VSM 7 ofrece una función de cifrado de datos inactivos en las unidades de contenedores de discos de almacenamiento. Solaris 11.3 ZFS realiza el cifrado en sí cuando la función está activada. Solaris ZFS tiene certificación FIPS 140-2.
El representante de servicio activa la función de cifrado mediante la ejecución de una utilidad desde un shell de comandos en el nodo 1 del sistema VSM 7. La utilidad de la función se puede ejecutar solo si la aplicación de VSM 7 está cerrada.
En el caso de instalaciones nuevas en las que no haya datos del cliente, se necesitan solo unos minutos para activar o desactivar el cifrado.
En el caso de instalaciones existentes de VSM 7 en las que ya haya datos del cliente, la función de cifrado se puede activar solo si la utilización actual de las matrices de contenedores de discos de almacenamiento es inferior al 90 % de la capacidad física total.
La conversión de los datos existentes (ya sea de datos no cifrados a datos cifrados o viceversa) tarda aproximadamente 105 minutos por TB de datos físicos.
Después de haber activado el cifrado de datos inactivos de VTV, el hecho de que los datos se cifran antes de escribirlos en el disco y se descifran a medida que se leen es mayormente transparente para el resto del sistema. El rendimiento se reduce en menos del 5 %.
Cuando la función de cifrado está activada, la clave de autorización de cifrado se almacena en una ubicación fija en las unidades de disco duro rpool del servidor reflejado y se crea una copia de seguridad en un dispositivo de almacenamiento USB. El dispositivo de almacenamiento USB debe estar disponible al activar esta función.
Debe haber conectado solo un dispositivo de almacenamiento USB en un puerto USB del nodo 1 de VSM 7 cuando se crea la clave de autorización de cifrado. Si se detectan varios dispositivos de almacenamiento USB, se genera un error al crear la clave.
Si se pierde la clave de autorización de cifrado almacenada en los discos rpool del servidor espejado, se proporciona una secuencia de comandos para restaurarla desde el dispositivo de almacenamiento USB usado para hacer la copia de seguridad de la clave cuando se creó o se modificó.
La aplicación VSM 7 no se inicia si no se pueden montar los sistemas de archivos de datos del cliente debido a la ausencia de la clave de autorización de cifrado.
El algoritmo de cifrado compatible con ZFS que se usa es AES-256-CCM. La clave de autorización es un archivo de 256 bits generado por el programa utilitario pktool(1), que es invocado por la utilidad de la función de cifrado.
Las actualizaciones de capacidad que se hagan en un VSM 7 con la función de cifrado activada simplemente aumentarán el tamaño del almacenamiento de las matrices de contenedores de discos de almacenamiento, y no se modificará la configuración de cifrado existente en el momento de la actualización.
Las actualizaciones de software que se hagan en el VSM 7 conservarán las claves de autorización de cifrado almacenadas en las unidades de disco duro rpool del servidor espejado.
La CLI de VSM 7 indicará si la función de cifrado está activada y permite al representante de servicio modificar la clave de autorización de cifrado. La modificación de la clave no invalida el acceso a ninguno de los datos de VTV almacenados antes del cambio. La modificación de la clave simplemente deja obsoleta la clave de autorización de cifrado anterior y genera una clave nueva que se necesita para validar el acceso a los sistemas de archivos de VTV cifrados. Para modificar la clave, al igual que para crearla, se debe detectar un único dispositivo de almacenamiento USB, que actúa como ubicación de copia de seguridad de la clave almacenada en las unidades de disco duro rpool de los servidores espejados.
La clave de autorización de cifrado se almacena en las unidades de disco duro rpool espejadas en ambos servidores. La clave se encuentra en el directorio /lib/svc/method/application/vsm/.vsm_keystore. El formato del nombre de archivo de la clave es _yyymmddhhmmssnnn.key. Las generaciones de claves anteriores se conservan en el mismo directorio. Cuando se crea una clave, o cuando se modifica, se hace una copia de seguridad en el dispositivo de almacenamiento USB de todas las generaciones de las claves de este directorio.