフラグは設定されません。
Secured:コントローラまたはディスクにセキュリティ キーがプログラムされており、セキュリティが HX デバイス上で有効であることを示します。
次のセキュリティ フラグは、ストレージ ディスクにのみ適用されます。
Locked:ディスク キーがコントローラ上のキーと一致していないことを示します。これは、異なるキーでプログラムされたサーバ間でディスクを移動すると発生します。ロックされたディスク上のデータにはアクセスできないため、オペレーティング システムがディスクを使用できません。このディスクを使用するには、ディスクのロックを解除するか、または外部設定を安全に消去します。
Foreign Secured:セキュア ディスクは外部設定になっていることを示します。正しいキーでロックされたディスクのロックを解除しても、ディスクが外部設定状態になっており、そのディスク上のデータが暗号化されているとこのようになります。このディスクを使用するには、外部設定をインポートするか、または外部設定をクリアします。
ローカル セキュリティ ポリシーの管理
新しいストレージ プロファイルまたは既存のストレージ プロファイルにローカル ポリシーを作成できます。
こうして作成されたキーは、そのサーバのストレージ プロファイルに関連付けられ、ストレージ コントローラの下に展開されます。これを確認するには、 タブに移動し、[Security] フィールドが [drive security enable] として表示されているかどうかを確認します。
の順に移動して SAS ストレージ コントローラを選択します。[General]サーバにセキュアなディスクを挿入すると、次のいずれかが行われます。
KMIP サーバとも呼ばれているキー管理サーバを使用して、キーをリモートから設定できます。リモート ポリシーを作成する前に、KMIP クライアント証明書ポリシーを作成する必要があります。証明書の生成に使用するホスト名は KMIP サーバのシリアル番号です。
証明書ポリシーは、2 つの独立した範囲から作成できます。
グローバル スコープ:最初にこの範囲でグローバル証明書ポリシーを作成できます。この範囲で証明書を変更しても、証明書は再生成されません。
サーバ スコープ:この範囲で証明書ポリシーを作成または変更できます。作成または変更すると、証明書が再生成されます。このような証明書はそのサーバに固有であり、そのサーバについてグローバル証明書がオーバーライドされます。
KMIP クライアント証明書ポリシーを作成したら、次のいずれかを実行します。
KMIP サーバに生成された証明書をコピーします。
生成された証明書署名要求を使用して CA 署名付き証明書を取得します。この CA 署名付き証明書を CIMC にコピーします。
グローバル KMIP クライアント証明書ポリシーを作成することができます。
このポリシーを使用しているときに証明書の作成に使用するホスト名はサーバのシリアル番号です。
サーバ用の KMIP クライアント証明書ポリシーを作成できます。この証明書は、特定のサーバにのみ適用され、グローバル KMIP クライアント証明書をオーバーライドします。
このポリシーを使用しているときに証明書の作成に使用するホスト名はサーバのシリアル番号です。
ステップ 1 | [Navigation] ペインで [Equipment] をクリックします。 | ||||||||||||||||
ステップ 2 | の順に展開します。 | ||||||||||||||||
ステップ 3 | [Work] ペインで、[Inventory] タブをクリックし、[Storage] サブタブをクリックします。 | ||||||||||||||||
ステップ 4 | [Security] サブタブをクリックします。 | ||||||||||||||||
ステップ 5 | [Create KMIP Client Cert Policy] をクリックします。 | ||||||||||||||||
ステップ 6 | 表示された [Create KMIP Client Cert Policy] ダイアログボックスで、次の情報を入力します。
| ||||||||||||||||
ステップ 7 | [OK] をクリックします。 |
リモート セキュリティ ポリシーの管理
新規ストレージ プロファイルまたは既存のストレージ プロファイルにリモート ポリシーを作成できます。
KMIP クライアント証明書ポリシーを作成したことを確認します。
こうして作成されたキーは、そのサーバのストレージ プロファイルに関連付けられ、ストレージ コントローラの下に展開されます。これを確認するには、 タブに移動し、[Security] フィールドが [drive security enable] として表示されているかどうかを確認します。
の順に移動して SAS ストレージ コントローラを選択します。[General]ステップ 1 | [Navigation] ペインで、 の順に展開します。 |
ステップ 2 | ポリシーを作成したストレージ プロファイルを選択します。 |
ステップ 3 | [Security Policy] タブをクリックします。 |
ステップ 4 | リモート ポリシーを変更するには、[Remote Policy] 領域で次の手順を実行します。 |
ステップ 5 | セキュリティ ポリシーを リモート ポリシーからローカル ポリシーに変更するには、次の手順を実行します。
|
ステップ 6 | [Save Changes] をクリックします。 |
ステップ 1 | [Navigation] ペインで [Equipment] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Work] 領域の [Inventory] タブをクリックします。 |
ステップ 4 | [Storage] サブタブをクリックします。 |
ステップ 5 | [Controllers] タブで、SAS コントローラを選択します。 |
ステップ 6 | [General] タブで、[Modify Remote Key] をクリックします。 |
リモート セキュリティ ポリシーを使用しているサーバにセキュアなディスクを挿入すると、ストレージ ディスクはロックされたディスクとして表示されます。次のいずれかを実行します。
セキュアなディスクをローカル セキュリティ ポリシーを使用しているサーバからリモート セキュリティ ポリシーを使用しているサーバに移動すると、ディスクはロックされた状態として表示されます。ローカル キーを使用してディスクのロックを手動で解除します。
ディスクのセキュリティを有効にするには、ディスクが JBOD であることを確認します。
ディスクをセキュアに消去するには、そのディスクが未設定で良好な状態になっている必要があります。
ステップ 1 | [Navigation] ペインで [Equipment] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Work] 領域の [Inventory] タブをクリックします。 |
ステップ 4 | [Storage] サブタブをクリックします。 |
ステップ 5 | [Disks] タブで、ディスクを選択します。 |
ステップ 6 | [Details] 領域で、[Enable Encryption] をクリックします。 |
ステップ 7 | セキュア ディスクを無効にするには、[Secure Erase] をクリックします。 |
SAS コントローラ上でのみ、セキュリティを無効にすることができます。コントローラ上のセキュリティを無効にするには、まずすべてのセキュア ディスク上のセキュリティを無効にしてから、コントローラのすべてのセキュア仮想ドライブを削除します。
ステップ 1 | [Navigation] ペインで [Equipment] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Work] 領域の [Inventory] タブをクリックします。 |
ステップ 4 | [Storage] サブタブをクリックします。 |
ステップ 5 | [Controllers] タブで、SAS コントローラを選択します。 |
ステップ 6 | [General] タブで、[Disable Security] をクリックします。 |
SED のキーがコントローラ上のキーと一致していない場合、そのディスクは [Locked, Foreign Secure] と表示されます。そのディスクのセキュリティキーを提供するか、またはリモート KMIP サーバを使用して、ディスクのロックを解除します。ディスクのロックを解除した後、外部設定をインポートするか、またはクリアします。
ステップ 1 | [Navigation] ペインで [Equipment] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Work] 領域の [Inventory] タブをクリックします。 |
ステップ 4 | [Storage] サブタブをクリックします。 |
ステップ 5 | [Controller] タブで、SAS コントローラを選択します。 |
ステップ 6 | ローカル セキュリティ ポリシーで保護されているディスクのロックを解除するには、次の手順を実行します。 |
ステップ 7 | リモート KMIP サーバで保護されているディスクのロックを解除するには、[General] タブで [Unlock For Remote] をクリックします。 |
ロックされたディスクのロックを解除すると、そのディスクのセキュリティ ステータスは [Foreign Secure] と表示されます。
次の作業
外部設定をインポートするか、またはクリアします。
ロックされた状態のディスクがあり、そのディスクを既存のデータにアクセスせずに使用する場合は、セキュアな外部設定ディスクを消去できます。
ステップ 1 | [Navigation] ペインで [Equipment] をクリックします。 |
ステップ 2 | の順に展開します。 |
ステップ 3 | [Work] 領域の [Inventory] タブをクリックします。 |
ステップ 4 | [Storage] サブタブをクリックします。 |
ステップ 5 | [Disks] タブで、ディスクを選択します。 |
ステップ 6 | [General] タブで、[Secure Erase Foreign Configuration] をクリックします。 |