Les lecteurs de bande suivants prennent en charge le chiffrement :
StorageTek T10000A
StorageTek T10000B
StorageTek T10000C
StorageTek T10000D
StorageTek T9840D
HP LTO-4 (requiert une carte HP Dione)
HP LTO-5 et 6
IBM LTO-4, 5 et 6 (tous requièrent une carte IBM Belisarius)
Tableau 5-1 Lecteurs de bande conformes à la norme FIPS 140-2
Lecteur de bande | Niveau FIPS 140-2 |
---|---|
T10000A |
1 |
T10000B |
2 |
T10000C |
1 |
T10000D |
1 |
T9840D |
1 |
LTO4 (HP et IBM) |
Aucun plan pour FIPS |
LTO5 (HP et IBM) |
Aucun plan pour FIPS |
LTO6 (HP et IBM) |
Aucun plan pour FIPS |
Remarque:
Seuls les lecteurs LTO peuvent être validés FIPS, mais pas nécessairement dans certaines applications de chiffrement.Les niveaux de sécurité FIPS 140-2 pour les lecteurs de bande mentionnés précédemment comprennent :
Niveau 1 : niveau élémentaire des critères de production.
Niveau 2 : critères supplémentaires concernant les dispositifs de sécurité anti-violation et l'authentification basée sur des rôles. Conçu sur une plate-forme d'exploitation validée. Cette sélection fournit un niveau de sécurité plus élevé pour les KMA et les lecteurs de bande.
Tableau 5-2 Comportement de chiffrement des lecteurs de bande T-Series
Type de lecteur de bande | Bandes non chiffrées | Bandes chiffrées |
---|---|---|
Non inscrit pour le chiffrement |
|
|
Inscrit pour le chiffrement |
|
|
Remarque:
Seuls les médias LTO-4 (LTO-4 et LTO-4 WORM) prennent en charge le chiffrement sur les lecteurs de bande LTO-4.Tableau 5-3 Comportement de chiffrement pour lecteur LTO-4 non inscrit pour le chiffrement
Comportement du lecteur | Fonctionnalité |
---|---|
Lecture des données non chiffrées LTO-4 |
OK sans chiffrement |
Lecture des données chiffrées LTO-4 |
Erreur |
Ecriture LTO-4 à partir de BOT |
OK sans chiffrement |
Lecture de bande LTO-3 |
OK sans chiffrement |
Ajout/écriture LTO-4 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-4 aux données non chiffrées (lecture sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-4 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-4 aux données chiffrées (lecture sur EOD, puis écriture) |
Erreur |
Tableau 5-4 Comportement de chiffrement pour lecteur LTO-4 inscrit pour le chiffrement
Comportement du lecteur | Fonctionnalité |
---|---|
Lecture des données non chiffrées LTO-4 |
OK sans chiffrement |
Lecture des données chiffrées LTO-4 |
OK avec chiffrement si la clé appropriée est disponible |
Ecriture LTO-4 à partir de BOT |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-4 aux données chiffrées |
OK avec chiffrement si la clé appropriée est disponible |
Ecriture de bande LTO-3 |
HP : OK sans chiffrementNote de bas de page 1 IBM : Erreur |
Lecture de bande LTO-3 |
OK sans chiffrement |
Ajout/écriture LTO-4 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleNote de bas de page 2 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-4 aux données non chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleRéférence de note de bas de page 2 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-4 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-4 aux données chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponible. IBM : OK avec chiffrement si la clé appropriée est disponible, mais avec la clé de lecture antérieureNote de bas de page 3 |
Note de bas de page 1 Les lecteurs HP écriront sur les bandes en mode sans chiffrement. Le format LTO-3 ne prend pas en charge le chiffrement, ce qui peut être considéré comme une faille de sécurité puisque les lecteurs HP LTO-4/LTO-5 peuvent écrire des données non chiffrées simplement via l'insertion d'une cartouche LTO-3.
Note de bas de page 2 Ce cas de figure permet d'ajouter des données chiffrées après des données non chiffrées, ce qui présente un avantage opérationnel puisque cela permet d'utiliser des bandes préétiquetées avec des données non chiffrées dans des lecteurs LTO HP dans l'environnement de chiffrement sans devoir les réétiqueter.
Note de bas de page 3 Dans ce cas, les lecteurs IBM écriront des données chiffrées, mais utiliseront la même clé que celle utilisée pour la lecture des données chiffrées antérieures sur la bande. Le lecteur ne demandera pas de nouvelle clé à OKM lors de l'émission de la commande d'écriture et ignorera la stratégie d'expiration de clé définie par OKM.
Tableau 5-5 Comportement de chiffrement pour lecteur LTO-5 non inscrit pour le chiffrement
Comportement du lecteur | Fonctionnalité |
---|---|
Lecture de données non chiffrées LTO-5 |
OK sans chiffrement |
Lecture de données chiffrées LTO-5 |
Erreur |
Ecriture LTO-5 à partir de BOT |
OK sans chiffrement |
Lecture des données non chiffrées LTO-4 |
OK sans chiffrement |
Lecture des données chiffrées LTO-4 |
Erreur |
Ecriture LTO-4 à partir de BOT |
OK sans chiffrement |
Lecture LTO-3 |
OK sans chiffrement |
Ajout/écriture LTO-5 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-5 aux données non chiffrées (lecture sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-5 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO5 aux données chiffrées (lecture sur EOD, puis écriture) |
Erreur |
Ajout/écriture LTO-4 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-4 aux données non chiffrées (lecture sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-4 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-4 aux données chiffrées (lecture sur EOD, puis écriture) |
Erreur |
Tableau 5-6 Comportement de chiffrement pour lecteur LTO-5 inscrit pour le chiffrement
Comportement du lecteur | Fonctionnalité |
---|---|
Lecture de données non chiffrées LTO-5 |
OK sans chiffrement |
Lecture de données chiffrées LTO-5 |
OK avec chiffrement si la clé appropriée est disponible |
Ecriture LTO-5 à partir de BOT |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-5 aux données chiffrées |
OK avec chiffrement si la clé appropriée est disponible |
Lecture des données non chiffrées LTO-4 |
OK sans chiffrement |
Lecture des données chiffrées LTO-4 |
OK avec chiffrement si la clé appropriée est disponible |
Ecriture LTO-4 à partir de BOT |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-4 aux données chiffrées |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-5 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleNote de bas de page 1 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-5 aux données non chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleRéférence de note de bas de page 1 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-5 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO5 aux données chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponible. IBM : OK avec chiffrement si la clé appropriée est disponible, mais avec la clé de lecture antérieureNote de bas de page 2 |
Ajout/écriture LTO-4 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleRéférence de note de bas de page 1 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-4 aux données non chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleRéférence de note de bas de page 1 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-4 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-4 aux données chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponible. IBM : OK avec chiffrement si la clé appropriée est disponible, mais avec la clé de lecture antérieureRéférence de note de bas de page 2 |
Lecture de données non chiffrées LTO-3 |
OK sans chiffrement |
Note de bas de page 1 Ce cas de figure permet d'ajouter des données chiffrées après des données non chiffrées, ce qui présente un avantage opérationnel puisque cela permet d'utiliser des bandes préétiquetées avec des données non chiffrées dans des lecteurs LTO HP dans l'environnement de chiffrement sans devoir les réétiqueter.
Note de bas de page 2 Dans ce cas, les lecteurs IBM écriront des données chiffrées, mais utiliseront la même clé que celle utilisée pour la lecture des données chiffrées antérieures sur la bande. Le lecteur ne demandera pas de nouvelle clé à OKM lors de l'émission de la commande d'écriture et ignorera la stratégie d'expiration de clé définie par OKM.
Tableau 5-7 Comportement de chiffrement pour lecteur LTO-6 non inscrit pour le chiffrement
Comportement du lecteur | Fonctionnalité |
---|---|
Lecture de données non chiffrées LTO-6 |
OK sans chiffrement |
Lecture de données chiffrées LTO-6 |
Erreur |
Ecriture LTO-6 à partir de BOT |
OK sans chiffrement |
Lecture de données non chiffrées LTO-5 |
OK sans chiffrement |
Lecture de données chiffrées LTO-5 |
Erreur |
Ecriture LTO-5 à partir de BOT |
OK sans chiffrement |
Lecture des données non chiffrées LTO-4 |
OK sans chiffrement |
Ajout/écriture LTO-6 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-6 aux données non chiffrées (lecture sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-6 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-6 aux données chiffrées (lecture sur EOD, puis écriture) |
Erreur |
Ajout/écriture LTO-5 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-5 aux données non chiffrées (lecture sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO-5 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK sans chiffrement |
Ajout/écriture LTO5 aux données chiffrées (lecture sur EOD, puis écriture) |
Erreur |
Tableau 5-8 Comportement de chiffrement pour lecteur LTO-6 inscrit pour le chiffrement
Comportement du lecteur | Fonctionnalité |
---|---|
Lecture de données non chiffrées LTO-6 |
OK sans chiffrement |
Lecture de données chiffrées LTO-6 |
Erreur |
Ecriture LTO-6 à partir de BOT |
OK sans chiffrement |
Lecture de données non chiffrées LTO-6 |
OK sans chiffrement |
Lecture de données chiffrées LTO-6 |
OK avec chiffrement si la clé appropriée est disponible |
Ecriture LTO-6 à partir de BOT |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-6 aux données chiffrées |
OK avec chiffrement si la clé appropriée est disponible |
Lecture de données non chiffrées LTO-5 |
OK sans chiffrement |
Lecture de données chiffrées LTO-5 |
OK avec chiffrement si la clé appropriée est disponible |
Ecriture LTO-5 à partir de BOT |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-5 aux données chiffrées |
OK avec chiffrement si la clé appropriée est disponible |
Lecture des données non chiffrées LTO-4 |
OK sans chiffrement |
Lecture des données chiffrées LTO-4 |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-6 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleNote de bas de page 1 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-6 aux données non chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleRéférence de note de bas de page 1 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-6 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO-6 aux données chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponible. IBM : OK avec chiffrement si la clé appropriée est disponible, mais avec la clé de lecture antérieureNote de bas de page 2 |
Ajout/écriture LTO-5 aux données non chiffrées (libération d'espace sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleRéférence de note de bas de page 1 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-5 aux données non chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponibleRéférence de note de bas de page 1 IBM : Erreur. Il n'est pas permis de mélanger des données chiffrées et non chiffrées sur une même bande. |
Ajout/écriture LTO-5 aux données chiffrées (libération d'espace sur EOD, puis écriture) |
OK avec chiffrement si la clé appropriée est disponible |
Ajout/écriture LTO5 aux données chiffrées (lecture sur EOD, puis écriture) |
HP : OK avec chiffrement si la clé appropriée est disponible. IBM : OK avec chiffrement si la clé appropriée est disponible, mais avec la clé de lecture antérieureRéférence de note de bas de page 2 |
Note de bas de page 1 Ce cas de figure permet d'ajouter des données chiffrées après des données non chiffrées, ce qui présente un avantage opérationnel puisque cela permet d'utiliser les bandes préétiquetées avec des données non chiffrées dans un lecteur LTO HP dans l'environnement de chiffrement sans devoir les réétiqueter.
Note de bas de page 2 Dans ce cas, les lecteurs IBM écriront des données chiffrées, mais utiliseront la même clé que celle utilisée pour la lecture des données chiffrées antérieures sur la bande. Le lecteur ne demandera pas de nouvelle clé à OKM lors de l'émission de la commande d'écriture et ignorera la stratégie d'expiration de clé définie par OKM.
Pour inscrire les lecteurs de bande pour le chiffrement, demandez l'aide de votre représentant du support technique Oracle et référez-vous au Guide d'administration d'OKM. Avant leur inscription, certains lecteurs nécessitent une préparation. Pour plus d'informations, les représentants du support technique Oracle peuvent se référer au Manuel d'installation et d'entretien d'OKM (réservé à un usage interne).
Préparation des données de lecteurs de bande T-Series
Les lecteurs T10000C et T10000D exécutant les versions 1.57.30x (T10000C) ou 4.06.106 (T10000D) du microprogramme, et des versions supérieures, ne nécessitent pas de clés d'activation du chiffrement. Pour les lecteurs et les versions de microprogramme antérieurs, le représentant du support technique Oracle doit demander une clé de licence pour le chiffrement de chaque lecteur.
Préparation des lecteurs de bande LTO
Aucune activation ou donnée de lecteur n'est requise pour les lecteurs de bande LTO. La seule préparation consiste à vérifier que vous disposez des informations pour associer les adresses IP et les noms d'agents aux lecteurs de bande dans le gestionnaire OKM.
Le Tableau 5-9 décrit la configuration minimale requise du microprogramme pour chaque lecteur de bande.
Les produits de gestion de bibliothèque suivants sont pris en charge :
ACSLS - 7.1 et 7.1.1 avec PUT0701 ou 7.2 et 7.3
HSC - 6.1 et 6.2
VSM - 6.1 ou 6.2 (comprend VTCS et VTSS)
Modèles VTL - 1.0 ou 2.0.
Les niveaux du microprogrammé indiqués peuvent être modifiés. Pour accéder à la dernière version du microprogramme :
Accédez à My Oracle Support à l'adresse suivante : http://support.oracle.com
et connectez-vous.
Cliquez sur l'onglet Patches & mises à jour.
Cliquez sur Produit ou famille (avancé).
Dans le champ Commencez à écrire..., saisissez les informations relatives au produit (par exemple, "Oracle Key Manager"), puis cliquez sur Rechercher pour afficher le dernier microprogramme pour chaque version.
Tableau 5-9 Compatibilités des microprogrammes
Lecteurs de bande | SL8500 | SL3000 | Lxxx | 9310/9311 | SL500 | SL150 |
---|---|---|---|---|---|---|
T10000A FC |
L–3.11c D–1.37.113 |
L–FRS_2.00 D–1.37.113 |
L–3.17.03 D–1.37.113 |
L–4.4.08 D–137113 |
S/O |
S/O |
T10000A FICON |
L–3.11c D–1.37.114 |
L–FRS_2.00 D–1.37.114 |
L–3.17.03 D–1.37.114 |
L–4.4.08 D–137114 |
S/O |
S/O |
T10000B FC |
L–3.98b D–1.38.x09 |
L–FRS_2.00 D–1.38.x07 |
L–3.17.03 D–1.38.x07 |
S/O |
S/O |
S/O |
T10000B FICON |
L–3.98b D–1.38.x09 |
L–FRS_2.00 D–1.38.x09 |
L–3.17.03 D–1.38.x09 |
S/O |
S/O |
S/O |
T10000C FC |
L–FRS_7.0.0 D–1.53.316 |
L–FRS_3.0.0 D–1.53.316 |
S/O |
S/O |
S/O |
S/O |
T10000C FICON |
L–FRS_7.0.0 D–1.53.316 |
L–FRS_3.0.0 D–1.53.316 |
S/O |
S/O |
S/O |
S/O |
T10000D FC |
L–FRS_8.0.5 (lecteur 3590 non pris en charge) D–4.06.107 FC/FCoE |
L–FRS_3.62 (lecteur 3590 non pris en charge) D–4.06.107 FC/FCoE |
S/O |
S/O |
S/O |
S/O |
T10000D FICON |
L–FRS_8.0.5 (lecteur 3590 non pris en charge) D–4.07.xxx |
L–FRS_3.62 (lecteur 3590 non pris en charge) D–4.07.xxx |
S/O |
S/O |
S/O |
S/O |
T10000D FCoE |
L_FRS_8.3.0 D–4.06.106 |
L_FRS_4.xx D_4.06.106 |
S/O |
S/O |
S/O |
S/O |
T9840D FC |
L–3.98 D–1.42.x07 |
L–FRS_2.00 D–1.42.x07 |
L–3.17.03 D–142x07 |
L–4.4.08 D–142x07 |
S/O |
S/O |
T9840D FICON & ESCON |
L–3.98 D–142x07 |
L–FRS_2.00 D–142x07 |
L–3.17.03 D–142x07 |
L–4.4.08 D–142x07 |
S/O |
S/O |
HP LTO-4 |
L–3.98B D–H64S FC S/O pour SCSI |
L–2.05 D–H64S FC S/O pour SCSI |
S/O |
S/O |
L–1300 D–H64S FC D–B63S SCSI |
S/O |
HP LTO-5 |
D–I5BS FC S/O pour SAS |
D–I5BS FC S/O pour SAS |
S/O |
S/O |
D–I5BS FC D–X5AS SAS |
L–1.80 D–Y5BS FC |
HP LTO-6 |
D– J2AS FC S/O pour SAS |
D– J2AS FC S/O pour SAS |
S/O |
S/O |
D– J2AS FC S/O pour SAS |
L–1.80 D–Z55S SAS D–22CS FC D–329S SAS |
HP LTO-4 |
L–FRS_4.70 D–BBH4 FC S/O pour SCSI |
L–FRS_2.30 D–BBH4 FC S/O pour SCSI |
S/O |
S/O |
L–1373 D– BBH4 FC D– BBH4 SCSI |
S/O |
IBM LTO-5 |
D–BBNH FC |
D–BBNH FC |
S/O |
S/O |
L–1373 D–BBNH FC |
S/O |
IBM LTO-6 |
L–8.01 D–CT94 FC |
L–4.0 D–CT94 FC |
S/O |
S/O |
L–1483 D–BBNH FC S/O pour FC |
S/O |
Légende :
L – Niveau du microprogramme de bibliothèque
D – Niveau du microprogramme de lecteur
FC – Fibre Channel
FCoE – Fibre Channel over Ethernet
SPS – microprogramme spécial, approbation nécessaire
S/O – Sans objet Non pris en charge.
Le Tableau 5-10 indique la version minimale d'Oracle Virtual Operator Panel (VOP) requise pour chaque type de lecteur.
Remarque:
Si vous utilisez Multi-Drive Virtual Operator Panel (MD-VOP), la version 1.1 ou supérieure est requise.