使用 Avago SafeStore Encryption Services 启用驱动器安全性
设置驱动器安全性有助于防止在没有安全密钥的情况下访问已除去磁盘上的存储数据。 如果没有此密钥,那么无法恢复驱动器数据。IBM Cloud® 在选定的数据中心为可在裸机服务器上购买的驱动器提供自加密驱动器 (SED)。我们的美国数据中心提供了 10 TB SATA 驱动器。
先决条件
- 具有 SED 驱动器的裸机服务器 - 10 TB SATA
- AVAGO MegaRAID SAS 9361 -8i 或类似的 AVAGO RAID 卡
- 已安装 Mega RAID Storage Manager 软件
使用 MegaRAID Storage Manager (MSM) 启用驱动器安全性
使用 MegaRAID Storage Manager,用户可以在除去的磁盘中设置安全密钥并保护数据。 您还可以在服务器启动时使用需要安全密钥的 WebBIOS 界面来进入 MegaRAID 卡 BIOS,以配置驱动器安全设置。
识别预安装的 SED 驱动器
MegaRAID Storage Manager 预装在大多数受支持的操作系统上。 如果不存在,您可以从 Broadcom 站点手动进行安装。
您可以使用系统凭证来打开 MegaRAID Storage Manager。 示例中使用的是 Windows 环境,并预装了 MSM。
启动 MSM 时,必须输入 用户名和密码,即特权用户(管理员)和密码。
单击物理选项卡,并单击系统上可用的驱动器。 Properties 页面中的 Drive Security Properties 部分包括 Full Disk Encryption capable 字段,其中显示 Yes。 在使用的示例中,使用了两个非 SED 磁盘和四个 SED 磁盘。
在控制器上启用驱动器安全性
-
要启用驱动器安全性,请在物理选项卡中右键单击控制器 0:AVAGO MegaRAID SAS 9361-8i,然后选择启用驱动器安全性。
- 现在,可以输入安全密钥标识和安全密钥。 如果有多个安全密钥,那么安全密钥标识可帮助您识别需要使用的安全密钥。 必须将安全密钥记录在安全位置。 重新配置驱动器(例如卸下或重新插入驱动器)时,需要使用安全密钥。 如果没有安全密钥,那么无法检索根据 SED 创建的卷中存储的任何数据。 无法检索忘记的安全密钥。 还可以设置启动时间密码,这会使系统暂停,等待输入在此处设置的密码。 启动时间密码是可选的,如果设置了该密码,则每次重启系统时都必须登录 IPMI 并键入启动密码。 向下滚动并选中显示我记录了安全设置以供未来参考的框,然后单击是以启用驱动器安全性。
- 启用驱动器安全性后,将针对控制器 0 AVAGO MegaRAID SAS 9361-8i 显示一个黄色钥匙图像。
-
现在使用 SED 创建安全卷。 右键单击 逻辑 选项卡中的 Controller0,然后选择 创建虚拟驱动器。
-
选择高级选项。 屏幕要求将 RAID 级别和驱动器安全方法指定为全磁盘加密 (FDE)。
-
选择需要的 FDE 驱动器,然后单击添加 > 创建驱动器组 > 下一步。
-
查看虚拟驱动器设置并进行任何必要的更改。
- 建议将读取策略设置为始终预读。
- 建议将写入策略设置为回写。
-
单击创建虚拟驱动器。
-
通过单击是,接受 BBU 造成的“回写”策略影响。 然后,单击 Next 并查看摘要屏幕。
-
单击完成。
-
要确认虚拟盘是否受保护,请单击逻辑选项卡和所创建的虚拟驱动器。 您会在驱动器安全属性中看到受保护字段标记为是。
保护 RAID 卷
如果服务器附带的 RAID 卷已通过使用 SED 驱动器创建,则可以通过完成以下步骤确保卷的安全。
-
在逻辑选项卡中,右键单击驱动器组,然后选择保护 FDE 的使用。
如果针对某个卷混合使用 FDE 和非 FDE 驱动器,那么此选项不可见。
您还可以通过使用 webBIOS,在启动时通过 IPMI 登录并进入 RAID BIOS 来设置驱动器安全性。
除去磁带机安全性
- 要除去驱动器安全性,必须先删除受保护的虚拟盘,然后右键单击控制器 0 以禁用驱动器安全性。 此功能可安全地擦除其中的数据,并除去驱动器安全性。