IBM Cloud Docs
Avago SafeStore 暗号化サービスを使用したドライブ・セキュリティーの有効化

Avago SafeStore 暗号化サービスを使用したドライブ・セキュリティーの有効化

ドライブ・セキュリティーをセットアップすると、取り外されたディスクに保管されているデータにセキュリティー・キーなしでアクセスされることを防止できます。 このキーがないと、ドライブのデータを回復できません。IBM Cloud® は、ベアメタル・サーバー上で購入できるドライブ用に一部のデータ・センターで自己暗号化ドライブ (SED) を提供しています。米国データ・センターでは 10 TB SATA ドライブを使用できます。

前提条件

  • 10 TB SATA の SED ドライブを装備したベアメタル・サーバー
  • アバゴMegaRAID 9361 の-8iまたは類似のAVAGO RAIDカード
  • インストール済みの MegaRAID Storage Manager ソフトウェア

MegaRAID Storage Manager (MSM) を使用したドライブ・セキュリティーの有効化

MegaRAID Storage Manager を使用すると、セキュリティー・キーを設定して、取り外されたディスク内のデータを保護できます。 また、WebBIOS インターフェースを使用することもできます。このインターフェースでは、サーバーの始動時にセキュリティー・キーが MegaRAID カードの BIOS に入って、ドライブ・セキュリティーの設定を構成する必要があります。

プリインストールされた SED ドライブの識別

MegaRAID Storage Manager は、ほとんどのサポート対象オペレーティング・システムにプリインストールされています。 MegaRAID Storage Manager がインストールされていない場合は、Broadcom サイトから手動でインストールできます。

MegaRAID Storage Manager は、システム資格情報を使用して開くことができます。 この例では、Windows 環境が使用され、MSM がプリインストールされています。

MSMを起動するときには、ユーザー名特権ユーザー (管理者) のユーザー名とパスワード。

「Physical」タブをクリックし、システム上で使用可能なドライブをクリックします。 のプロパティページにはドライブのセキュリティプロパティセクションには、フルディスク暗号化対応フィールドには、はい。 ここで使用している例では、2 つの非 SED ディスクと 4 つの SED ディスクが使用されています。

コントローラーでのドライブ・セキュリティーの有効化

  1. ドライブ・セキュリティーを有効にするには、**「Physical」タブで「Controller 0 :AVAGO MegaRAID SAS 9361-8i」を 右クリックして、「Enable Drive Security」**を選択します。

    • これで、**「Security key identifier」「Security key」を入力できるようになりました。 複数のセキュリティー・キーがある場合は、セキュリティー・キー ID に基づいて、使用すべきセキュリティー・キーを識別できます。 セキュリティー・キーは安全な場所に記録しておく必要があります。 セキュリティー・キーが必要となるのは、ドライブを再構成するときです (ドライブの取り外しや再挿入など)。 セキュリティー・キーがないと、SED を使用して作成されたボリュームに保管されているデータを取得できません。 紛失したセキュリティー・キーを再取得することはできません。 始動時のパスワードを設定することもできます。このパスワードによってシステムが一時停止状態になっている間に、ここで設定したパスワードを入力します。 起動時のパスワードはオプションであり、設定されている場合、システムを再起動するたびに IPMI にログインして起動パスワードを入力する必要があります。 スクロールダウンして、「I recorded the security settings for future reference」というチェック・ボックスを選択して、「Yes」**をクリックしてドライブ・セキュリティーを有効にします。
    • ドライブ・セキュリティーが有効になると、**「Controller 0 AVAGO MegaRAID SAS 9361-8i」**に黄色い鍵の画像が表示されます。

  2. 次に、SED を使用してセキュア・ボリュームを作成します。 Logical(論理) タブからの Controller0 を右クリックし、 **Create Virtual Drive(仮想ドライブの作成)**を選択してください。

  3. **「Advanced」オプションを選択します。 画面上で、「RAID level」を指定して、「Drive security method」**を **「Full Disk encryption (FDE)」**に設定する必要があります。

  4. 必要な FDE ドライブを選択して、「Add」>「Create Drive Group」>**「Next」**をクリックします。

  5. 仮想ドライブの設定を確認して、必要に応じて変更を加えます。

    • **「Read Policy」の推奨設定は「Always Read Ahead」**です。
    • **「Write policy」の推奨設定は「Write Back」**です。

  6. **「Create Virtual Drive」**をクリックします。

  7. **「Yes」**をクリックして、BBU に起因する Write Back ポリシーの影響を受け入れます。 次に、 Next(次へ) をクリックして、サマリー画面を確認してください。

  8. 「完了 (Finish)」 をクリックします。

  9. 仮想ディスクが保護されたことを確認するには、**「Logical」**タブをクリックして、作成された仮想ドライブをクリックします。 **「Drive Security Properties」で、「Secured」フィールドの値が「Yes」**になっていることがわかります。

RAID ボリュームの保護

SED ドライブを使用して既に作成されている RAID ボリュームがサーバーに付属している場合は、以下のステップを実行して、ボリュームを安全にすることができます。

  1. **「Logical」タブで、「Drive Group」を右クリックして「Secure Using FDE」**を選択します。

    同一ボリューム用に FDE ドライブと非 FDE ドライブを組み合わせている場合は、 このオプションが表示されません。

ドライブ・セキュリティーをセットアップするためのもう 1 つの方法として、WebBIOS を使用して、始動時に IPMI を通じてログインして、RAID BIOS に入ってセットアップすることもできます。

ドライブ・セキュリティーの除去

  1. ドライブ・セキュリティーを解除するには、まず保護された仮想ディスクを削除して、「Controller 0」を右クリックして**「Disable Drive Security」**を選択する必要があります。 これにより、そのコントローラー内のデータが安全に消去されて、ドライブ・セキュリティーが解除されます。