エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

SANtricity 11 マニュアル (CA08872-010)

to English version

セキュリティ キーを作成するときは、どのような点に注意する必要がありますか?

セキュリティ キーは、ストレージ システム内のコントローラーとセキュリティ有効ドライブによって共有されます。セキュリティ有効ドライブがストレージ システムから削除されると、セキュリティ キーによってデータが不正アクセスから保護されます。

セキュリティ キーは次のいずれかの方法で作成および管理できます。

  • コントローラーの永続的メモリー上での内部キー管理

  • 外部キー管理サーバー上での外部キー管理

内部キー管理

内部キーは、コントローラーの永続的メモリー上のアクセスできない「非表示」の場所に保持されます。内部セキュリティ キーを作成する前に、以下を実行する必要があります。

  1. ストレージ システムにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

識別子とパス フレーズを定義して、内部セキュリティ キーを作成します。識別子は、セキュリティ キーに関連付けられる文字列で、コントローラーとキーに関連付けられたすべてのドライブに格納されます。パス フレーズは、バックアップ用にセキュリティ キーを暗号化するために使用されます。作成したセキュリティ キーは、コントローラー上のアクセスできない場所に格納されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

外部キー管理

外部キーは、Key Management Interoperability Protocol(KMIP)を使用して別のキー管理サーバーに保持されます。外部セキュリティ キーを作成する前に、以下を実行する必要があります。

  1. ストレージ システムにセキュリティ対応ドライブを取り付けます。対応するドライブには、Full Disk Encryption(FDE)ドライブと連邦情報処理標準(FIPS)ドライブがあります。

  2. ドライブ セキュリティ機能が有効になっていることを確認します。ドライブ セキュリティ機能を有効にする手順については、必要に応じてストレージ ベンダーに問い合わせてください。

  3. 署名済みのクライアント証明書ファイルを取得します。クライアント証明書は、キー管理サーバーがコントローラーのKMIP要求を信頼できるよう、ストレージ システムのコントローラーを検証します。

    1. まず、クライアント証明書署名要求(CSR)を生成してダウンロードします。[設定]>[証明書]>[キー管理]>[CSR の生成]に移動します。

    2. 次に、キー管理サーバーで信頼されているCAに署名済みのクライアント証明書を要求します(ダウンロードしたCSRファイルを使用して、キー管理サーバーからクライアント証明書を作成してダウンロードすることもできます)。

    3. クライアント証明書ファイルを用意したら、そのファイルをSANtricity System Managerにアクセスするホストにコピーします。

  4. キー管理サーバーから証明書ファイルを取得し、そのファイルをSANtricity System Managerにアクセスするホストにコピーします。キー管理サーバー証明書は、ストレージ システムがサーバーのIPアドレスを信頼できるよう、キー管理サーバーを検証します。キー管理サーバーには、ルート証明書、中間証明書、またはサーバー証明書を使用できます。

キー管理サーバーのIPアドレスとKMIP通信に使用するポート番号を定義して、外部キーを作成します。このプロセスで、証明書ファイルもロードします。外部キーの作成が完了すると、入力したクレデンシャルを使用して、システムがキー管理サーバーに接続されます。これで、セキュリティ有効のボリューム グループまたはプールを作成したり、既存のボリューム グループまたはプールでセキュリティを有効にしたりできます。

Top of Page