蓄積データの保護

詳細情報

HPE OneViewは管理対象デバイスの認証情報などの機密データをアプライアンスのディスクに保存するときに暗号化します。HPE OneViewアプライアンス暗号化キー(AEK)は、管理対象デバイス(iLO、Onboard Administrator、フレームリンクモジュールなど)の認証情報を暗号化するために内部的に使用されます。デフォルトでは、AEKはHPE Synergyコンポーザーディスクに格納され、アプライアンスバックアップにも含まれます。これは、ディスクが盗難にあった場合にセキュリティリスクを引き起こす可能性があります。

蓄積データの保護オプションを有効にすると、AEKはディスク外のコンポーザーNVRAMに格納され、アプライアンスバックアップにキーを含めません。このオプションを有効にする場合、管理者は次の状況で使用するためにAEK(リカバリAEK)のコピーを保存する必要があります。
  • 別のAEKが有効なときに取得したバックアップをリストアするとき。

  • 万一、キーのシステムコピーが破損した場合にシステムを正常に起動するとき。

  • 別の新しいコンポーザー、または工場出荷時設定にリセットされた同じコンポーザーに、バックアップがリストアされているとき。

管理者は、許可された担当者のみがアクセスできる安全な場所にリカバリAEKを格納する必要があります。万一キーをコンポーザーNVRAMから読み取ることができない場合やキーが破損した場合、管理者は表示されたエラー解決メッセージに基づき、アプライアンスMaintenance Consoleを使用してAEKリカバリコピーをアップロードする必要があります。万一コンポーザーNVRAM自体にアクセスできない場合、ハードウェアの問題自体が解決されるまで、蓄積データの保護オプションを無効にすることができます。

ダウンロードしたリカバリキーとコンポーザーNVRAMに格納されているAEKの両方とも失われた場合、アプライアンスのデータはリカバリできません。

重要:

蓄積データの保護オプションを有効にする前に、リカバリキーを安全な場所に保管し、リカバリ操作で必要なときには使用できるようにしておく必要があります。キーを紛失した場合は、新しいAEKを再生成 新しいAEKを再生成してください。

注記:
  • デフォルトでは、蓄積データの保護オプションは無効です。
  • 蓄積データの保護オプションが無効な場合、アプライアンスが低いセキュリティモードにあることを示す警告アラートが表示されます。
  • コンポーザーを工場出荷時設定にリセットすると、蓄積データの保護が無効になり、AEKがコンポーザーディスクに格納されます。
  • 蓄積データの保護を有効または無効にするたびに、または新しいAEKを再生成または適用するときは、バックアップを作成してください。
  • 蓄積データの保護が無効になっているときは、AEKがアプライアンスバックアップの一部として保管されます。この場合、バックアッププロセスでHPE OneViewバックアップを暗号化することが重要です。例えば、リモートバックアップサーバーでは、全ディスクの暗号化またはバックアップサーバー特有の他の暗号化技術を採用できます。

詳細情報

HPE OneViewヘルプHPE Synergy用"新しいアプライアンス暗号化キーの生成"