Инструкция по эксплуатации Dell PowerVault ML6000

Страница 33

Advertising
background image

Настройте копию Encryption Key Manager на резервной площадке с использованием
тех же данных, что и в локальном приложении Encryption Key Manager (файл
конфигурации, таблица ленточных накопителей, XML-файл групп ключей и
хранилище ключей). Этот диспетчер ключей, таким образом, сможет брать на себя
управление и считывать и записывать зашифрованные данные на магнитных
лентах вместо одного из существующих производственных диспетчеров ключей.

v

Создайте резервную копию трех файлов данных Encryption Key Manager, которые
при необходимости можно будет использовать для восстановления.

Создание текущей копии четырех объектов данных, необходимых для работы
Encryption Key Manager (файл конфигурации, таблица ленточных накопителей,
XML-файл групп ключей и хранилище ключей), позволит в любое время запустить
резервный диспетчер в системе восстановления после сбоев. (Следует помнить, что
нельзя использовать Encryption Key Manager для шифрования копий этих файлов,
так как без работающего диспетчера ключей расшифровать их не удастся.) Если на
резервной площадке используются ленточные накопители, отличные от
размещенных в основном вычислительном центре, то файл конфигурации и
таблица ленточных накопителей должны содержать правильные данные для
резервной площадки.

Замечания об общемдоступе к зашифрованнымлентамза
пределами организации

Примечание: Важно убедиться в действительности любого сертификата, полученного

от бизнес-партнера, проверив цепочку доверия такого сертификата
вплоть до центра сертификации (Certificate Authority, CA), который
изначально выдал его. Если вы доверяете центру сертификации, то
можно доверять такому сертификату. Действительность сертификата
также может быть подтверждена, если он надежно охранялся при
перемещении. Если ни один из этих способов не позволяет подтвердить
действительность сертификата, это повышает вероятность атак типа
“man-in-the-middle”.

Общий доступ к лентамLTO 4 и LTO 5

Чтобы обеспечить общий доступ к зашифрованным данным на лентах LTO 4 или
LTO 5, необходимо предоставить другой организации копию симметричного ключа, с
помощью которого зашифрованы данные на ленте. Это позволит этой организации
считать данные с ленты. Чтобы передать симметричный ключ, другая организация
должна предоставить вам свой открытый ключ. Этот открытый ключ будет
использоваться для свертывания симметричного ключа при его экспорте из
хранилища ключей Encryption Key Manager с помощью средства keytool (см. раздел
“Экспорт ключей шифрования данных с помощью команды keytool -exportseckey ” на
стр. 3-14).
Когда другая организация импортирует симметричный ключ в свое
хранилище ключей Encryption Key Manager, он будет развернут с помощью
соответствующего секретного ключа (см. раздел “Импорт ключей шифрования
данных с помощью команды keytool -importseckey ” на стр. 3-14).
Это гарантирует,
что симметричный ключ остается защищенным при перемещении, поскольку
расшифровать его может только владелец секретного ключа. Имея симметричный
ключ, использовавшийся для шифрования данных, в своем хранилище ключей
Encryption Key Manager, другая организация сможет читать данные на ленте.

Глава 2. Планирование среды Encryption Key Manager

2-11

Advertising