7 Operaciones del operador

En este capítulo, se describen las operaciones que puede realizar un usuario con el rol de operador. Si se le asignaron varios roles, consulte el capítulo adecuado para obtener instrucciones sobre cómo desempeñar el rol específico.

Rol de operador

Como operador, usted es responsable de gestionar las operaciones diarias del sistema.

El texto alrededor describe op_role.jpg.

Menú Key Groups (Grupos de claves)

El menú Key Groups (Grupos de claves) le permite:

  • Visualizar una lista de grupos de claves

  • Visualizar las asignaciones de agentes a grupos de claves

  • Visualizar las asignaciones de socios de transferencia a grupos de claves

El texto alrededor describe key_groups_menu_op.jpg.

Key Group List (Lista de grupos de claves)

La opción de menú Key Group List (Lista de grupos de claves) le permite gestionar el grupo de claves. Para conocer los procedimientos, consulte "Menú Key Group List (Lista de grupos de claves)".

Agent Assignment to Key Groups (Asignación de agentes a grupos de claves)

La opción de menú Agent Assignment to Key Groups (Asignación de agentes a grupos de claves) le permite visualizar los agentes asignados a los grupos de claves. Para conocer los procedimientos, consulte "Menú Agent Assignment to Key Groups (Asignación de agentes a grupos de claves)".

Transfer Partner Assignment to Key Groups (Asignación de socios de transferencia a grupos de claves)

La opción Transfer Partner Assignment to Key Groups (Asignación de socios de transferencia a grupos de claves) le visualizar un socio de transferencia asignados al conjunto de socios de transferencia de claves que pueden acceder a un grupo de claves específico. Para conocer los procedimientos, consulte "Menú Transfer Partner Assignment to Key Groups (Asignación de socios de transferencia a grupos de claves)".

Menú Agent List (Lista de agentes)

La opción de menú Agent List (Lista de agentes) le permite:

  • Visualizar agentes

  • Crear agentes

  • Visualizar/modificar un agente

  • Suprimir agentes existentes

El texto alrededor describe agent_list_menu.jpg.

Visualización de la lista de agentes

La opción de menú Agent List (Lista de agentes) le permite visualizar todos los agentes asociados con un grupo de claves específico.

Para visualizar esta pantalla:

  1. En el menú Agents (Agentes), seleccione Agent List (Lista de agentes). Se muestra la pantalla Agent List (Lista de agentes).

  2. Haga clic en la flecha hacia abajo junto al campo Key Group (Grupo de claves) y seleccione un grupo de claves. Se muestran los agentes asociados con el grupo de claves.

El texto alrededor describe agent_list_screen.jpg.

También puede desplazarse por las listas y filtrar las listas de agentes según cualquiera de las siguientes claves:

  • Agent ID (ID de agente)

  • Description (Descripción)

  • Site (Sitio)

  • Default Key Group (Grupo de claves predeterminado)

  • Enabled (Activado)

  • Failed Login Attempts (Intentos de inicio de sesión fallidos)

  • Enrolled (Inscrito)

  • One Time Passphrase (Frase de contraseña de un solo uso)

El botón Use (Usar) aplica el filtro a la lista mostrada para el agente.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Muestra los campos que puede usar para filtrar los resultados de las consultadas realizadas para el dispositivo de gestión de claves. Los posibles valores son:

  • Agent ID (ID de agente)

  • Description (Descripción)

  • Site (Sitio)

  • Default Key Group (Grupo de claves predeterminado)

  • Enabled (Activado)

  • Failed Login Attempts (Intentos de inicio de sesión fallidos)

  • Enrolled (Inscrito)

Cuadro de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que desee. Los posibles valores son:

  • Es igual a =

  • No es igual a <>

  • Es mayor que >

  • Es menor que <

  • Es mayor o igual que >=

  • Es menor o igual que <=

  • Empieza con ~

  • Vacío

  • No vacío

Cuadro de texto de valor de filtro:

Escriba un valor para filtrar el atributo seleccionado. Esta opción de filtro no se muestra para todos los atributos de filtro.

Cuadro combinado de valores de filtro:

Haga clic en la flecha hacia abajo y seleccione un valor para filtrar el atributo seleccionado. Esta opción de filtro no se muestra para todos los atributos de filtro.

Haga clic en el botón con el signo más para agregar filtros adicionales.

Haga clic en el botón con el signo menos para eliminar un filtro. Este botón aparece únicamente si se muestra más de un filtro.

Use (Usar):

Haga clic en este botón para aplicar los filtros seleccionados a la lista mostrada e ir a la primera página.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

El texto alrededor describe okm_first_page.jpg.

Haga clic en este botón para ir a la página anterior.

El texto alrededor describe okm_prev_page.jpg.

Haga clic en este botón para ir a la página siguiente.

El texto alrededor describe okm_next_page.jpg.

Results in Page (Resultados en la página):

Muestra el número de registros por página configurados en el campo Query Page Size (Tamaño de la página de consulta) del cuadro de dialogo Options (Opciones).

Agent ID (ID de agente)

Muestra el identificador único suministrado por el usuario que distingue los agentes.

Description (Descripción)

Describe el agente.

Site (Sitio)

Muestra un identificador único que indica el sitio al cual pertenece el agente.

Default Key Group (Grupo de claves predeterminado)

El grupo de claves asociado con todas las claves creadas por este agente, si el agente no especifica explícitamente un grupo de claves diferente.

Enabled (Activado)

Indica el estado del agente. Los valores posibles son True (Verdadero) o False (Falso). Si este campo es falso, el agente no puede establecer una sesión con el dispositivo de gestión de claves.

Failed Login Attempts (Intentos de inicio de sesión fallidos)

Muestra la cantidad de veces que falló un intento de inicio de sesión.

Enrolled (Inscrito)

Indica si el agente se inscribió correctamente con el cluster de OKM. Los valores posibles son True (Verdadero) o False (Falso). Este campo es falso si se trata del primer agente creado o si se cambia la frase de contraseña del agente.

Creación de un agente

Para crear un agente:

  1. En la pantalla Agents List (Lista de agentes), haga clic en el botón Create (Crear). Se muestra el cuadro de diálogo Create Agent (Crear agente), con la ficha General abierta.

    El texto alrededor describe agent_list_create_screen.jpg.

  2. Complete los siguientes parámetros:

    Agent ID (ID de agente)

    Escriba un valor que identifique de manera exclusiva el agente. Este valor puede tener entre 1 y 64 caracteres, inclusive.

    Description (Descripción)

    Escriba un valor que describa el agente. Este valor puede tener entre 1 y 64 caracteres, inclusive.

    Site ID (ID de sitio)

    Haga clic en la flecha hacia abajo y resalte el sitio al cual pertenece el agente. Este campo es opcional.

    Flags (Indicadores)

    Seleccione One Time Passphrase (Frase de contraseña de un solo uso) de modo que el agente no pueda recuperar el certificado X.509 sin restablecer la frase de contraseña y volver a inscribirse con el ID de agente y la nueva frase de contraseña. Este es el valor predeterminado.

    Si no selecciona One Time Passphrase (Frase de contraseña de un solo uso), el agente puede recuperar el certificado X.509 en cualquier momento, usar los servicios de certificados y autoridad de certificación, y autenticarse correctamente con el ID de agente y la frase de contraseña.

    Los agentes de unidad de cinta deben especificar el valor predeterminado. Para los agentes de tipo PKCS#11, esta configuración será más cómoda, especialmente en configuraciones de cluster donde los usuarios pueden autenticarse en el OKM desde varios nodos.

    Default Key Group ID (ID de grupo de claves predeterminado)

    Si también tiene privilegios de responsable del cumplimiento, haga clic en la flecha hacia abajo y resalte el grupo de claves predeterminado.

  3. Abra la ficha Passphrase (Frase de contraseña).

    El texto alrededor describe creating_an_agent2.jpg.

  4. Complete los siguientes parámetros:

    Passphrase (Frase de contraseña)

    Escriba la frase de contraseña para este usuario. El valor mínimo es 8 caracteres y el valor máximo es 64 caracteres. El valor predeterminado es 8.

    Requisitos de la frase de contraseña:

    • Una frase de contraseña no debe incluir el ID de agente del usuario.

    • Una frase de contraseña debe incluir tres de las cuatro clases de caracteres: caracteres en mayúsculas, caracteres en minúsculas, caracteres numéricos o caracteres especiales.

    • Se permiten los siguientes caracteres especiales:

      ~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?

    • No se permiten los caracteres de control, como tabuladores y saltos de línea.

    Nota:

    Para modificar el requisito de longitud mínima de las frases de contraseña, consulte "Modificación de los parámetros de seguridad".

    Confirm Passphrase (Confirmar frase de contraseña)

    Escriba el mismo valor que introdujo en el campo Enter Passphrase (Introducir frase de contraseña).

    A continuación, se muestra un ejemplo del cuadro de diálogo Create Agent (Crear agente) completo.

    El texto alrededor describe creating_an_agent3.jpg.

  5. Haga clic en el botón Save (Guardar). El registro del agente se agrega a la base de datos y se muestra en la pantalla Agent List (Lista de agentes).

  6. Complete el procedimiento de inscripción específico del agente mediante la interfaz específica del agente. Por ejemplo, para unidades StorageTek, se debe utilizar el panel de operador virtual (VOP) para completar el procedimiento de inscripción.

    El texto alrededor describe creating_an_agent4.jpg.

Visualización/modificación de un agente

Para modificar los detalles de un agente:

  1. En la pantalla Agents List (Lista de agentes), haga doble clic en la entrada de un agente para el cual desea ver más información o resalte la entrada de un agente y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo Agents Details (Detalles del agente).

    El texto alrededor describe agent_details_general_1.jpg.

  2. Abra la ficha General y modifique los siguientes campos, según sea necesario:

    • Description (Descripción)

    • Site ID (ID de sitio)

    • Flags (Indicadores)

      • Enabled (Activado): seleccione esta casilla de verificación si desea permitir que el agente se comunique con el cluster.

      • Enrolled (Inscrito): indica si el agente se inscribió correctamente con el cluster de OKM. Este campo es de sólo lectura.

      • One Time Passphrase (Frase de contraseña de un solo uso): seleccione esta casilla de verificación de modo que el agente no pueda recuperar el certificado X.509 sin restablecer la frase de contraseña y volver a inscribirse con el ID de agente y la nueva frase de contraseña. Este es el valor predeterminado.

    • Si no selecciona One Time Passphrase (Frase de contraseña de un solo uso), el agente puede recuperar el certificado X.509 en cualquier momento, usar los servicios de certificados y autoridad de certificación, y autenticarse correctamente con el ID de agente y la frase de contraseña.

    • Los agentes de unidad de cinta deben especificar el valor predeterminado. Para los agentes de tipo PKCS#11, esta configuración será más cómoda, especialmente en configuraciones de cluster donde los usuarios pueden autenticarse en el OKM desde varios nodos.

    • Default Key Group ID (ID de grupo de claves predeterminado): si también tiene privilegios de responsable del cumplimiento, haga clic en la flecha hacia abajo y resalte el grupo de claves predeterminado.

  3. Cuando haya terminado, haga clic en el botón Save (Guardar). Los cambios se realizan en la base de datos de OKM Manager y usted vuelve a la pantalla Agents List (Lista de agentes).

    Nota:

    Únicamente debe cambiar la frase de contraseña del agente si considera que se ha visto comprometida. Para conocer los procedimientos, consulte "Configuración de la frase de contraseña de un agente".

Configuración de la frase de contraseña de un agente

Cuando configura la frase de contraseña de un agente, revoca el certificado del agente que permite que el agente se autentique con el dispositivo de gestión de claves. Como operador, posiblemente desee configurar un certificado de frase de contraseña para un agente si considera que la frase de contraseña o el certificado del agente se vieron comprometidos.

Para configurar una frase de contraseña para un agente:

  1. En la pantalla Agents List (Lista de agentes), haga doble clic en la entrada de un agente cuya frase de contraseña desea configurar o resalte la entrada del agente y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo Agents Details (Detalles del agente). Abra la ficha Passphrase (Frase de contraseña).

    El texto alrededor describe agent_details.jpg.

  2. Modifique los siguientes campos y haga clic en el botón Save (Guardar):

    • Enter Passphrase (Introducir frase de contraseña)

    • Confirm Passphrase (Confirmar frase de contraseña)

  3. Los cambios se realizan en la base de datos y usted vuelve a la pantalla Agents List (Lista de agentes).

  4. Vuelva a inscribir el agente mediante el procedimiento específico del agente. Por ejemplo, para unidades StorageTek, se debe utilizar el panel de operador virtual (VOP) para volver a inscribir el agente con el cluster de OKM. Después de cambiar la frase de contraseña de un agente, el agente no podrá realizar solicitudes al cluster de OKM hasta que se vuelva a inscribir.

Supresión de agentes

Para suprimir un agente:

  1. En la pantalla Agents List (Lista de agentes), resalte el agente que desea suprimir. Se muestra el siguiente cuadro de diálogo, que le pedirá que confirme que desea suprimir el agente seleccionado.

    El texto alrededor describe aysdeleteagent.jpg.

  2. Haga clic en el botón Yes (Sí) para suprimir el agente. El agente se elimina de la base de datos y usted vuelve a la pantalla Agents List (Lista de agentes), donde ya no aparece el agente suprimido.

Menú Key Group Assignment to Agents (Asignación de grupos de claves a agentes)

La opción de menú Key Group Assignment to Agents (Asignación de grupos de claves a agentes) le permite visualizar grupos de claves asignados a agentes. Para conocer los procedimientos, consulte "Menú Key Group Assignment to Agents (Asignación de grupos de claves a agentes)".

El texto alrededor describe key_group_assgn_to_agents.jpg.

Menú Agent Performance List (Lista de rendimiento de agentes)

Esta opción de menú le permite consultar información sobre el rendimiento de los agentes.

Este panel muestra información de rendimiento sobre las solicitudes de creación de claves, recuperación de claves y encapsulado de claves emitidas por cada agente. Esta información incluye valores de frecuencia y de recuento, y tiempos de procesamiento. Las solicitudes de importación de claves no se incluyen en estos valores.

Nota:

Las unidades de cinta LTO de IBM y HP no emiten solicitudes de creación de claves. En cambio, emiten solicitudes de recuperación de claves.

Los valores de frecuencia representan la frecuencia con la que este agente emitió estas solicitudes dentro del período seleccionado. Son expresados como la frecuencia promedio de estas solicitudes extrapolada en la unidad de tiempo del intervalo de visualización de la frecuencia seleccionado (por ejemplo, número promedio extrapolado de solicitudes de creación de claves por día). Si configuró el intervalo de visualización de la frecuencia en "entire time period" (todo el período), este panel muestra el recuento de solicitudes emitidas por este agente dentro del período seleccionado.

Los tiempos de procesamiento representan el tiempo promedio en milisegundos que este agente tardó en procesar las solicitudes emitidas dentro del período seleccionado. Estos tiempos de procesamiento corresponden a la perspectiva del dispositivo de gestión de claves y describen la cantidad de tiempo necesario para procesar las solicitudes internamente. No incluyen los tiempos de transmisión por la red ni la cantidad de tiempo necesario para establecer una conexión SLL.

El cluster de OKM debe usar la versión de replicación 15 o una versión posterior antes de que los tiempos de procesamiento de solicitudes estén disponibles.

El texto alrededor describe agent_performance_menu.jpg.

Para consultar el rendimiento de un agente:

  1. En el menú Agents (Agentes), seleccione Agent Performance List (Lista de rendimiento de agentes).

    El texto alrededor describe agent_performance.jpg.

  2. Para visualizar más información sobre un agente, seleccione un agente y haga clic en el botón Details (Detalles), o haga doble clic en un agente. Se muestra el cuadro de diálogo Agents Performance Details (Detalles de rendimiento del agente).

    El texto alrededor describe agent_performance_details.jpg.

Menú Import Keys (Importar claves)

Esta opción de menú permite importar claves y unidades de datos en un cluster de OKM. La información de las unidades de datos y las claves se incluyen en un archivo de transferencia de claves recibido de un socio de transferencia de claves.

Nota:

Utilice esta pantalla para cargar e importar claves en el cluster de OKM. Estas claves se exportar desde otro cluster de OKM.

Para importar claves:

  1. En el menú Transfer Partners (Socios de transferencia), seleccione Import Keys (Importar claves). Se muestra la pantalla Import Keys (Importar claves).

    El texto alrededor describe import_keys_transpart.jpg.

  2. Complete los siguientes parámetros:

    Destination Key Group (Grupo de claves de destino):

    Seleccione el grupo de claves de destino donde se importarán estas claves.

    Debe estar seleccionado el indicador "Allow Imports" (Permitir importaciones) para la política de claves de este grupo de claves. Este grupo de claves debe ser un grupo de claves permitido para el socio de transferencia emisor seleccionado.

    Sending Transfer Partner (Socio de transferencia emisor):

    Seleccione el socio de transferencia emisor que exportó estas claves.

    Key Transfer File (Archivo de transferencia de claves):

    Escriba el nombre del archivo de transferencia de claves. También puede hacer clic en Browse (Examinar) para seleccionar una ruta de destino.

  3. Haga clic en el botón Start (Iniciar) para iniciar la carga y el proceso de importación de claves. Se muestran mensajes que indican cuando se carga y se aplica el archivo.

Unidades de datos

Las unidades de datos son dispositivos lógicos, como discos, cintas y objetos. Las unidades de datos están protegidas por políticas de claves válidas asociadas con grupos de claves. El agente debe tener acceso a la unidad de datos seleccionada.

Nota:

Un operador puede llevar a cabo todas las funciones, excepto modificar el grupo de claves de una unidad de datos. Únicamente un responsable del cumplimiento puede modificar el grupo de claves de una unidad de datos.

Menú Data Unit List (Lista de unidades de datos)

El menú Data Unit List (Lista de unidades de datos) le permite:

  • Visualizar unidades de datos

  • Visualizar/modificar detalles de las unidades de datos

  • Visualizar el historial de actividad para una unidad de datos

  • Destruir las claves posoperativas para una unidad de datos

  • Visualizar recuentos de claves

El texto alrededor describe data_unit_list_menu.jpg.

Visualización de unidades de datos

Para visualizar unidades de datos, en el menú Data Units (Unidades de datos), seleccione Data Unit List (Lista de unidades de datos). Se muestra la pantalla Data Unit List (Lista de unidades de datos).

El texto alrededor describe data_unit_list_keycnts.jpg.

También puede desplazarse por la base de datos y filtrar la lista de unidades de datos usuarios según cualquiera de las siguientes claves:

  • Data Unit ID (ID de unidad de datos)

  • External Unique ID (ID único externo)

  • Description (Descripción)

  • External Tag (Etiqueta externa)

  • Created Date (Fecha de creación)

  • Exported (Exportadas)

  • Imported (Importadas)

  • State (Estado)

El botón Use (Usar) aplica el filtro a la lista mostrada para la unidad de datos.

A continuación, se presentan los campos junto con sus descripciones:

Filter (Filtro):

Muestra los campos que puede usar para filtrar los resultados de las consultadas realizadas para el dispositivo de gestión de claves. Los posibles valores son:

  • Data Unit ID (ID de unidad de datos)

  • External Unique ID (ID único externo)

  • Description (Descripción)

  • External Tag (Etiqueta externa)

  • Created Date (Fecha de creación)

  • Imported (Importadas)

  • Exported (Exportadas)

  • State (Estado)

Cuadro de operadores de filtro:

Haga clic en la flecha hacia abajo y seleccione la operación de filtro que desee. Los posibles valores son:

  • Es igual a =

  • No es igual a <>

  • Es mayor que >

  • Es menor que <

  • Es mayor o igual que >=

  • Es menor o igual que <=

  • Empieza con ~

  • Vacío

  • No vacío

Show Data Units in Any Key Group. Use (Mostrar unidades de datos en cualquier grupo de claves. Usar):

Haga clic en este botón para aplicar el filtro a la lista mostrada.

Refresh (Actualizar):

Haga clic en este botón para actualizar la lista.

Reset (Restablecer):

Haga clic en este botón para eliminar todos los filtros y restablecer la lista mostrada a la primera página.

Haga clic en este botón para ir a la primera página de la lista.

El texto alrededor describe okm_first_page.jpg.

Haga clic en este botón para ir a la página anterior.

El texto alrededor describe okm_prev_page.jpg.

Haga clic en este botón para ir a la página siguiente.

El texto alrededor describe okm_next_page.jpg.

Results in Page: (Resultados en la página):

Muestra el número de registros por página configurados en el campo Query Page Size (Tamaño de la página de consulta) del cuadro de dialogo Options (Opciones).

Data Unit ID (ID de unidad de datos)

Muestra un identificador único generado por el sistema que distingue las unidades de datos.

External Unique ID (ID único externo)

Muestra un identificador único externo para la unidad de datos.

El agente envía este valor a OKM, que posiblemente no sea visible externamente para un usuario final. Para cintas LTO Gen 4 y Gen 5, es el número de serie del cartucho impreso en el cartucho en el momento de la fabricación. No debe confundir este valor con un número de serie de volumen en un código de barras óptico o una etiqueta de cinta ANSI. Este valor no se utiliza para unidades de cinta StorageTek.

Description (Descripción)

Describe la unidad de datos.

External Tag (Etiqueta externa)

Describe una etiqueta única externo para la unidad de datos.

Para cintas de la biblioteca de cintas StorageTek, o cintas con etiquetas del estándar ANSI, este campo es el número de serie de volumen. Si la cinta está en una biblioteca y tiene una etiqueta ANSI, el número de serie de volumen de la biblioteca (es decir, el código de barras óptico) se utiliza si difiere del número de serie de volumen de la etiqueta ANSI. Para las cintas escritas en unidades independientes sin etiquetas ANSI, este campo está en blanco.

Nota:

Para las unidades de datos escritas mediante unidades de cinta LTO Gen 4 y Gen 5, este campo se completa a la derecha con espacios en blanco para escribir 32 caracteres. Posiblemente sea más conveniente usar el operador de filtro "Empieza con ~" en lugar del operador de filtro "Es igual a =", de modo que no sea necesario agregar los espacios en blanco para completar la etiqueta externa. Por ejemplo, si utiliza el filtro "Comienza con", puede introducir: "External Tag" ~ "ABCDEF" (Etiqueta externa ~ ABCDEF) Si utiliza el filtro "Es igual a" para el mismo ejemplo, deberá introducir: "External Tag" = "ABCDEF" (Etiqueta externa = ABCDEF) (completado con 32 caracteres)

Created Date (Fecha de creación)

Indica la fecha y la hora de creación/registro de la unidad de datos.

Exported (Exportadas)

Indica si se exportaron las claves asociadas con esta unidad de datos.

Imported (Importadas)

Indica si se importaron las claves asociadas con esta unidad de datos.

State (Estado)

Indica el estado de la unidad de datos. Los posibles valores son:

  • No Key (Sin clave): se creó la unidad de datos pero aún no se crearon claves.

  • Readable (Legible): la unidad de datos tiene claves que permiten que al menos algunas partes puedan descifrarse (leerse).

  • Normal: la unidad de datos tiene claves que permiten que al menos algunas partes puedan descifrarse (leerse). Además, la unidad de datos tiene al menos una clave de estado de protección y procesamiento que puede utilizarse para cifrar los datos. Por lo tanto, se puede escribir en la unidad de datos.

  • Needs Re-key (Requiere nueva clave): la unidad de datos no tiene al menos una clave de estado de protección y procesamiento. No deben descifrarse datos ni escribirse datos en esta unidad de datos hasta que se le haya asignado una nueva clave activa. El agente tiene la responsabilidad de evitar usar para el cifrado una clave que no tiene el estado de protección y procesamiento. La unidad de datos puede tener claves con el estado de procesamiento únicamente, desactivadas o comprometidas. Se puede utilizar para el descifrado una clave con cualquiera de estos tres estados.

  • Shredded (Destrucción): todas las claves de esta unidad de datos están destruidas. La unidad de datos no es legible y no se puede escribir en ella. Sin embargo, se puede crear una nueva clave para esta unidad de datos y volver el estado a normal.

Visualización/modificación de detalles de una unidad de datos

Nota:

Si no es un operador, al visualizar la información detallada de una unidad de datos, todos los campos están desactivados, incluido el botón Save (Guardar). Si es un responsable del cumplimiento, el campo Key Group (Grupos de claves) está activado. En la ficha Key List (Lista de claves), el botón Compromise (Comprometer) está activado si usted es un responsable del cumplimiento; de lo contrario, está desactivado.

Para modificar la información de una unidad de datos:

  1. En la pantalla Data Unit List (Lista de unidades de datos), seleccione la unidad de datos que desea modificar y haga clic en el botón Details (Detalles). Se muestra el cuadro de diálogo Data Unit Details (Detalles de la unidad de datos).

    El texto alrededor describe data_unit_details.jpg.

  2. Puede modificar los siguientes parámetros:

    Description (Descripción)

    Escriba un nuevo valor. La información original es proporcionada por el controlador de cifrado del software durante el registro. Este valor puede tener entre 1 y 64 caracteres, inclusive, o estar en blanco.

    Importante: Si el campo Description (Descripción) contiene la cadena "PKCS#11v2.20", esto representa una clave especial utilizada por el cifrado de datos transparente (TDE) de Oracle Database. No cambie este campo. De lo contrario, puede alterarse la forma en que OKM interactúa con TDE.

    External Tag (Etiqueta externa)

    Escriba un identificador único externo para la unidad de datos. Este valor puede tener entre 1 y 64 caracteres, inclusive, o estar en blanco. Este campo, por lo general, contiene la etiqueta o el código de barras del cartucho de cinta.

  3. Haga clic en el botón Save (Guardar) para guardar los cambios.

Los siguientes campos no pueden editarse:

Ficha General

Data Unit ID (ID de unidad de datos)

External Unique ID (ID único externo)

Created Date (Fecha de creación)

State (Estado)

Indicadores Imported (Importada)/Exported (Exportada)

Ficha Key List (Lista de claves)

El texto alrededor describe data_unit_key_list_revoked.jpg.

Data Unit ID (ID de unidad de datos)

Identifica de manera exclusiva la unidad de datos.

Data Unit Description (Descripción de la unidad de datos)

Describe la unidad de datos.

Key ID (ID de clave)

Muestra la información de la clave para la unidad de datos.

Key Type (Tipo de clave)

Indica el tipo de algoritmo de cifrado utilizado por esta clave. El único valor posible es AES-256.

Created Date (Fecha de creación)

Muestra la fecha y la hora de creación de la clave.

Activation Date (Fecha de activación)

Muestra la fecha y la hora de activación de la clave. Corresponde a la fecha y la hora en que la clave se entregó por primera vez al agente. Es la fecha y la hora de inicio del período de cifrado y el período criptográfico de la clave.

Destroyed Date (Fecha de destrucción)

Muestra la fecha de destrucción de la clave. Si el campo está en blanco, la clave no está destruida.

Destruction Comment (Comentario de destrucción)

Muestra información suministrada por el usuario sobre la destrucción de la clave. Si el campo está en blanco, la clave no está destruida.

Exported (Exportada)

Indica si se exportó la unidad de datos.

Imported (Importada)

Indica si se importó la unidad de datos.

Derived (Derivada)

Indica si la clave fue derivada de una clave maestra generada por el proveedor de claves maestras. Consulte la Guía de integración de OKM-ICSF para obtener información detallada.

Revoked (Revocada)

Indica si las claves asociadas con la unidad de datos fueron revocadas por un agente. Consulte "Visualización/modificación de una política de claves".

Si el dispositivo de gestión de claves al cual está conectada la GUI de OKM ejecuta OKM 2.5.2 o posterior, pero el cluster de OKM utiliza actualmente la versión de Replication 13 o anterior, este atributo se muestra como "(Unknown)" (Desconocido).

Key Group (Grupo de claves)

Muestra el grupo de claves asociado con la unidad de datos.

Encryption End Date (Fecha de finalización de cifrado)

Muestra la fecha y la hora en que la clave ya no se utilizará o en que se detuvo el uso de la clave para cifrar los datos.

Deactivation Date (Fecha de desactivación)

Muestra la fecha y la hora de desactivación de la clave.

Compromised Date (Fecha de compromiso)

Muestra la fecha de compromiso de la clave. Si el campo está en blanco, la clave no está comprometida.

Compromised Comment (Comentario de compromiso)

Muestra información suministrada por el usuario sobre el compromiso de la clave. Si el campo está en blanco, la clave no está comprometida.

Key State (Estado de la clave)

Indica el estado de la clave de la unidad de datos. Los posibles valores son:

Generated (Generada)

La clave se creó en un dispositivo de gestión de claves en un cluster de OKM. Permanece generada hasta que se haya replicado en, al menos, otro dispositivo de gestión de claves en un cluster de OKM múltiple. En un cluster con un solo dispositivo de gestión de claves, la clave permanece generada hasta que se haya grabado en, al menos, una copia de seguridad.

Ready (Lista)

La clave fue protegida contra pérdida mediante la replicación o una copia de seguridad. Una clave lista está disponible para asignación.

Protect and Process (Protección y procesamiento)

Se asignó la clave cuando un agente de cifrado solicitó la creación de una nueva clave. Una clave en este estado se puede utilizar para el cifrado y para el descifrado.

Process Only (Procesamiento únicamente)

Se asignó la clave pero caducó el período de cifrado. Una clave en este estado se puede utilizar para el descifrado, pero no para el cifrado.

Deactivated (Desactivada)

La clave pasó el período criptográfico pero posiblemente aún se necesite para procesar (descifrar) información.

Compromised (Comprometida)

Una entidad no autoridad liberó o detectó la clave. Una clave en este estado se puede utilizar para el descifrado, pero no para el cifrado.

Incompletely Destroyed (Destruida parcialmente)

Se destruyó la clave pero aún aparece en, al menos, una copia de seguridad.

Completely Destroyed (Destruida completamente)

Se destruyeron todas las copias de seguridad donde aparece la clave.

Compromised and Incompletely Destroyed (Comprometida y destruida parcialmente)

La clave comprometida aún aparece en, al menos, una copia de seguridad.

Compromised and Completely Destroyed (Comprometida y destruida completamente)

Se destruyeron todas las copias de seguridad donde aparece la clave comprometida.

Recovery Activated (Activada por recuperación)

Indica si la clave se relacionó con una unidad de datos mediante una acción de recuperación. Esta condición ocurre cuando un dispositivo de gestión de claves en un cluster de OKM utiliza una clave para una unidad de datos y, luego, debido a un error, otro dispositivo de gestión de claves diferente solicita la clave para la unidad de datos. Si el error (por ejemplo, una interrupción de la red) impidió que se propague al segundo dispositivo de gestión de claves la asignación de la clave a los datos, el segundo dispositivo de gestión de claves crea la conexión a la unidad de datos. Esta clave está "activada por recuperación" y un administrador puede evaluar el sistema para detectar interrupciones de red o dispositivos de gestión de claves. Los valores posibles son True (Verdadero) y False (Falso).

Detalles de claves de unidades de datos

En la pantalla Data Unit Details (Detalles de la unidad de datos), seleccione la clave para la cual desea visualizar detalles y haga clic en el botón Details (Detalles). Aparece la siguiente pantalla.

El texto alrededor describe dataunit_keydets_inuse.jpg.

In Use By Data Unit (En uso por unidad de datos)

Si la versión de Replication es, al menos, la 14, el operador puede cambiar la casilla de verificación In Use By Data Unit (En uso por unidad de datos) que indica la relación entre esta clave y la unidad de datos asociada. La selección de esta casilla de verificación puede ser de utilidad cuando una política de claves utilizada por agentes de unidad de cinta se actualiza involuntariamente para activar el atributo Allow Agents To Revoke Keys (Permitir que los agentes revoquen las claves). Consulte "Visualización de políticas de claves" para obtener una descripción de este atributo.

Ficha Backups with Destroyed Keys List (Lista de copias de seguridad con claves destruidas)

El texto alrededor describe dataunit_dets_bkup_destrky.jpg.

Una unidad de datos no puede considerarse "destruida completamente" hasta que se hayan destruido todas las copias de seguridad que contienen las claves de unidades de datos.

La ficha Backups with Destroyed Keys List (Lista de copias de seguridad con claves destruidas) del cuadro de diálogo Data Unit Details (Detalles de la unidad de datos) ayuda a identificar las copias de seguridad que contienen claves de unidades de datos para la unidad de datos seleccionada y el estado de destrucción de esas copias de seguridad.

La lógica para determinar si una copia de seguridad contiene una clave de unidad de datos determinada es la siguiente:

Una copia de seguridad contiene una clave de unidad de datos si la copia de seguridad fue creada después de crear la clave de unidad de datos y esta última no se destruyó o se destruyó después de crear la copia de seguridad.

Sin embargo, la comparación de fecha y hora debe tener en cuenta que los relojes de los diversos dispositivos de gestión de claves de un cluster posiblemente no se sincronicen automáticamente (si no se especifica un servidor NTP) y, por lo tanto, informen horas distintas. Para compensar la posibilidad de que existan discrepancias de hora entre los dispositivos de gestión de claves, se utiliza un intervalo de tiempo de copia de seguridad en la comparación. El intervalo de tiempo de copia de seguridad se fija en cinco minutos. Con el intervalo de tiempo de copia de seguridad, la comprobación de la comparación se realiza de la siguiente manera:

Una copia de seguridad contiene una clave de unidad de datos si esta última se creó en un transcurso de cinco minutos desde la creación de la copia de seguridad o más tarde, y la clave de unidad de datos se destruyó en un transcurso de cinco minutos desde la creación de la copia de seguridad o más tarde.

El intervalo de tiempo de copia de seguridad se utiliza para minimizar la probabilidad de que se informe falsamente que no existe una unidad de datos en una copia de seguridad determinada. Esto se conoce como "falso negativo" y afecta seriamente los requisitos de cumplimiento para la destrucción de datos. Sin embargo, la utilización del intervalo de tiempo de copia de seguridad aumenta la probabilidad de informar falsamente que una clave de unidad de datos pertenece a una copia de seguridad. A diferencia de los "falsos negativos", los "falsos positivos" no afectan los requisitos de cumplimiento para la destrucción de datos.

Data Unit ID (ID de unidad de datos)

Identifica de manera exclusiva la unidad de datos.

Data Unit Description (Descripción de la unidad de datos)

Describe la unidad de datos.

Data Unit Destruction Status (Estado de destrucción de la unidad de datos)

Indica el estado de destrucción de la unidad de datos.

Backup ID (ID de copia de seguridad)

Identifica la copia de seguridad.

Created Date (Fecha de creación)

Muestra la fecha y la hora de creación del archivo de copia de seguridad (es decir, cuándo se inició la copia de seguridad).

Destroyed Date (Fecha de destrucción)

Muestra la fecha y la hora de destrucción del archivo de copia de seguridad.

Pending (Pendiente):

Indica si la copia de seguridad aún está pendiente. Los valores posibles son True (Verdadero) o False (Falso).

Completed Date (Fecha de finalización):

Muestra la fecha y la hora de finalización del archivo de copia de seguridad.

Downloaded Date (Fecha de descarga):

Muestra la fecha y la hora de descarga del archivo de copia de seguridad.

  1. Haga clic en el botón Save (Guardar) para guardar los cambios.

Destrucción de claves posoperativas

Para destruir las claves posoperativas asociadas con una unidad de datos:

  1. En la pantalla Data Unit List (Lista de unidades de datos), seleccione la unidad de datos que desea destruir y haga clic en el botón Destroy Keys (Destruir claves).

  2. Se muestra el siguiente cuadro de diálogo, que le pedirá que especifique las claves que desea destruir.

    El texto alrededor describe destroy_post_op_keys.jpg.

    Deactivated Keys (Claves desactivadas)

    Seleccione esta casilla de verificación si desea destruir las claves que pasaron el período criptográfico pero posiblemente aún se necesiten para procesar (descifrar) información de datos.

    Compromised keys(Claves comprometidas)

    Seleccione esta casilla de verificación si desea destruir las claves liberadas o detectadas por una entidad no autorizada.

    Escriba un comentario sobre la destrucción de estas claves.

    Destruction Comment (Comentario de destrucción)

  3. Si hace clic en el botón Destroy (Destruir), se muestra otro cuadro de diálogo para confirmar la destrucción estas claves.

  4. Haga clic en el botón Yes (Sí). Aparece otro cuadro de diálogo que muestra el número de claves que se destruyeron.

Visualización de recuentos de claves

Puede enumerar las unidades de datos que tienen claves asociadas y el número de claves asociadas con cada unidad de datos. Para visualizar recuentos de claves:

  1. En la pantalla Data Unit List (Lista de unidades de datos), haga clic en el botón Key Counts (Recuentos de claves).

  2. Se muestra el siguiente cuadro de diálogo.

    El texto alrededor describe data_unit_keycnts_dets.jpg.

Menú Software Upgrade (Actualización de software)

La opción de menú Software Upgrade (Actualización de software) permite que el operador lleve a cabo la primera fase del proceso de actualización de software:

  • Carga de un archivo de actualización de software en el dispositivo de gestión de claves

  • Aplicación inmediata de la actualización

    Nota:

    El responsable de la seguridad debe llevar a cabo la segunda fase del proceso (activación de una versión de software). Consulte "Software Upgrade (Actualización de software)" para obtener información detallada.

Las actualizaciones de software son firmadas por Oracle y verificadas por el dispositivo de gestión de claves antes de ser aplicadas.

El texto alrededor describe software_upgrd_men_top_lvl.jpg.

Directrices para implementar actualizaciones de software

  • Antes de ejecutar esta función, realice una copia de seguridad del sistema. Para conocer los procedimientos, consulte "Creación de una copia de seguridad".

  • Use una versión de la GUI de OKM Manager que coincida con la versión de actualización que desea cargar en los dispositivos de gestión de claves.

  • Los dispositivos de gestión de claves que ejecutan KMS 2.1 o versiones anteriores deben actualizarse a KMS 2.2 antes de poder actualizarse a OKM 2.3 y versiones posteriores.

  • El proceso de carga y aplicación puede ser largo si OKM Manager está conectado al dispositivo de gestión de claves de forma remota o si la conexión entre OKM Manager y el dispositivo de gestión de claves es lenta. Para mitigar este problema, el archivo de actualización de software se puede descargar a un equipo portátil o una estación de trabajo que tengan instalado OKM Manager, y el equipo portátil y la estación de trabajo deben estar conectados a la misma subred que el dispositivo de gestión de claves. La presencia de un enrutador entre OKM Manager y el dispositivo de gestión de claves puede ralentizar el proceso de actualización.

  • Con una buena conexión entre OKM Manager y el dispositivo de gestión de claves, los procesos de carga y aplicación tardan óptimamente alrededor de 30 minutos. El proceso de activación tarda óptimamente alrededor de 5 a 15 minutos. Si el proceso de carga es muy lento, intente conectarse a la misma subred que el dispositivo de gestión de claves.

  • Cargue y aplique el archivo de actualización de software en cada dispositivo de gestión de claves, de a uno por vez (para ayudar a distribuir la carga de red) y, luego, active la actualización de software en cada dispositivo de gestión de claves, de a uno por vez (para minimizar el número de dispositivos de gestión de claves desconectados simultáneamente).

  • Si falla alguno de los procesos de actualización (carga, verificación, aplicación, activación, cambio de versión de replicación), OKM Manager genera mensajes de auditoría que describen el motivo del error y una solución sugerida.

  • La cuenta de asistencia técnica está desactivada en los dispositivos de gestión de claves actualizados y las cuentas deben volver a activarse, si es necesario.

Carga y aplicación de actualizaciones de software

La primera fase del proceso de actualización de software es cargar y aplicar el archivo de actualización de software.

  1. Descargue el archivo de actualización de software en su PC o estación de trabajo desde la ubicación de entrega. La versión puede verse en el nombre del archivo.

    Nota:

    Guarde el archivo en una ubicación a la cual pueda navegar desde la GUI de OKM Manager.

  2. En el menú Local Configuration (Configuración local), seleccione Software Upgrade (Actualización de software). Se muestra la pantalla Software Upgrade (Actualización de software).

    La versión de software activa está resaltada, la columna Active (Activa) está configurada en True (Verdadero) y se muestra una versión inactiva.

    El texto alrededor describe software_upgrade_op.jpg.

    Los botones que aparecen en esta pantalla incluyen:

    Activate (Activar)

    El responsable de la seguridad puede seleccionar una versión de software inactiva y hacer clic en este botón para activar la versión de software seleccionada. Se muestran mensajes que indican que la versión de software está activada y se reinicia el dispositivo de gestión de claves.

    Switch Replication Version (Cambiar versión de Replication)

    El responsable de la seguridad puede seleccionar una versión de software activa y hacer clic en este botón para cambiar la versión de replicación actual.

    Software Upgrade File Name (Nombre del archivo de actualización de software)

    Escriba el nombre del archivo de actualización de software.

    Browse (Examinar)

    Haga clic en este botón para buscar el archivo de actualización de software en el sistema local.

    Upload and Apply (Cargar y aplicar)

    Haga clic en este botón para comenzar el proceso de carga y aplicación. Se muestran mensajes que indican cuando se carga y se aplica el archivo de actualización de software.

  3. En el campo Software Upgrade File Name (Nombre del archivo de actualización de software), escriba el nombre del archivo de actualización de software. También puede seleccionar el botón Browse (Examinar) para buscar el archivo. Haga clic en el botón Upload and Apply (Cargar y aplicar).

    OKM inicia el proceso de carga, verificación y aplicación, y muestra un indicador de progreso que muestra el paso actual del proceso.

    Nota:

    Dado que el proceso de carga agrega tráfico a la red, no es recomendable que cargue dispositivos de gestión de claves simultáneamente en un cluster ocupado.

Activación de una versión de software

La segunda fase del proceso de actualización de software es la activación de la versión de software inactiva que cargó y aplicó. El responsable de la seguridad debe implementar esto; consulte "Software Upgrade (Actualización de software)" para obtener información detallada.

Otras funciones

Un operador también puede acceder a los siguientes menús: