IBM Cloud Docs
Habilitación de la seguridad de unidad utilizando Avago SafeStore Encryption Services

Habilitación de la seguridad de unidad utilizando Avago SafeStore Encryption Services

La configuración de la seguridad de unidad ayuda a evitar el acceso a datos almacenados en discos eliminados sin una clave de seguridad. Los datos de la unidad no se pueden recuperar sin esta clave. IBM Cloud® proporciona unidades de autocifrado (SED) en centros de datos seleccionados para las unidades que se pueden incorporar en un servidor nativo. Las unidades SATA de 10 TB están disponibles en nuestros centros de datos de EE.UU.

Requisitos previos

  • Servidor nativo con unidades SED - SATA de 10 TB
  • AVAGO MegaRAID SAS 9361 -8i o tarjetas AVAGO RAID similares
  • Software MegaRAID Storage Manager instalado

Habilitación de la seguridad de unidad utilizando MegaRAID Storage Manager (MSM)

Puede establecer la clave seguridad y proteger los datos de un disco eliminado utilizando MegaRAID Storage Manager. También puede utilizar la interfaz de WebBIOS que requiere una clave de seguridad en el momento del inicio del servidor para entrar en la BIOS de la tarjeta MegaRAID para configurar el valor de seguridad de unidad.

Identificación de unidades SED preinstaladas

MegaRAID Storage Manager viene preinstalado en la mayoría de los sistemas operativos soportados. Si no está presente, puede instalarlo manualmente desde el sitio de Broadcom.

Puede abrir MegaRAID Storage Manager utilizando las credenciales del sistema. En el ejemplo, se utiliza un entorno Windows y MSM está preinstalado.

Cuando inicia MSM, debe ingresar su nombre de usuario y contraseña que es el usuario privilegiado (Administrador) y contraseña.

Pulse el separador Físico y pulse en las unidades que están disponibles en el sistema. El Propiedades la pagina tiene el Propiedades de seguridad de la unidad sección que incluye el Capacidad de cifrado de disco completo campo, que muestra . En el ejemplo utilizado, se usan dos discos no SED y cuatro discos SED.

Habilitación de la seguridad de unidad en el controlador

  1. Para habilitar la seguridad de unidad, pulse el botón derecho del ratón sobre Controlador 0 :AVAGO MegaRAID SAS 9361-8i en el separador Físico y seleccioneHabilitar la seguridad de unidad.

    • Ahora puede especificar el Identificador de clave de seguridad y la Clave de seguridad. Si tiene varias claves de seguridad, un identificador de clave de seguridad puede ayudarle a identificar qué clave de seguridad necesita utilizar. Debe registrar la clave de seguridad en una ubicación segura. La clave de seguridad es necesaria para reconfigurar unidades, por ejemplo, para extraer o reinsertar una unidad. Sin una clave de seguridad, no es posible recuperar ningún dato almacenado en un volumen creado fuera de los SED. No es posible recuperar una clave de seguridad olvidada. También se puede establecer una contraseña de tiempo de inicio, que mantiene en pausa el sistema para que se especifique la contraseña que se defina aquí. La contraseña de hora de inicio es opcional y, si está configurada, debe iniciar sesión en IPMI y escribir la contraseña de inicio cada vez que se reinicie el sistema. Desplácese hacia abajo y marque el recuadro de selección que indicaHe grabado los valores de seguridad como referencia futura y pulse para habilitar la seguridad de unidad.
    • Cuando se habilite la seguridad de unidad, aparecerá una imagen de llave amarilla paraControlador 0 AVAGO MegaRAID SAS 9361-8i.

  2. Ahora, cree un volumen seguro utilizando las SED. Pulse con el botón derecho del ratón Controller0 en la pestaña Lógica y seleccione Crear unidad virtual.

  3. Elija la opción Avanzado. Es necesario especificar el Nivel de RAID en la pantalla, así como especificar el Método de seguridad de unidad como Cifrado de disco completo (FDE).

  4. Seleccione las unidades FDE que sean necesarias y pulse Añadir > Crear grupo de unidades > Siguiente.

  5. Revise los valores de unidad virtual y realice los cambios necesarios.

    • El valor sugerido para la Política de lectura es Siempre lectura anticipada.
    • El valor sugerido para la Política de escritura es Reescritura.

  6. Pulse Crear unidad virtual.

  7. Acepte el impacto de la política de reescritura debido a BBU pulsando . A continuación, pulse Siguiente y revise la pantalla de resumen.

  8. Pulse Finalizar.

  9. Para confirmar que el disco virtual sea seguro, pulse el separador Lógico y la unidad virtual que se ha creado. Verá en las Propiedades de seguridad de unidad que el campo Seguro está marcado como .

Protección de volúmenes RAID

Si el servidor se ha proporcionado con volúmenes RAID que ya se han creado utilizando unidades SED, puede hacer que el volumen sea seguro realizando el paso siguiente.

  1. En el separador Lógico, pulse el botón derecho del ratón sobre Grupo de unidades y seleccioneProteger utilizando FDE.

    Si ha mezclado unidades FDE y no FDE, esta opción no será visible.

También puede configurar la seguridad de unidad utilizando webBIOS e iniciando sesión a través de IPMI en el momento del inicio y entrando en la BIOS RAID.

Eliminar seguridad de la unidad

  1. Para eliminar la seguridad de unidad, primero debe suprimir los discos virtuales seguros y pulsar el botón derecho del ratón sobre el Controlador 0 para Inhabilitar la seguridad de unidad. Esta función borra de forma segura los datos y elimina la seguridad de unidad.