IBM Cloud Docs
Activation de la sécurité d'unité à l'aide de Avago SafeStore Encryption Services

Activation de la sécurité d'unité à l'aide de Avago SafeStore Encryption Services

La configuration de la sécurité d'unité permet d'empêcher l'accès aux données stockées sur des disques retirés sans une clé de sécurité. Les données d'unité ne peuvent pas être récupéréssans cette clé. IBM Cloud® fournit des unités SED (Self-Encrypting Drives) dans certains centres de données pour les unités qui peuvent être achetées sur un serveur Bare Metal. 10 disques durs SATA sont disponibles dans nos centres de données américains.

Prérequis

  • Serveur bare metal avec unités SED – 10 To SATA
  • AVAGO MegaRAID SAS9361 -8i ou cartes RAID AVAGO similaires
  • Logiciel Mega RAID Storage Manager installé

Activation de la sécurité d'unité à l'aide de MegaRAID Storage Manager (MSM)

Vous pouvez définir la clé de sécurité et les données de protection dans un disque supprimé à l'aide de MegaRAID Storage Manager. Vous pouvez également utiliser l'interface WebBIOS qui nécessite une clé de sécurité au démarrage du serveur pour entrer dans le BIOS de la carte MegaRAID et configurer les paramètres de sécurité de l'unité.

Identification des unités SED préinstallées

MegaRAID Storage Manager est préinstallé sur la plupart des systèmes d'exploitation pris en charge. S'il n'est pas présent, vous pouvez l'installer manuellement à partir du site Broadcom.

Vous pouvez ouvrir MegaRAID Storage Manager à l'aide des données d'identification du système. Dans l'exemple, un environnement Windows est utilisé et MSM est préinstallé.

Lorsque vous démarrez MSM, vous devez saisir votre nom d'utilisateur et le mot de passe qui est l'utilisateur privilégié (administrateur) et le mot de passe.

Cliquez sur l'onglet Physical et cliquez sur les unités qui sont disponibles sur le système. Le Propriétés la page a le Propriétés de sécurité du lecteur section qui comprend le Compatible avec le chiffrement complet du disque champ, qui montre Oui. Dans l'exemple utilisé, deux disques non SED et quatre disques SED sont utilisés.

Activation de la sécurité des unités sur le contrôleur

  1. Pour activer la sécurité d'unité, cliquez avec le bouton droit de la souris sur Controller 0 :AVAGO MegaRAID SAS 9361-8i dans l'onglet Physical et sélectionnez Enable Drive Security.

    • Vous pouvez à présenter renseignez les zones Security key identifier et Security key. Si vous avez plusieurs clés de sécurité, un identificateur de clé de sécurité peut vous aider à identifier quelle clé de sécurité vous devez utiliser. Vous devez enregistrer la clé de sécurité dans un endroit sûr. La clé de sécurité est obligatoire lorsque vous reconfigurez les unités, par exemple, lors du retrait ou de la réinsertion d'une unité. Sans la clé de sécurité, il n'est pas possible d'extraire des données stockées dans un volume créé en dehors des unités SED. Il n'est pas possible de récupérer une clé de sécurité publiée. Un mot de passe au démarrage peut également être défini ; le système est mis en pause et attend que le mot de passe défini soit saisi. Le mot de passe de l'heure de démarrage est facultatif et s'il est défini, vous devez vous connecter à IPMI et saisir le mot de passe de démarrage à chaque redémarrage du système. Faites défiler l'écran, cochez la case I recorded the security settings for future reference et cliquez sur Yes pour activer la sécurité d'unité.
    • Lorsque la sécurité d'unité est activée, une image représentant une clé jaune apparaît pour Controller 0 AVAGO MegaRAID SAS 9361-8i.

  2. Créez à présent un volume sécurisé en utilisant les unités SED. Cliquez avec le bouton droit de la souris sur Controller0 dans l'onglet Logique et sélectionnez Créer une unité virtuelle.

  3. Choisissez l'option Advanced. L'écran doit spécifier le niveau RAID et la méthode de sécurité d'unité pour Full Disk encryption (FDE).

  4. Sélectionnez les unités FDE qui sont requises et cliquez sur Add > Create Drive Group > Next.

  5. Passez en revue les paramètres d'unité virtuelle et apportez les corrections nécessaires.

    • La valeur suggérée pour Read Policy est Always Read Ahead.
    • La valeur suggérée pour Write policy est Write Back.

  6. Cliquez sur Create Virtual Drive.

  7. Acceptez l'impact de la politique de réécriture en raison de BBU en cliquant sur Yes. Cliquez ensuite sur Suivant et consultez l'écran récapitulatif.

  8. Cliquez sur Terminer.

  9. Pour confirmer que le disque virtuel est sécurisé, cliquez sur l'onglet Logical et sur l'unité virtuelle qui a été créée. Dans la section Drive Security Properties, la zone Secured a pour valeur Yes.

Sécurisation des volumes RAID

Si le serveur est arrivé avec des volumes RAID déjà créés à l'aide d'unités SED, vous pouvez sécuriser le volume en effectuant l'étape suivante.

  1. Dans l'onglet Logical, cliquer avec le bouton droit de la souris sur Drive Group et sélectionnez Secure Using FDE.

    Si vous avez mélangé des unités FDE et non FDE pour un volume, cette option ne s'affiche pas.

Vous pouvez également configurer la sécurité d'unité en utilisant webBIOS et en vous connectant via l'interface IPMI au démarrage et en entrant dans le BIOS RAID.

Suppression de la sécurité d'unité

  1. Pour retirer la sécurité d'unité, vous devez d'abord supprimer les disques virtuels sécurisés et cliquer avec le bouton droit de la souris sur Controller 0 et sélectionner l'option Disable Drive Security. Cette fonction efface les données de façon sécurisée et retire la sécurité d'unité.