IBM Cloud Docs
Laufwerksicherheit mit Avago SafeStore Encryption Services aktivieren

Laufwerksicherheit mit Avago SafeStore Encryption Services aktivieren

Die Einrichtung der Laufwerksicherheit ermöglicht es Ihnen, den Zugriff auf Daten, die auf entfernten Platten gespeichert sind, ohne einen Sicherheitsschlüssel zu verhindern. Die Laufwerkdaten können ohne diesen Schlüssel nicht wiederhergestellt werden. IBM Cloud® stellt Self-Encrypting Drives (SED) in ausgewählten Rechenzentren für die Laufwerke bereit, die auf einem Bare-Metal-Server gekauft werden können. In unseren US-Rechenzentren sind 10-TB-SATA-Laufwerke verfügbar.

Voraussetzungen

  • Bare-Metal-Server mit SED-Laufwerken – 10 TB SATA
  • AVAGO MegaRAID SAS 9361 -8i oder ähnliche AVAGO RAID-Karten
  • Installierte Software für MegaRAID Storage Manager

Laufwerksicherheit mit Mega RAID Storage Manager (MSM) aktivieren

Sie können den Sicherheitsschlüssel und die Sicherheitsdaten in einer entfernten Platte mithilfe von MegaRAID Storage Manager festlegen. Sie können auch die WebBIOS-Schnittstelle benutzen. Hierzu ist beim Start des Servers für den Zugriff auf das MegaRAID-Karten-BIOS ein Sicherheitsschlüssel erforderlich, um die Sicherheitseinstellung des Laufwerks zu konfigurieren.

Vorinstallierte SED-Laufwerke identifizieren

MegaRAID Storage Manager wird für die meisten unterstützten Betriebssysteme vorinstalliert bereitgestellt. Andernfalls können Sie die Software über die Broadcom-Site manuell installieren.

Sie können MegaRAID Storage Manager öffnen, indem Sie die Systemberechtigungsnachweise angeben. Im Beispiel wird eine Windows-Umgebung verwendet und MSM ist vorinstalliert.

Wenn Sie MSM starten, müssen Sie Ihre Nutzername und Passwort, das dem privilegierten Benutzer (Administrator) und Passwort entspricht.

Klicken Sie auf die Registerkarte Physisch und dann auf die Laufwerke, die im System verfügbar sind. Der Eigenschaften Seite hat die Laufwerksicherheitseigenschaften Abschnitt mit den Volle Festplattenverschlüsselung möglich Feld, das zeigt Ja. Im verwendeten Beispiel werden zwei Nicht-SED-Platten und vier SED-Platten verwendet.

Laufwerksicherheit im Controller aktivieren

  1. Zum Aktivieren der Laufwerksicherheit müssen Sie mit der rechten Maustaste auf der Registerkarte Physisch auf Controller 0 :AVAGO MegaRAID SAS 9361-8i klicken und dann Laufwerksicherheit aktivieren auswählen.

    • Nun können Sie die Sicherheitsschlüssel-ID und den Sicherheitsschlüssel eingeben. Wenn Sie über mehrere Sicherheitsschlüssel verfügen, kann eine Sicherheitsschlüssel-ID hilfreich sein, um den benötigten Sicherheitsschlüssel zu identifizieren. Sie müssen den Sicherheitsschlüssel an einem sicheren Ort aufbewahren. Der Sicherheitsschlüssel ist erforderlich, wenn Sie Laufwerke neu konfigurieren und z. B. entfernen oder erneut einsetzen wollen. Ohne den Sicherheitsschlüssel können die Daten, die auf einem Datenträger gespeichert sind, der auf Basis der SEDs erstellt wurde, nicht abgerufen werden. Ein vergessener Sicherheitsschlüssel kann nicht wieder abgerufen werden. Außerdem kann ein Startkennwort festgelegt werden, mit dem das System blockiert werden kann, bis das hier definierte Kennwort eingegeben wird. Das Startzeitkennwort ist optional und wenn es festgelegt ist, müssen Sie sich bei jedem Neustart des Systems bei IPMI anmelden und das Startkennwort eingeben. Blättern Sie nach unten und aktivieren Sie das Kontrollkästchen Ich habe die Sicherheitseinstellungen für zukünftige Bedarfsfälle aufgezeichnet und klicken Sie auf Ja, um die Laufwerksicherheit zu aktivieren.
    • Wenn die Laufwerksicherheit aktiviert ist, wird ein gelbes Schlüsselsymbol für Controller 0 AVAGO MegaRAID SAS 9361-8i angezeigt.

  2. Erstellen Sie nun mithilfe der SEDs einen sicheren Datenträger. Klicken Sie auf der Registerkarte Logisch mit der rechten Maustaste auf Controller0 und wählen Sie Virtuelles Laufwerk erstellen aus.

  3. Wählen Sie die Option Erweitert aus. In der Anzeige muss die RAID-Stufe und Vollständige Plattenverschlüsselung (FDE) alsMethode für die Laufwerksicherheit angegeben werden.

  4. Wählen Sie die erforderlichen FDE-Laufwerke aus und klicken Sie auf Hinzufügen > Laufwerkgruppe erstellen > Weiter aus.

  5. Überprüfen Sie die Einstellungen des virtuellen Laufwerks und nehmen Sie die erforderlichen Änderungen vor.

    • Die vorgeschlagene Einstellung für die Leserichtlinie lautet Immer vorauslesen.
    • Die vorgeschlagene Einstellung für die Schreibrichtlinie ist Zurückschreiben.

  6. Klicken Sie auf Virtuelles Laufwerk erstellen.

  7. Akzeptieren Sie die Auswirkungen der Richtlinie zum Zurückschreiben aufgrund von BBU, indem Sie auf Ja klicken. Klicken Sie anschließend auf Weiter und überprüfen Sie die Zusammenfassungsanzeige.

  8. Klicken Sie auf Beenden.

  9. Um zu bestätigen, dass die virtuelle Platte gesichert wurde, müssen Sie auf die Registerkarte Logisch und das virtuelle Laufwerk klicken, das erstellt wurde. Daraufhin werden die Eigenschaften der Laufwerksicherheit angezeigt. Im Feld Gesichert ist Ja angegeben.

RAID-Datenträger schützen

Wenn der Server RAID-Datenträger enthält, die bereits mit SED-Laufwerken erstellt wurden, können Sie den Datenträger schützen, indem Sie den folgenden Schritt ausführen.

  1. Klicken Sie auf der Registerkarte Logisch mit der rechten Maustaste auf Laufwerkgruppe und wählen Sie dann Mit FDE sichern aus.

    Wenn Sie für einen Datenträger FDE- und Nicht-FDE-Laufwerke gemischt verwendet haben, ist diese Option nicht sichtbar.

Sie können die Laufwerksicherheit auch mithilfe von webBIOS und durch Anmeldung über die IPMI während des Startvorgangs einrichten. Greifen Sie dazu auf das RAID-BIOS zu.

Laufwerksicherheit entfernen

  1. Um die Laufwerksicherheit zu entfernen, müssen Sie zuerst die gesicherten virtuellen Platten löschen und dann mit der rechten Maustaste auf Controller 0 klicken (Laufwerksicherheit inaktivieren). Mit dieser Funktion werden die gespeicherten Daten auf sichere Weise gelöscht und die Laufwerksicherheit wird entfernt.