Go to main content
Guía de administración de Oracle® ZFS Storage Appliance, versión OS8.7.0

Salir de la Vista de impresión

Actualización: Marzo de 2017
 
 

Gestión de claves de cifrado

El dispositivo incluye un almacén de claves LOCAL integrado y la capacidad de conectarlo con el sistema Oracle Key Manager (OKM). Cada proyecto o recurso compartido cifrado requiere una clave de ajuste del almacén de claves LOCAL o de OKM. Las claves de cifrado de datos se gestionan mediante el dispositivo de almacenamiento y se almacenan cifradas de forma persistente mediante la clave de ajuste desde el almacén de claves LOCAL u OKM.

OKM es un sistema de gestión de claves (KMS) integral que aborda la necesidad creciente de cifrado de datos basado en almacenamiento que tienen las empresas. Desarrollada para cumplir con los estándares abiertos, esta función proporciona la capacidad, escalabilidad e interoperabilidad para gestionar centralmente las claves de cifrado en infraestructuras de almacenamiento ampliamente distribuidas y heterogéneas.

OKM aborda los desafíos únicos de la gestión de claves de almacenamiento, entre los que se incluyen los siguientes:

  • Retención de claves a largo plazo: OKM garantiza que los datos archivados estén siempre disponibles y retiene de manera segura las claves de cifrado durante todo el ciclo de vida de los datos.

  • Interoperabilidad: OKM proporciona la interoperabilidad necesaria para admitir una amplia variedad de dispositivos de almacenamiento conectados a plataformas de sistemas abiertos o mainframe en un único servicio de gestión de claves de almacenamiento.

  • Alta disponibilidad: con agrupación en clusters de N nodos activa, el equilibro de carga dinámico y el failover automatizado, OKM proporciona alta disponibilidad, sin importar si los dispositivos están juntos o distribuidos por todo el mundo.

  • Alta capacidad: OKM gestiona una gran cantidad de dispositivos de almacenamiento y una cantidad aún mayor de claves de almacenamiento. Un único dispositivo en cluster puede proporcionar servicios de gestión de claves para miles de dispositivos de almacenamiento y millones de claves de almacenamiento.

  • Configuración de clave flexible: por cluster de OKM, las claves se pueden generar de forma automática o individualmente para un almacén de claves LOCAL o de OKM. Los administradores de seguridad son responsables de proporcionar los nombres de clave que, al combinarse con el almacén de claves, asocian una clave de ajuste con un proyecto o recurso compartido.


Notas -  Si el dispositivo está en un cluster, no se debe usar la configuración de "frase de contraseña de un solo uso" para la creación de un agente de servidor de OKM. De lo contrario, el registro en el otro nodo de cluster fallará, y las claves no estarán disponibles en el failover.

Mantenimiento de claves

Los recursos compartidos y los proyectos que usan claves OKM en estado desactivado permanecen accesibles. Para evitar que se use una clave OKM, el administrador de OKM debe suprimir explícitamente la clave.

Para garantizar que pueda accederse a los recursos compartidos y los proyectos cifrados, realice una copia de seguridad de las configuraciones y de los valores de claves del almacén de claves LOCAL del dispositivo. Si una clave se vuelve inaccesible, los proyectos o los recursos compartidos que usan esa clave se vuelven inaccesibles. Si la clave del proyecto no está disponible, no se pueden crear nuevos recursos compartidos en el proyecto.

Las claves se pueden volver no disponibles de las siguientes maneras:

  • Se suprimen las claves.

  • Se revierte la versión a una que no admite cifrado.

  • Se revierte la versión a una que no tiene configuradas las claves.

  • Restablecimiento de configuración por defecto

  • El servidor OKM no está disponible.

Descripción de los valores de claves de cifrado

En la siguiente tabla, se muestran los valores de claves de cifrado de la CLI y la BUI con sus respectivas descripciones. Además, se indica si el tipo de cifrado funciona con la anulación de duplicación.

Tabla 138  Valores de claves de cifrado
Valor de la BUI
Valor de la CLI
Descripción
Desactivado
desactivado
El proyecto o recurso compartido no está cifrado.
AES-128-CCM
aes-128-ccm
Cifrado que menor impacto tiene en la CPU. Se puede anular la duplicación.
AES-192-CCM
aes-192-ccm
Se puede anular la duplicación.
AES-256-CCM
aes-256-ccm
Se puede anular la duplicación.
AES-128-GCM
aes-128-gcm
Conforme a recomendación de NIST SP800-38D. No se puede anular la duplicación.
AES-192-GCM
aes-192-gcm
Conforme a recomendación de NIST SP800-38D. No se puede anular la duplicación.
AES-256-GCM
aes-256-gcm
Cifrado que mayor impacto tiene en la CPU. Conforme a recomendación de NIST SP800-38D. No se puede anular la duplicación.