Gestión de claves de cifrado

El dispositivo incluye un almacén de claves LOCAL integrado y la capacidad de conectarlo con el sistema Oracle Key Manager (OKM). Cada proyecto o recurso compartido cifrado requiere una clave de ajuste del almacén de claves LOCAL o de OKM. Las claves de cifrado de datos se gestionan mediante el dispositivo de almacenamiento y se almacenan cifradas de forma persistente mediante la clave de ajuste desde el almacén de claves LOCAL u OKM.

OKM es un sistema de gestión de claves (KMS) integral que aborda la necesidad creciente de cifrado de datos basado en almacenamiento que tienen las empresas. Desarrollada para cumplir con los estándares abiertos, esta función proporciona la capacidad, escalabilidad e interoperabilidad para gestionar centralmente las claves de cifrado en infraestructuras de almacenamiento ampliamente distribuidas y heterogéneas.

OKM aborda los desafíos únicos de la gestión de claves de almacenamiento, entre los que se incluyen los siguientes:

Retención de claves a largo plazo: OKM garantiza que los datos archivados estén siempre disponibles y retiene de manera segura las claves de cifrado durante todo el ciclo de vida de los datos.
Interoperabilidad: OKM proporciona la interoperabilidad necesaria para admitir una amplia variedad de dispositivos de almacenamiento conectados a plataformas de sistemas abiertos o mainframe en un único servicio de gestión de claves de almacenamiento.
Alta disponibilidad: con agrupación en clusters de N nodos activa, el equilibro de carga dinámico y el failover automatizado, OKM proporciona alta disponibilidad, sin importar si los dispositivos están juntos o distribuidos por todo el mundo.
Alta capacidad: OKM gestiona una gran cantidad de dispositivos de almacenamiento y una cantidad aún mayor de claves de almacenamiento. Un único dispositivo en cluster puede proporcionar servicios de gestión de claves para miles de dispositivos de almacenamiento y millones de claves de almacenamiento.
Configuración de clave flexible: por cluster de OKM, las claves se pueden generar de forma automática o individualmente para un almacén de claves LOCAL o de OKM. Los administradores de seguridad son responsables de proporcionar los nombres de clave que, al combinarse con el almacén de claves, asocian una clave de ajuste con un proyecto o recurso compartido.

Notas - Si el dispositivo está en un cluster, no se debe usar la configuración de "frase de contraseña de un solo uso" para la creación de un agente de servidor de OKM. De lo contrario, el registro en el otro nodo de cluster fallará, y las claves no estarán disponibles en el failover.

Mantenimiento de claves

Los recursos compartidos y los proyectos que usan claves OKM en estado desactivado permanecen accesibles. Para evitar que se use una clave OKM, el administrador de OKM debe suprimir explícitamente la clave.

Para garantizar que pueda accederse a los recursos compartidos y los proyectos cifrados, realice una copia de seguridad de las configuraciones y de los valores de claves del almacén de claves LOCAL del dispositivo. Si una o varias claves se vuelven inaccesibles, los proyectos o recursos compartidos que usan esas claves se vuelven inaccesibles. Si la clave del proyecto no está disponible, no se pueden crear nuevos recursos compartidos en el proyecto.

Las claves se pueden volver no disponibles de las siguientes maneras:

Se suprimen las claves.
Revertir a una versión que no admite cifrado
Revertir a una versión que no tiene configuradas las claves
Restablecimiento de configuración predeterminada
El servidor de OKM no está disponible (claves OKM)

Descripción de los valores de claves de cifrado

En la siguiente tabla, se muestran los valores de claves de cifrado de la CLI y la BUI con sus respectivas descripciones. Además, se indica si el tipo de cifrado funciona con la anulación de duplicación.

Tabla 5-24 Valores de claves de cifrado

Valor de la BUI	Valor de la CLI	Descripción
Off (Desactivado)	off (desactivado)	El proyecto o recurso compartido no está cifrado.
AES-128-CCM	aes-128-ccm	Cifrado que menor impacto tiene en la CPU. Se puede anular la duplicación.
AES-192-CCM	aes-192-ccm	Se puede anular la duplicación.
AES-256-CCM	aes-256-ccm	Se puede anular la duplicación.
AES-128-GCM	aes-128-gcm	Conforme a recomendación de NIST SP800-38D. No se puede anular la duplicación.
AES-192-GCM	aes-192-gcm	Conforme a recomendación de NIST SP800-38D. No se puede anular la duplicación.
AES-256-GCM	aes-256-gcm	Cifrado que mayor impacto tiene en la CPU. Conforme a recomendación de NIST SP800-38D. No se puede anular la duplicación.

Descripción de los errores de cifrado

Si una clave de cifrado ha caducado, se ha suprimido o es incorrecta, aparecerá un mensaje de error que indicará el origen del problema. Use la siguiente tabla para comprender estos errores:

Tabla 5-25 Valores de claves de cifrado

Error	Almacén de claves	Descripción
key_incorrect	LOCAL u OKM	El valor de la clave de ajuste asignado a este recurso compartido no coincide con el valor de cuando se creó por primera vez el recurso compartido o cuando se cambió por última vez la clave.
key_unavailable	LOCAL u OKM	La clave de ajuste asignada a este recurso compartido se ha suprimido del almacén de claves. Para una clave OKM, este error también puede significar que no se puede acceder actualmente al servidor de gestión de claves remotas.
key_unusable	OKM	La clave de ajuste asignada a este recurso compartido ha caducado según las políticas configuradas en OKM.

Para restaurar una clave LOCAL a la que se le hizo una copia de seguridad anteriormente, consulte Restauración de una clave LOCAL (CLI)

Omitir vínculos de navegación
Salir de la Vista de impresión
	Guía de administración de Oracle^® ZFS Storage Appliance, versión 2013.1.3.0