C Uso de OKM con el cifrado de Solaris ZFS

En este apéndice, se describe el uso de OKM con Oracle Solaris 11 ZFS para gestionar el cifrado y el descifrado de archivos en agrupaciones de almacenamiento ZFS. Esta solución permite gestionar claves de cifrado para agrupaciones de almacenamiento ZFS con la misma tecnología de cifrado que se utiliza en las unidades de cinta Oracle StorageTek.

En este apéndice, se asume que está familiarizado con Solaris 11 y Oracle Solaris ZFS.

• Consulte las publicaciones de Oracle Solaris 11 para obtener más información sobre Oracle Solaris 11.

• Consulte la publicación Administración de Oracle Solaris: sistemas de archivos ZFS para obtener más información sobre Oracle Solaris ZFS.

Es posible configurar ZFS para que utilice el proveedor PKCS#11 de OKM, pkcs11_kms, a fin de recuperar las claves de cifrado de un cluster de OKM. Se necesita un cluster configurado de OKM y un sistema Solaris 11 con conectividad a dispositivos de gestión de claves en este cluster de OKM.

Una vez que el administrador de Solaris 11 instala y configura pkcs11_kms, el administrador puede solicitar que pkcs11_kms cree una clave y, luego, indicar a ZFS que la utilice.

pkcs11_kms se describe en el Apéndice B. Para obtener más información, consulte las siguientes secciones:

• "Proveedor PKCS#11 de OKM"

• "Gestión de credenciales de autenticación"

• "Equilibrio de carga y failover"

Consideraciones de planificación

Consulte las siguientes secciones para conocer las consideraciones relevantes al planificar esta integración:

• "Consideraciones de rendimiento y disponibilidad de OKM"

• "Planificación de la recuperación ante desastres"

• "Planificación de la red"

• "Planificación de la gestión de claves"

Integración de OKM y ZFS

Se deben llevar a cabo las siguientes tareas para integrar OKM con ZFS:

• Configurar el cluster de OKM para ZFS

• Instalar pkcs11_kms en el sistema Solaris 11

• Configurar pkcs11_kms para que lo utilice ZFS

• Configurar ZFS para que utilice pkcs11_kms

Estas tareas se describen en las siguientes secciones.

Nota:

Gran parte la información de estas tareas también se aplica en las configuraciones de OKM con cifrado de datos transparente (TDE). Si corresponde, las siguientes secciones incluyen referencias a información adicional que se describe en el Apéndice B.

Configuración del cluster de OKM para ZFS

Para configurar el cluster de OKM para utilizarlo con ZFS, siga estos pasos:

1. Asegúrese de que todos los dispositivos de gestión de claves del cluster de OKM ejecuten Oracle Key Manager 2.4.1 o posterior, y que el cluster de OKM utilice Replication Schema versión 13.

   Las plataformas admitidas de gestión de OKM para la GUI y la CLI están documentadas en las notas de la versión del producto OKM, que incluyen consideraciones específicas para las plataformas Oracle Solaris y Microsoft Windows.

2. Cree una directiva de claves y un grupo de claves, configure un agente y asocie ese agente con el grupo de claves como grupo predeterminado. Para obtener más información, consulte "Configuración del cluster de OKM para TDE".

   Nota:

   El agente se debe configurar para desactivar la propiedad One Time Passphrase (Frase de contraseña de un solo uso). Consulte "Creación de un agente" o "Visualización/modificación de un agente".

Instalación de pkcs11_kms en Solaris 11

Para instalar el proveedor PKCS#11 de Oracle, pkcs11_kms, en el sistema Solaris 11, siga los pasos descritos en "Instalación de pkcs11_kms para Oracle Solaris 11 o Solaris 11 Express".

Configuración de pkcs11_kms

Para configurar pkcs11_kms en el sistema Solaris 11, realice el Paso 2 y el Paso 3, como se describe en "Configuración de pkcs11_kms para TDE".

Nota:

Omita las referencias a Oracle RAC, ya que no se aplican en una integración de OKM y ZFS.

Configuración de ZFS para que utilice pkcs11_kms

Tras instalar y configurar el proveedor pkcs11_kms, realice los siguientes pasos para generar una clave en el proveedor pkcs11_kms y configurar ZFS para que utilice esta clave al cifrar archivos en sistemas de archivos incluidos en una determinada agrupación ZFS.

Utilice el comando pktool genkey de Solaris para crear una clave AES de 256 bits.

1. En los indicadores "Enter PIN for KMS" (Introducir PIN para KMS), escriba la frase de contraseña del agente que se proporcionó en la utilidad kmscfg al configurar pkcs11_kms.

   Por ejemplo:

   # pktool list token=KMS objtype=key 
   Enter PIN for KMS: 
   # pktool genkey keystore=pkcs11 token=KMS keytype=aes keylen=256 label=zfscrypto_key_256 
   Enter PIN for KMS: 
   # pktool list token=KMS objtype=key label=zfscrypto_key_256 
   Enter PIN for KMS: 
   

2. Use el comando zfs create para configurar ZFS para que utilice esta clave.

   En el argumento "keysource" del comando zfs create, especifique la etiqueta de la clave que generó en el Paso 1.

   En los indicadores "Enter 'KMS' PKCS#11 token PIN" (Introducir PIN de token PKCS#11 de 'KMS'), escriba la frase de contraseña del agente.

   Por ejemplo:

   # zfs create -o encryption=aes-256-ccm -o keysource="raw,pkcs11:token=KMS;object=zfscrypto_key_256" cpool_nd/cfs 
   Enter 'KMS' PKCS#11 token PIN for 'cpool_nd/cfs':  
   

Resolución de problemas

Consulte "Resolución de problemas" para obtener información sobre la resolución de problemas.