静态数据保护

当管理的装置凭据等敏感数据存储在设备中的磁盘上时,HPE OneView 将加密这些数据。在内部使用 HPE OneView 设备加密密钥 (AEK) 加密管理的装置(如 iLO、Onboard Administrator、框体链路模块)的凭据。默认情况下,AEK 存储在 HPE Synergy Composer 磁盘上,还被包括在设备备份中。这样在磁盘被盗时可能会产生安全风险。

启用静态数据保护选项后,它将 AEK 脱离磁盘存储在 Composer NVRAM 中,并且设备备份中不包括该密钥。启用此选项要求管理员保存 AEK(恢复 AEK)的副本以用于以下情况:
  • 恢复在有其它 AEK 生效时获取的备份时。

  • 要在密钥的系统副本损坏的罕见情况下成功地引导系统。

  • 正在将备份恢复到不同的新 Composer 或已出厂重置的同一 Composer。

管理员必须将恢复 AEK 存储在安全位置,其中只有经过授权的人员可访问该密钥。在无法从 Composer NVRAM 读取该密钥或该密钥损坏的罕见情况下,根据所显示的错误解决消息,管理员必须使用设备维护控制台上载 AEK 恢复副本。在 Composer NVRAM 自身变得不可访问的罕见情况下,用户可选择禁用静态数据保护选项,直至解决硬件问题自身为止。

如果所下载的恢复密钥和存储在 Composer NVRAM 中的 AEK 均丢失,则无法恢复设备数据。

重要信息:

在启用静态数据保护选项之前,可将恢复密钥存储在安全位置并在恢复操作需要它时令其可用是一个必要的前提条件。如果丢失密钥,请重新生成新的 AEK重新生成新的 AEK

注意:
  • 默认情况下,将禁用静态数据保护选项。
  • 禁用静态数据保护选项后,将显示一条警告通知,指示设备处于较低的安全模式。
  • 出厂重置 Composer 将禁用静态数据保护,并将 AEK 存储在 Composer 磁盘上。
  • 确保在每次启用或禁用静态数据保护时或重新生成或应用新 AEK 时进行备份。
  • 禁用静态数据保护后,AEK 作为设备备份的一部分进行存储。在这种情况下,备份过程加密 HPE OneView 备份至关重要。例如,远程备份服务器可能采用全盘加密或其它备份服务器所特有的加密方法。

更多信息

联机帮助中的“生成新的设备加密密钥”。