C Utilisation d'OKM avec le chiffrement Solaris ZFS

Cette annexe décrit l'utilisation d'OKM avec Oracle Solaris 11 ZFS pour gérer le chiffrement et le déchiffrement de fichiers dans des pools de stockage ZFS. Cette solution vous permet de gérer les clés de chiffrement pour les pools de stockage ZFS à l'aide de la même technologie de chiffrement que celle utilisée dans les lecteurs de bande Oracle StorageTek.

Cette annexe suppose que vous êtes familiarisé avec Solaris 11 et Oracle Solaris ZFS.

• Reportez-vous aux publications relatives à Oracle Solaris 11 pour plus d'informations sur Oracle Solaris 11..

• Reportez-vous au document Oracle Solaris Administration: ZFS File Systems pour plus d'informations sur Oracle Solaris ZFS.

ZFS peut être configuré pour utiliser le fournisseur PKCS#11 d'OKM, pkcs11_kms, afin de récupérer les clés de chiffrement à partir d'un cluster OKM. Cela nécessite un cluster OKM configuré et un système Solaris 11 avec une connectivité établie sur les KMA dans ce cluster OKM.

Lorsqu'un administrateur Solaris 11 installe et configure pkcs11_kms, l'administrateur peut demander que pkcs11_kms crée une clé et ordonne à ZFS de l'utiliser.

pkcs11_kms est présenté dans l'annexe B. Pour plus d'informations, reportez-vous aux sections suivantes :

• "Fournisseur PKCS#11 d'OKM"

• "Gestion des informations d'authentification"

• "Equilibrage de charge et basculement"

Eléments à prendre en compte pour la planification

Reportez-vous aux sections suivantes pour les éléments à prendre en compte qui peuvent s'appliquer à la planification de cette intégration :

• "Remarques sur les performances et la disponibilité d'OKM"

• "Planification de la récupération après sinistre"

• "Planification du réseau"

• "Planification de la gestion de clés"

Intégration d'OKM et ZFS

Les tâches suivantes sont requises pour intégrer OKM à ZFS :

• Configuration du cluster OKM pour ZFS

• Installation de pkcs11_kms sur le système Solaris 11

• Configuration de pkcs11_kms pour l'utilisation par ZFS

• Configuration de ZFS pour utiliser pkcs11_kms

Les sections suivantes décrivent ces tâches.

Remarque:

Une bonne partie des informations relatives à ces tâches s'appliquent également dans les configurations OKM à l'aide du cryptage transparent des données (TDE). Le cas échéant, les sections suivantes incluent des références à des informations supplémentaires décrites dans l'annexe B.

Configuration du cluster OKM pour ZFS

Pour configurer le cluster OKM pour l'utilisation avec ZFS, procédez comme suit :

1. Assurez-vous que tous les KMS dans le cluster OKM exécutent Oracle Key Manager 2.4.1 ou une version ultérieure et que le cluster OKM utilise la version 13 du schéma de réplication.

   Les plates-formes de gestion OKM prises en charge pour l'interface graphique utilisateur et la CLI sont documentées dans les notes de version du produit OKM, qui incluent des considérations spécifiques pour les plates-formes Oracle Solaris et Microsoft Windows.

2. Créez une stratégie de clés et un groupe de clés, configurez un agent et associez le groupe de clés à cet agent en tant que groupe de clés par défaut. Pour plus d'informations, reportez-vous à la section "Configuration du cluster OKM pour TDE".

   Remarque:

   L'agent doit être configuré pour désactiver la propriété One Time Passphrase (Phrase de passe à usage unique). Reportez-vous à la section "Création d'un agent" ou "Affichage/Modification d'un agent".

Installation de pkcs11_kms sur Solaris 11

Pour installer le fournisseur PKCS#11 d’Oracle, pkcs11_kms, sur le système Solaris 11, suivez les étapes décrites dans la section "Installation de pkcs11_kms pour Oracle Solaris 11 ou Solaris 11 Express".

Configuration de pkcs11_kms

Pour configurer pkcs11_kms sur le système Solaris 11, suivez les étapes 2 et 3, comme décrit dans la section "Configuration de pkcs11_kms pour TDE".

Remarque:

Ignorez les références à Oracle RAC, car elles ne s'appliquent pas à une intégration OKM/ZFS.

Configuration de ZFS pour utiliser pkcs11_kms

Une fois le fournisseur pkcs11_kms installé et configuré, suivez les étapes suivantes pour générer une clé dans le fournisseur pkcs11_kms et configurer ZFS pour utiliser cette clé lors du chiffrement de fichiers dans des systèmes de fichiers contenus dans un pool ZFS particulier.

Exécutez la commande pktool genkey de Solaris pour créer une clé AES 256 bits.

1. A l'invite "Enter PIN for KMS" (Saisir le code PIN pour KMS), entrez la phrase de passe de l'agent qui a été fourni à l'utilitaire kmscfg lorsque vous avez configuré pkcs11_kms.

   Par exemple :

   # pktool list token=KMS objtype=key 
   Enter PIN for KMS: 
   # pktool genkey keystore=pkcs11 token=KMS keytype=aes keylen=256 label=zfscrypto_key_256 
   Enter PIN for KMS: 
   # pktool list token=KMS objtype=key label=zfscrypto_key_256 
   Enter PIN for KMS: 
   

2. Exécutez la commande zfs create pour configurer ZFS pour utiliser cette clé.

   Dans l'argument "keysource" de la commande zfs create, spécifiez l'étiquette de la clé que vous avez générée à l'étape 1.

   A l'invite "Enter 'KMS' PKCS#11 token PIN" (Saisir le code PIN du jeton PKCS#11 du KMS), entrez la phrase de passe de l'agent.

   Par exemple :

   # zfs create -o encryption=aes-256-ccm -o keysource="raw,pkcs11:token=KMS;object=zfscrypto_key_256" cpool_nd/cfs 
   Enter 'KMS' PKCS#11 token PIN for 'cpool_nd/cfs':  
   

Dépannage

Reportez-vous à la section "Dépannage" pour obtenir des informations relatives au dépannage.