VSM 7 prend en charge une fonction de cryptage des données au repos sur les tiroirs de disques de stockage. Le ZFS Solaris 11.3 procède au cryptage réel quand la fonction est activée. Le ZFS Solaris est certifié FIPS 140-2.
Le technicien active la fonction de cryptage en exécutant un utilitaire à partir d'un shell de commande sur le noeud 1 du système VSM 7. L'utilitaire ne peut être exécuté que si l'application VSM 7 est arrêtée.
Pour une nouvelle installation sans données client, il ne faut que quelques minutes pour activer ou désactiver le cryptage.
Pour une installation VSM 7 existante qui contient déjà des données client, la fonction de cryptage ne peut être activée que si l’utilisation actuelle des baies de tiroirs de disques de stockage est inférieure à 90 % de la capacité physique totale.
La conversion des données existantes (non cryptées à cryptées ou inversement) prend environ 105 minutes par To de données physiques.
Une fois le cryptage des données VTV au repos activé, le fait que les données soient cryptées avant d'être écrites sur le disque et décryptées au moment de la lecture est transparent pour le reste du système. Les performances de débit sont réduites de moins de 5 %.
Quand la fonction de cryptage est activée, la clé d'autorisation de cryptage est stockée dans un emplacement fixe sur les unités de disque rpool du serveur mis en miroir et une copie de sauvegarde est créée sur un périphérique de stockage USB. Le périphérique de stockage USB doit être disponible quand cette fonction est activée.
Un seul périphérique de stockage USB doit être connecté au port USB du noeud 1 de VSM 7 quand la clé d'autorisation de cryptage est créée. Si plusieurs périphériques de stockage USB sont détectés, la création de la clé échouera.
Si la clé d'autorisation de cryptage est perdue à partir des disques rpool du serveur mis en miroir, un script est fourni pour restaurer la clé à partir du périphérique de stockage USB utilisé pour sa sauvegarde lors de sa création ou de sa modification.
L'application VSM 7 ne parviendra pas à démarrer si les systèmes de fichiers de données client ne peuvent pas être montés en raison de l'absence de la clé d'autorisation de cryptage.
L'algorithme de cryptage utilisé pris en charge par ZFS est AES-256-CCM. La clé d'autorisation est un fichier 256 bits, généré par le programme de l'utilitaire pktool(1), appelé par l'utilitaire de la fonction de cryptage.
Les mises à niveau de capacité vers un VSM 7 activé par cryptage augmente la taille de stockage des baies de tiroirs de disques, en tenant à jour le paramètre de cryptage qui existe au moment de la mise à niveau.
Les mises à niveau logicielles vers VSM 7 préservent la ou les clé(s) d'autorisation de cryptage stockée(s) sur les unités de disque rpool du serveur mis en miroir.
La CLI VSM 7 indique si la fonction de cryptage est activée et permet au technicien de modifier la clé d'autorisation de cryptage. La modification de la clé n'invalide pas l'accès aux données VTV stockées avant la modification. La modification de la clé rend simplement obsolète la clé d'autorisation de cryptage précédente et génère une nouvelle clé qui est requise pour valider l'accès aux systèmes de fichiers VTV cryptés. La modification de la clé, comme au moment de sa création, requiert qu'un seul périphérique de stockage USB soit détecté comme emplacement de sauvegarde pour une clé stockée sur les unités de disque rpool des serveurs mis en miroir.
La clé d'autorisation de cryptage est stockée sur les unités de disque rpool mises en miroir sur les deux serveurs. La clé sera stockée dans le répertoire /lib/svc/method/application/vsm/.vsm_keystore. Le format du nom de fichier de la clé sera _yyymmddhhmmssnnn.key. Les générations de clé précédentes seront tenues à jour dans le même répertoire. Chaque fois qu'une clé est créée, ou modifiée, toutes les générations de clés de ce répertoire sont sauvegardées sur le périphérique de stockage USB.