Wiedza Jak używać klienta KMIP do bezpiecznego zarządzania kluczami?

Produkty, których dotyczy dokumentacja​

• KMIP Client
• QuTS hero h5.3.0 lub nowsze wersje

Informacje o KMIP Client​

KMIP Client umożliwia urządzeniu NAS bezpieczne przechowywanie i pobieranie kluczy szyfrowania dla funkcji magazynowania danych poprzez połączenie ze zdalnym serwerem KMIP (Key Management Interoperability Protocol). Działając jako agent, KMIP Client zarządza komunikacją między funkcjami magazynowania danych na urządzeniu NAS, takimi jak zaszyfrowane foldery udostępnione i zaszyfrowane jednostki LUN, a podłączonym serwerem KMIP.

KMIP Client obsługuje połączenie jeden do jednego, umożliwiając każdemu urządzeniu NAS połączenie z jednym serwerem KMIP jednocześnie. Po skonfigurowaniu zapewnia scentralizowane, bezpieczne i zgodne z wymogami zarządzanie kluczami szyfrowania dla funkcji magazynowania danych, gwarantując integralność i dostępność zaszyfrowanych danych.

Funkcje KMIP Client​

• Zdalne przechowywanie kluczy szyfrowania na serwerze KMIP i zarządzanie nimi, co minimalizuje ryzyko nieuprawnionego dostępu lub utraty kluczy na poziomie urządzenia NAS.
• Automatyczne pobieranie i stosowanie kluczy szyfrowania dla zaszyfrowanych folderów udostępnionych i jednostek LUN, co poprawia bezpieczeństwo i wygodę użytkowania.
• Integracja z systemem zarządzania kluczami (KMS) w celu spełnienia korporacyjnych standardów bezpieczeństwa i zgodności dotyczących szyfrowania magazynowania danych.
• Zachowanie dostępu do zaszyfrowanych jednostek LUN i folderów udostępnionych nawet po ponownym uruchomieniu systemu, pod warunkiem że KMIP Client i serwer pozostają aktywne.

---

Instalowanie i konfigurowanie KMIP Client​

Zainstaluj KMIP Client, aby włączyć usługi zarządzania kluczami szyfrowania, a następnie skonfiguruj go w celu nawiązania bezpiecznej komunikacji ze zdalnym serwerem KMIP.

Spoiler: Wymagania wstępne

• Zaloguj się do urządzenia NAS jako administrator.
• Sprawdź, czy urządzenie NAS działa pod kontrolą systemu QuTS hero h5.3.0 lub nowszego.
• Upewnij się, że zgodny z KMIP system zarządzania kluczami (KMS) jest prawidłowo skonfigurowany i gotowy do połączenia z urządzeniem NAS.
• Skonfiguruj system KMS zgodnie z instrukcjami dostawcy i upewnij się, że komunikacja KMIP jest włączona na odpowiednim porcie – zazwyczaj 5696, o ile dostawca systemu KMS nie określi inaczej. Port ten służy do komunikacji z wzajemnym uwierzytelnianiem TLS (mTLS) między KMIP Client a serwerem KMIP.
• Utwórz lub zaimportuj niezbędne certyfikaty do serwera KMIP.

Spoiler: Instalowanie KMIP Client

• Zaloguj się do urządzenia NAS jako administrator.
• Otwórz App Center.
• Znajdź aplikację, wyszukując KMIP Client w polu wyszukiwania.
• Kliknij KMIP Client.
• Wybierz częstotliwość aktualizacji aplikacji.
• Kliknij Zainstaluj.
  App Center zainstaluje KMIP Client na urządzeniu.

Spoiler: Dostęp do KMIP Client

Dostęp do ustawień KMIP Client można uzyskać za pomocą następujących opcji:

• Panel sterowania > System Bezpieczeństwo > KMIP
• Otwórz aplikację KMIP Client, która przekieruje Cię do strony ustawień KMIP w Panelu sterowania.

---

Zarządzanie certyfikatami KMIP Client​

Możesz zarządzać certyfikatem klienta KMIP, aby zapewnić bezpieczną, uwierzytelnioną komunikację między urządzeniem NAS a zdalnym serwerem KMIP. Certyfikaty są wymagane do weryfikacji tożsamości obu urządzeń oraz szyfrowania danych przesyłanych przez sieć. W tym celu możesz wygenerować nowy certyfikat na urządzeniu NAS lub zaimportować istniejący certyfikat z urządzenia lokalnego. Ponadto możesz wyświetlać szczegóły certyfikatu, takie jak status, data wygaśnięcia i urząd wystawiający, a także wykonywać takie czynności jak zastępowanie, pobieranie i usuwanie certyfikatów, aby zapewnić bezpieczne i nieprzerwane połączenia klienta KMIP.

Spoiler: Generowanie nowego certyfikatu KMIP Client

1. Otwórz KMIP Client.
   KMIP Client przekieruje Cię do strony KMIP w Panelu sterowania.
2. Kliknij Dodaj w sekcji Certyfikat KMIP Client.
   Pojawi się okno Dodaj certyfikat KMIP Client.
   
   
3. Wybierz Generuj nowy certyfikat.
4. Kliknij Dodaj.
   System wygeneruje nowy certyfikat KMIP.

Spoiler: Importowanie certyfikatu niestandardowego

1. Otwórz KMIP Client.
   KMIP Client przekieruje Cię do strony KMIP w Panelu sterowania.
2. Kliknij Dodaj w sekcji Certyfikat KMIP Client.
   Pojawi się okno Dodaj certyfikat KMIP Client.
3. Wybierz Importuj certyfikat.
   
   
4. W sekcji zarządzania certyfikatami kliknij Przeglądaj obok każdego pola:
   • Certyfikat: Wybierz plik certyfikatu .pem.
   • Klucz prywatny: Wybierz odpowiadający mu plik klucza prywatnego .key.
   • Certyfikat pośredni (opcjonalnie): Jeśli dotyczy, wybierz pośredni plik certyfikatu .pem.
5. W każdym przypadku odszukaj odpowiedni plik w oknie dialogowym wyboru pliku i kliknij Otwórz lub równoważną opcję, aby potwierdzić wybór.
6. Kliknij Dodaj.
   System zaimportuje i doda certyfikat KMIP.

Spoiler: Zarządzanie certyfikatami

1. Otwórz KMIP Client.
   KMIP Client przekieruje Cię do strony KMIP w Panelu sterowania.
2. Możesz wykonać dowolne z poniższych zadań.
   
   
   
   
   

   Zadanie	Opis	Czynność
   Wyświetlanie statusu certyfikatu	Sprawdź bieżący status i datę wygaśnięcia zainstalowanego certyfikatu.	W sekcji Certyfikat KMIP Client wyświetl status i datę wygaśnięcia.
   Zastąpienie certyfikatu	Prześlij nowy certyfikat, aby zaktualizować istniejący.	W sekcji Certyfikat KMIP Client kliknij Zastąp. Pojawi się okno Zastąp certyfikat KMIP Client. Wybierz Generuj certyfikat lub Importuj certyfikat. Szczegółowe informacje na temat importowania certyfikatu klienta KMIP można znaleźć w sekcji „Importowanie certyfikatu niestandardowego". Kliknij Zastąp.
   Pobieranie certyfikatu	Zapisz kopię bieżącego certyfikatu na urządzeniu.	W sekcji Certyfikat KMIP Client kliknij Pobierz. Wybierz jeden lub więcej plików do pobrania. Kliknij Pobierz.
   Usunięcie certyfikatu	Usuń zainstalowany certyfikat z systemu.	W sekcji Certyfikat KMIP Client kliknij Usuń. Pojawi się okno potwierdzenia usunięcia. Kliknij Tak.

   
   KMIP Client wykona wskazaną czynność.

---

Konfigurowanie połączeń z serwerem KMIP i zarządzanie nimi​

Aby zapewnić bezpieczną komunikację między urządzeniem NAS a zdalnym serwerem KMIP, możesz konfigurować ustawienia połączenia klienta KMIP i zarządzać nimi. Umożliwia to systemowi bezpieczną obsługę kluczy szyfrowania za pomocą protokołu KMIP. Proces konfiguracji obejmuje włączanie lub wyłączanie KMIP Client, a także konfigurowanie, edytowanie i testowanie połączenia między urządzeniem NAS a serwerem KMIP. Ponadto w razie potrzeby możesz wyczyścić ustawienia połączenia z serwerem KMIP, aby zapewnić aktualność ustawień zabezpieczeń.
Ważne

• Nie można zapisać połączenia, jeśli serwer jest offline, nieosiągalny lub nie uruchomiono na nim usługi KMIP. Sprawdź adres serwera, port (domyślnie: 5696) i upewnij się, że usługi KMIP są włączone.
• Zarówno urządzenie NAS, jak i serwer KMIP muszą mieć zainstalowane ważne, niewygasłe certyfikaty. Połączenie nie powiedzie się, jeśli certyfikat klienta lub serwera jest brakujący, nieprawidłowy lub wygasły.
• Uwierzytelnianie nie powiedzie się, jeśli certyfikat klienta lub ustawienia serwera są nieprawidłowo skonfigurowane. Przed podjęciem próby połączenia sprawdź dane uwierzytelniające klienta, przypisania certyfikatów i ustawienia uwierzytelniania na obu urządzeniach.

Spoiler: Konfigurowanie ustawień połączenia z serwerem KMIP

1. Otwórz KMIP Client.
   KMIP Client przekierowuje Cię do strony KMIP w Panelu sterowania.
2. Kliknij Kreator konfiguracji.
   Pojawi się okno Ustawienia połączenia z serwerem KMIP.
   
   
3. Wprowadź nazwę hosta lub adres IP serwera KMIP.
4. Określ numer portu dla połączeń z serwerem KMIP z użyciem wzajemnego TLS. Domyślny port to 5696.
5. Wprowadź identyfikowalną etykietę serwera KMIP o długości od 0 do 50 znaków.
6. Wybierz zaufany certyfikat CA, aby uwierzytelnić tożsamość serwera KMIP podczas połączenia.
   
   uwaga
   Jest to konieczne, jeśli serwer używa certyfikatu z podpisem własnym, który nie został wystawiony przez zaufany urząd certyfikacji.
   
7. Kliknij Połącz.
   Pojawi się okno Zaufaj certyfikatowi serwera KMIP.
8. uwaga
   Aby ponownie skonfigurować ustawienia połączenia z serwerem KMIP, kliknij Edytuj w sekcji serwera KMIP.
   
9. Przejrzyj szczegóły certyfikatu, a następnie kliknij Zaufaj.

Spoiler: Włączanie lub wyłączanie usługi KMIP Client

1. Otwórz KMIP Client.
   KMIP Client przekierowuje Cię do strony KMIP w Panelu sterowania.
2. Kliknij pole wyboru obok Włącz KMIP Client.
   System włącza lub wyłącza usługę KMIP Client.

Spoiler: Testowanie łączności z serwerem KMIP

1. Otwórz KMIP Client.
   KMIP Client przekierowuje Cię do strony KMIP w Panelu sterowania.
2. Kliknij Testuj połączenie w sekcji serwera KMIP.
   System inicjuje test połączenia między klientem a serwerem KMIP i aktualizuje pole Ostatnie połączenie o najnowszy wynik.

Spoiler: Resetowanie ustawień połączenia z serwerem KMIP

WażneZresetowanie ustawień połączenia z serwerem KMIP uniemożliwi urządzeniu dostęp do kluczy szyfrowania uprzednio przechowywanych na skonfigurowanym serwerze KMIP. Przed kontynuowaniem upewnij się, że wszystkie wymagane klucze są bezpiecznie zarchiwizowane lub zmigrowane.

1. Otwórz KMIP Client.
   KMIP Client przekierowuje Cię do strony KMIP w Panelu sterowania.
2. Kliknij Resetuj w sekcji serwera KMIP.
   Zostanie wyświetlony komunikat z prośbą o potwierdzenie.
3. Kliknij Potwierdź.
   System resetuje ustawienia połączenia z serwerem KMIP.

---

Przypadki użycia KMIP Client z Menedżerem pamięci masowej​

• Przechowywanie zaszyfrowanych kluczy dla jednostek LUN i folderów udostępnionych
  • Na stronie Ustawienia globalne w Menedżerze pamięci masowej włącz opcję Przechowuj klucz szyfrowania na serwerze KMIP, aby przechowywać klucze szyfrowania na serwerze KMIP. Wymaga to aktywnego połączenia KMIP Client. Po włączeniu zaszyfrowane foldery udostępnione i jednostki LUN mogą przechowywać i pobierać klucze szyfrowania za pośrednictwem KMIP Client oraz być automatycznie odblokowywane podczas uruchamiania systemu za pomocą usługi KMIP. Aby uzyskać szczegółowe informacje, zapoznaj się z tematem „Globalne ustawienia pamięci masowej" w rozdziale Menedżer pamięci masowej w Podręczniku użytkownika QuTS hero.
    
    
• Automatyczne usuwanie przechowywanego klucza szyfrowania KMIP podczas usuwania zaszyfrowanej jednostki LUN lub folderu udostępnionego
  • Jeśli ustawienie Przechowuj klucz szyfrowania na serwerze KMIP jest włączone, po usunięciu zaszyfrowanego folderu udostępnionego skojarzony klucz szyfrowania zostanie usunięty z serwera KMIP.
• Automatyczne odblokowywanie zaszyfrowanej jednostki LUN lub folderu udostępnionego podczas uruchamiania systemu
  • Podczas tworzenia nowej zaszyfrowanej jednostki LUN lub folderu udostępnionego można wybrać opcję odblokowania przy uruchomieniu za pomocą KMIP. Jeśli połączenie z serwerem KMIP jest niedostępne, opcja Odblokuj przy użyciu klucza szyfrowania przechowywanego na serwerze KMIP będzie wyłączona. Aby uzyskać szczegółowe informacje, zapoznaj się z tematem „Zarządzanie szyfrowaniem jednostek LUN" lub „Zarządzanie szyfrowaniem folderów udostępnionych" w rozdziale Menedżer pamięci masowej w Podręczniku użytkownika QuTS hero.
    
    

Ważne

• KMIP Client musi być włączony w Panel sterowania > Bezpieczeństwo, a ustawienie globalne musi być aktywowane w Menedżerze pamięci masowej, aby te funkcje działały.
• Upewnij się, że połączenie między KMIP Client a serwerem KMIP jest stabilne, aby korzystać z funkcji takich jak przechowywanie kluczy, odblokowywanie i zarządzanie szyfrowaniem.
• Nie można wyłączyć KMIP Client, gdy jakiekolwiek funkcje aplikacji aktywnie korzystają z usług KMIP.
• Ustawienia połączenia z serwerem KMIP można wyczyścić dopiero po wyłączeniu KMIP Client. Po wyczyszczeniu skojarzone rekordy kluczy szyfrowania na urządzeniu NAS stają się bezużyteczne.
• Po wyczyszczeniu ustawień połączenia z serwerem KMIP żadne zaszyfrowane foldery udostępnione, które wcześniej przechowywały swoje klucze szyfrowania na serwerze KMIP, nie będą mogły pobierać tych kluczy — nawet jeśli KMIP Client zostanie później ponownie włączony i połączony z tym samym serwerem KMIP.

---

Dodatkowe materiały​

Podręcznik użytkownika QuTS hero h5.3.0