静态数据保护

当受管设备凭据等敏感数据存储在装置中的磁盘上时,HPE OneView 将加密这些数据。在内部使用 HPE OneView 装置加密密钥 (AEK) 加密受管设备(如 iLO、Onboard Administrator、框体链路模块)的凭据。默认情况下,AEK 存储在 HPE Synergy Composer 磁盘上,还被包括在装置备份中。这样在磁盘被盗时可能会产生安全风险。

启用静态数据保护选项后,它将 AEK 脱离磁盘存储在 Composer NVRAM 中,并且装置备份中不包括该密钥。启用此选项要求管理员保存 AEK(恢复 AEK)的副本以用于以下情况:
  • 还原在有其他 AEK 生效时获取的备份时。

  • 要在密钥的系统副本损坏的罕见情况下成功地引导系统。

  • 正在将备份还原到不同的新 Composer 或已出厂重置的同一 Composer。

管理员必须将恢复 AEK 存储在安全位置,其中只有经过授权的人员可访问该密钥。在无法从 Composer NVRAM 读取该密钥或该密钥损坏的罕见情况下,根据所显示的错误解决消息,管理员必须使用装置维护控制台上载 AEK 恢复副本。在 Composer NVRAM 自身变得不可访问的罕见情况下,用户可选择禁用静态数据保护选项,直至解决硬件问题自身为止。

如果所下载的恢复密钥和存储在 Composer NVRAM 中的 AEK 均丢失,则无法恢复装置数据。

重要信息:

在启用静态数据保护选项之前,可将恢复密钥存储在安全位置并在恢复操作需要它时令其可用是一个必要的前提条件。如果已丢失密钥,请重新生成新 AEK

注意:
  • 默认情况下禁用静态数据保护选项。
  • 禁用静态数据保护选项后,将显示一条警告通知,指示装置处于较低的安全模式。
  • 出厂重置 Composer 将禁用静态数据保护,并将 AEK 存储在 Composer 磁盘上。
  • 确保在每次启用或禁用静态数据保护时或重新生成或应用新 AEK 时进行备份。
  • 禁用静态数据保护后,AEK 作为装置备份的一部分进行存储。在这种情况下,备份过程加密 HPE OneView 备份至关重要。例如,远程备份服务器可能采用全盘加密或其他备份服务器所特有的加密方法。