HPE-StoreEver-MSL2024磁带库用户指南(17)

数据中心方案,数据中心规划,企业级存储,存储产品,企业基础架构,存储架构

有关使用 Encryption Kit 的信息，请参阅“HPE StoreEver 1/8 G2 磁带自动装载机和 MSL 磁带库Encryption Kit” （第 14 页）。

使用基于 KMIP 的密钥服务器

磁带库支持与使用密钥管理互操作性协议 (KMIP) 标准的加密密钥管理服务器相集成。KMIP 是一个行业标准协议，用于密钥管理服务器和加密系统之间的通信。KMIP 规范由 OASIS 标准机构（结构化信息标准促进组织）的 KMIP 技术委员会制定。

通过 KMIP 功能，磁带设备可从符合 KMIP 标准的选定密钥管理器中获取加密密钥。这些密钥可用于在数据写入磁带时对数据进行加密。出于故障转移的目的，最多可配置六个密钥服务器。

有关配置 KMIP 功能的说明，请参阅《HPE StoreEver MSL 磁带库加密密钥服务器配置指南》（可通过企业信息库获取，网址为/info/storage/docs）。

密钥管理器

要使用 KMIP 功能，磁带库必须可以访问 KMIP 密钥管理器。仅当 KMIP 与 BURA Data Agile 兼容性矩阵（网址为/info/ebs）中所列的受支持密钥管理器结合使用时，Hewlett Packard Enterprise 才对 KMIP 提供支持。

操作

已启用并正确配置 KMIP 功能后，将使用由 KMIP 密钥管理器提供的密钥自动加密磁带数据。将按每个磁带一个密钥的标准对磁带进行加密。

写入和附加操作：磁带机将在写入数据时请求密钥。充当中介的磁带库可以请求密钥管理器来创建密钥。然后磁带库将获取该密钥，并将其传送至磁带机。密钥将用与介质标识符相关联的名称进行标识。一旦加密操作完成，密钥将不再保留在磁带机中。

读取操作：磁带机将请求密钥。充当中介的磁带库可以获取密钥标识符、从密钥管理器请求该密钥，并将其传送至磁带机。一旦解密操作完成，密钥将不再保留在磁带机中。

许可

KMIP 功能要求先安装 StoreEver MSL2024/4048/8096 KMIP 许可证，然后才能启用和配置该功能。

使用应用程序管理的加密

默认情况下硬件加密是关闭的，可以通过备份应用程序中的设置打开，您也可以在其中生成并提供加密密钥。您的备份应用程序必须支持硬件加密以保证此功能正常工作。有关当前适用备份软件的列表，请参阅 BURA Data Agile 兼容性矩阵，网址为/info/ebs。

注意：磁带库只能从一个来源获取加密密钥。使用 Encryption Kit 可以防止应用程序管理的加密。

加密主要用于在介质脱机时保护介质，并防止其他机器访问它。只要是使用最初加密介质的机器和应用程序访问介质，您就可以读取和附加已加密的介质，而不会提示您输入密钥。

以下是您需要知道密钥的两种主要情况：

•如果您尝试将介质导入其他计算机或备份应用程序的其他实例

•如果您在对系统进行灾难恢复

注意：使用直接从密码生成的密钥进行加密可能没有使用完全随机的密钥加密安全。您的应用程序应该说明可用的选项和方法。有关详细信息，请参考应用程序的用户文档。

如果要求提供密钥时您无法提供，您和 Hewlett Packard Enterprise 支持人员都将无法访问加密数据。

LTO-4 和更高代次磁带机和加密17