Устройства шифрования
В данной главе будут рассмотрены следующие устройства шифрования данных:
◆ “Устройство шифрования Decru DataFort FC-Series ”
◆ “Устройство шифрования Neoscale CryptoStore ”
В данном разделе будут даны рекомендации по настройке и построению топологий при помощи устройств шифрования Decru DataFort FC-Series и Neoscale Crypto. Конечно, рекомендуется прочесть руководство пользователя для настройки данных устройств. Данный раздел описывает решения, основанные на локальных оптических сетях Fibre Channel, использующих блочную передачу данных (к примеру, CLARiiON и Symmetrix). Устройства шифрования работают на основе адресов SCSI FCP (WWN, PID, LUN, LBA). Поэтому, любые изменения адресов WWN, перенастройки LUN ID, или передача данных между партициями требует вмешательства администратора, для регенерации ключей шифрования. Управление ключами шифрования на Decru, осуществляется через сервер управления ключами. Для получения информации об управлении ключами (к примеру, копирование, восстановление, перенос), обратитесь на сайт вендора.
Передача данных в зашифрованном виде требует сохранения консистентности. Приложения должны подтверждать передачу данных через устройства шифрования, перед началом передачи больших объемов данных. К примеру, копирование раздела дисковой подсистемы для создания бэкапа БД, может потребовать размонтирование раздела и завершение работы приложений, использующих для работы данные с радела.

Механизм шифрования данных на диске
Алгоритмы шифрования Advanced Encryption Standard (AES) или Data Encryption Standard (DES) ограниченны размерами Open System Logical Block Address (LBA), которые состоят из блоков 512 байт. Decru и Neoscale не добавляют метаданных в зашифрованный блок, таким образом блоки транслируются один к одному, т.к. блоки равного размера.
Каждый вендор использует свой алгоритм шифрования блоков в 512 байт и применяет свои ключи шифрования, с целью обеспечения сохранности зашифрованных данных. Алгоритм улучшает распределение блоков на диске, базируясь на структуре LBA. В результате, хост имеет возможность произвольно обращаться к данным через LBA, используя устройство шифрования для получения расшифрованных данных с диска.

Воздействие приложений на зашифрованные данные
Устройство шифрования дисков предоставляет правила хранения данных на диске. Данные правила влияют на адресацию SCSI, такие, как I-T-L (Initiator-Target-LUN Nexus). Зашифрованные блоки данные не содержат, какую либо информацию о данных правилах (метаданные), поэтому ключ должен соответствующим образом ассоциироваться с зашифрованными данными, без учета карт I-T-L. Приложения, работающие с данными (такие, как Snapview, Mirrorview, Clone и SRDF), позволяют переносить данные и осуществлять синхронную запись данных на несколько носителей. Данные приложения гарантируют передачу данных блоками, при осуществлении копирования либо переноса данных. Зашифрованные блоки данных могут быть перенесены на другой раздел, который использует другую карту адресов I-T-L. Для доступа к перенесенным данным, нужно задать соответствие с ключами шифрования, использовавшихся при работе с оригиналом. Для переноса зашифрованных данных должны быть соблюдены следующие правила:
◆ Зашифрованные данные должны быть перенесены блоками.
◆ Зашифрованные данные должны быть перенесены в те же области LBA, как и у оригинала.

Взаимодействие онлайн шифрования данных и онлайн шифрования с перегенерацией ключей на приложения, работающими с данными
Рассмотрим следующие сценарии взаимодействия зашифрованных дисков с приложениями по работе с данными:
◆ На зашифрованном диске данные конвертированы их обычного текста в зашифрованный текст.
◆ Зашифрованные данные были замещены другими данными с другим ключом.
В обоих случаях работа должна производиться с зашифрованными данными. Как результат, целостность данных может пострадать в результате снятия моментальной копии с диска либо переноса данных. Дополнительную информации по работе с зашифрованными данными можно получить на сайте EMC Powerlink. Решения по реализации различных схем построения сетей SAN, использующих шифрование, описаны в данной главе.

Устройство шифрования Decru DataFort FC-Series
Данный раздел содержит информацию по настройкам и построении топологий сетей SAN, с использованием устройств шифрования, которые установлены пред массивами хранения данных. Подробная информация по настройке устройств шифрования находится в руководстве пользователя. Данные в данном разделе рекомендации относятся к сетям Fibre Channel и дисковым системам хранения данных (блочная передача данных), таких как CLARiiON и Symmetrix. Оба устройства шифрования Decru шифруют данные, основываясь на FCP (SCSI over Fibre Channel) адресации (WWN, PID, LUN, LBA).
Смена адреса WWN на сервере, перестроение карты LUN ID, либо перемещение данных с одной партиции на другую, требует перераспределения ключей на устройстве шифрования. Данные процедуры описаны в документации к устройству.
Перемещение данных в зашифрованном виде, требует сохранения консистентности данных. Поэтому, все операции записи данных на диск должны быть завершены перед перемещением данных. Другими словами, перед перемещением данных, лучше сделать бэкап базы данных, размонтированной файловой системы.
Управлением ключами шифрования Decru, занимается Lifetime Key Management Server.
В данном разделе будут рассмотрены следующие темы:
◆ “Виртуализация Decru ”
◆ “Построение карт доступов Decru для зашифрованного хранилища ”
◆ “Хранилище Decru Cryptainers ”
Также будут рассмотрены следующие поддерживаемые конфигурации:
◆ “Decru DataFort FC-52x – Диск ”
◆ “Decru DataFort FC-52x – Лента ”

Виртуализация Decru
Устройство шифрования Decru DataFort, работает, как промежуточное FC звено, между сервером и дисковыми массивами, либо ленточными накопителями. Все порты DataFort FC-520, FC-525, и FC-1020 могут работать в режимах N_Port и NL_Port. Все порты автоматически определяют скорость передачи данных 1 Gb/s или 2 Gb/s. Если Decru настроен, как промежуточный узел в сети FC, то порты работают в режиме N_Port (в терминологии Decru, это режим Single-ID mode). В этом режиме Decru, может только эмулировать один узел, между портами хоста и дисковым массивом.

 

Рисунок 1 Режим Single-ID mode (виртуализация отключена)

В случае, если Decru DataFort настроен, как промежуточный узел в сети FC, то он производит эмуляцию для множества узлов сети FC, в таком режиме порты работают в режиме NL_Port (в терминологии Decru, это режим Multi-ID mode). При работе в режиме multi-ID mode, Decru DataFort представляет собой несколько узлов петли, которые эмулируют виртуальные узлы. Если порт дискового массива виртуализирован, DataFort буде представлять хосту виртуальное устройство. Если же порт хоста, либо порт адаптера HBA виртуализирован, DataFort будет предоставлять дисковому массиву виртуальное устройство.
 
Рисунок 2 Режим Multi-ID mode (виртуализация включена)

Виртуализация в Decru всегда использует режим портов NL_Port, для обеспечения виртуализации хоста, либо массива. Для совершения виртуализации, DataFort эмулирует private loop на каждом порте. FC коммутатор должен поддерживать возможность транслировать адреса сэмулированных устройств в Arbitrated Loop, и в адреса оптической сети. Обычно для данной операции, коммутатор использует режим FL_Port.
Для прямого подключения Decru DataFort к хосту, дисковому массиву, либо ленточному накопителю, порты Decru должны быть выставлены в режим NL_Port. Также порт адаптера HBA, массива, или ленточного накопителя, должен быть выставлен в режим L_Port. Подробности по настройке виртуализации, описаны в главе "DataFort Setting and Status" книги Decru Fibre Channel Series Administration Guide.

Построение карт доступов Decru для зашифрованного хранилища
Концепция виртуализации и эмуляции дискового массива, заключается в том, чтобы создать карты переадресации адресов WWN дискового массива, на адреса WWN, виртуального массива DataFort (в терминологии Decru, это Port-Mapping). Port-mapping обеспечивает сохранение нумерации LUN массива, в виртуальном массиве DataFort.
Эта функция особенно актуальна для программ управления массивами и multipathing софта. Для ленточных библиотек эта функция тоже актуальна, т.к. большинство бэкап софта использует привязку к нумерации LUN.
DataFort может переадресовывать ограниченное количество портов. Подробную информацию можно найти в главе "Planning the Network Configuration" книги Decru Fibre Channel Series Administration Guide.
 
Рисунок 3 карты соединений портов DataFort (виртуализация дискового массива)

Еще одной опцией построения карт доступов, при помощи DataFort, является LUN-mapping. Построение карт LUN нумерации в DataFort, позволяет назначать виртуальные  LUN номера каждому порту устройства. При использовании LUN-mapping, DataFort может эмулировать виртуальный дисковый массив, состоящий из нескольких физических.
 
Рисунок 4 карты соединений LUN (виртуализация дискового массива)

Хранилище Decru Cryptainers
Decru DataFort использует концепцию под названием Cryptainers, для управления ключами, контролем доступа, и другими функциями, связанными с обеспечением безопасности. Cryptainers привязывается к адресам WWN и номерам LUN. Информация, относящаяся к Cryptainers, хранится на зашифрованном дисковом пространстве. Также Decru использует термин DataFort, для определения специальной области метаданных. DataFort автоматически назначает Cryptainers, LUN номерам, когда существуют метаданные. Подробное описание Cryptainers можно найти в разделе "Introduction of Decru" книги Decru Fibre Channel Series Administration Guide.

Поддерживаемые конфигурации Decru DataFort FC-52x – Диск
Поддерживаемые конфигурации DataFort для дисковых массивов EMC, реализуют режимы виртуализации хостов и массивов. Архитектура DataFort позволяет виртуализовать семь хостов, либо массивов, при помощи одного DataFort.
«По умолчанию» DataFort настроен на виртуализацию дисковых массивов. Режим виртуализации дисковых массивов, предусматривает то, что хост «видит» несколько узлов Arbitrated Loop. Каждый из узлов Arbitrated Loop, отвечает за виртуальный порт массива EMC. Для работы данной функции, параметр virtualization, должен быть выставлен в ON. Использования режима виртуализации дискового массива, позволяет включить шифрование на DataFort, с использованием карт соединения с Cryptainer (один Cryptainer на каждый LUN). При работе с массивами Symmetrix, LUN 0 шифровать не нужно, он используется для управления массивом.
Виртуализация хоста через DataFort, создает виртуального инициатора соединений с массивом. Виртуализация хоста, выключена «по умолчанию». Использование виртуализации хоста, рекомендовано при использовании кластеров, либо в ситуациях, когда нескольким хостам необходимо разделять общий диск и количество таких хостов не больше семи. Виртуализация возможна, только при подключении к коммутаторам, поддерживающим режимы подключения FL_Port либо, когда дисковые массивы, подключаемые к Decru, поддерживают режим AL_Port.
Виртуализация хостов, рекомендуется в следующих ситуациях:
◆ Несколько хостов должны одновременно работать с одним LUN.
◆ Нужно скрытие массива от хостов.
◆ Необходимо скрытие LUN массива, т.к. этого требуют ОС.
Виртуализация хоста позволяет изменять параметр типа хоста.
В Decru Fibre Channel Series Administration Guide есть подробное описание всех настроек виртуализации и создания карт доступа.
Миграции на шифрование дисковых массивов, при помощи Decru DataFort, является сложным процессом. Сложности заключаются в правильном создании зон между хостом и Decru и виртуальными подключениями хоста к массиву. Миграция, также может потребовать совершения дополнительных настроек листов доступов на массиве. Также нужно предусмотреть миграцию данных приложений на зашифрованные диски.
Для создания отказоустойчивой конфигурации, рекомендуется применять кластер, как минимум из двух DataForts. Глава "DataFort Initialization" из Decru Fibre Channel Series Administration Guide посвящена созданию и настройке таких кластеров.
Дисковые массивы EMC поддерживают следующие конфигурации при работе с такими кластерами:
◆ На портах EMC Symmetrix хост бит должен содержать следующие параметры: VCM, PtoP, auto speed, и SC3 enabled.
◆ Массив CLARiiON должен содержать те же настройки, что и  CLARiiON, плюс host type 1, failover mode 1, communication port enabled.
◆ Для отказоустойчивости, рекомендуется использовать EMC PowerPath. Данный софт будет распределять I/O операции между доступными путями подключения.
◆ Для подключения к CLARiiON, используя PowerPath, нужно включить поддержку nondisruptive upgrades (NDU).
 
Рисунок 5 Рекомендованная конфигурация Decru DataFort и дискового массива EMC

Следующее оборудование рекомендуется для построения топологии SAN:
◆ Коммутаторы Fibre Channel с поддержкой NL_Port протокола
◆ Коммутаторы Brocade Silkworm
◆ Коммутаторы Cisco MDS
◆ Коммутаторы Brocade M-Series, не серии директоров, например Sphereon 4500
Для подключения DataFort к директорам Brocade M-Series, нужно использовать дополнительный коммутатор, поддерживающий FL_Port соединение.
Все порты на коммутаторах должны быть настроены на auto-topology, либо на соединение FL_Port.

Практические советы
В этом разделе рассмотрены наилучшие практики настроек
◆ Осуществлять зонинг можно как по адресам WWN, так и по портам. Практика показывает, что добавлять в зону Decru, лучше по номеру порта, т.к. устройство имеем достаточно много loop IDs на одном порту.
◆ Если хост «видит» множество loop ID, значит DataFort виртуализирует дисковый массив, т.к. каждый loop ID отвечает за виртуальный порт массива.
◆ Decru рекомендует, добавлять все возможные адреса AL_PA, которые могут существовать у порта в зону хоста, если зоны строятся по WWN (шесть различных WWN). Например:
 
◆ Cryptainer выстраивает карты адресации портов массива EMC. Каждому порту EMC будет присвоен виртуальный порт. Для обеспечения отказоустойчивости, рекомендуется включать в карты доступа к LUN,  LUN со вторых портов массива, чтобы обеспечить существование альтернативных путей к дискам.
В Decru DataFort Fibre Channel Series Administration Guide содержится подробная информация о настройках виртуализации.
◆ Cryptainers, которые предоставляют возможность шифровать данные между массивом и хостом, должны быть кластеризованны.
◆ DataFort дает возможность создавать ссылки между хостом и массивом и объединять их в группы.
◆ Имплементация контроля доступа на массивах EMC:
• Требует модификации зон и листов доступа на массивах Symmetrix и CLARiiON.
• Требуется настройка доступа ко всем LUN массива EMC, портов DataFort.
• Используется DataFort GUI/ CLI для настройки доступа хоста к шифрованным LUN, контролируемым DataFort Cryptainers.
◆ Каждый виртуальный порт поддерживает адресацию до 255 LUN (один Cryptainer для LUN).
◆ Ограничения в конфигурации:
• Decru может эмулировать до семи портов.
• Максимальное количество хостов, которое может работать, через DataFort, при выключенной виртуализации, ограниченно 32-мя портами.
Чем больше хостов работает через DataFort, тем выше задержка передачи пакетов. Данное ограничение нужно учитывать при проектировании сетей SAN, т.к. это может влиять на приложения, время восстановления системы.

Дополнительная информация
◆ В Decru DataFort Fibre Channel Series Administration Guide содержится подробная информация о настройках виртуализации.
◆ Decru DataFort Fibre Channel Series CLI Guide.

Decru DataFort FC-52x – Лента
Decru DataFort FC-1020 имеет пять независимых портов для соединения с хостами и пять независимых портов для соединения с дисковыми массивами. Порты DataFort FC-1020 предназначены для шифрования только данных, передаваемых на ленточные накопители. Системы FC-520, FC525 и FC-1020, могут быть кластеризованны, для обеспечения отказоустойчивой конфигурации шифрования данных, которые пишутся на ленточные приводы.

Поддерживаемые конфигурации
DataFort поддерживает соединение с ленточными накопителями EMC, в режиме виртуализации носителя (Storage Virtualization Mode). Т.к. лента это перемещай накопитель, Decru DataFort использует следующие привязки ключей: Tape Pool Collection, Tape Pool, Tape Device. Поэтому, конфигурация Cryptainer отличается от метода, когда данные шифруются на дисковых накопителях. В главе "Tape Management" книги Decru Fibre Channel Series Administration Guide содержится подробное описание управление ключами.
Миграции на шифрование ленточных приводов, при помощи Decru DataFort, является сложным процессом. Сложности заключаются в правильном создании зон между хостом и Decru и виртуальными подключениями хоста к ленточным приводам. Процесс миграции, также требует настройки листов доступа к портам Decru DataFort (например к виртуальным библиотекам). Только после создания соответствующих зон, может назначаться cryptainer и листы доступа к Decru DataFort. После этого приложения смогут работать с ленточными приводами. Полное описание процедуры подключения и настроек находятся в разделе "Troubleshooting" книги Decru Fibre Channel Series Administration Guide.
 
Рисунок 6 Пример построения топологии без DataFort

 
Рисунок 7 Виртуализация с применением карт портов

Практические советы
В этом разделе рассмотрены наилучшие практики настроек
◆ DataFort представляет несколько путей доступа к ленточным накопителям для обеспечения отказоустойчивости. Приложение должно поддерживать автоматический переход работы с одного пути на другой.
◆ Decru DataFort предоставляет компрессию данных в дополнение к шифрованию.
Ввиду того, что DataFort является промежуточным звеном сети, компрессия может включаться приложением хоста.
◆ Decru DataFort расшифровывает данные в процессе восстановления
Полезные советы, ограничения, обходы ограничений описаны в Decru DataFort Fibre Channel Series Release Notes и в главе "Troubleshooting" книги DecruFibre Channel Series Administrator Guide.

Дополнительная информация
◆ В Decru Fibre Channel Series Administration Guide содержится подробная информация о настройках виртуализации.
◆ Decru Fibre Channel Series CLI Guide.

Устройство шифрования Neoscale CryptoStore
Данный раздел содержит информацию по настройкам и построении топологий сетей SAN, с использованием устройств шифрования, которые установлены пред массивами хранения данных. Подробная информация по настройке устройств шифрования находится в руководстве пользователя. Данные в данном разделе рекомендации относятся к сетям Fibre Channel и дисковым системам хранения данных (блочная передача данных), таких как CLARiiON и Symmetrix.
Оба устройства шифрования Neoscale CryptoStore шифруют данные, основываясь на FCP (SCSI over Fibre Channel) адресации (WWN, PID, LUN, LBA).
Смена адреса WWN на сервере, перестроение карты LUN ID, либо перемещение данных с одной партиции на другую, требует перераспределения ключей на устройстве шифрования. Данные процедуры описаны в документации к устройству.
Перемещение данных в зашифрованном виде, требует сохранения консистентности данных. Поэтому, все операции записи данных на диск должны быть завершены перед перемещением данных. Другими словами, перед перемещением данных, лучше сделать бэкап базы данных, размонтированной файловой системы.
В данном разделе будут рассмотрены следующие темы:
◆ “Neoscale CryptoStor FC-2002 для дисков ”
◆ “Neoscale CryptoStor FC702/704 для ленточных приводов ”

Neoscale CryptoStor FC-2002 для дисков
Устройство шифрования CryptoStor FC2002, пропускает данные через себя и имеет следующие характеристики:
◆ FC2002 не поддерживает подключения: N_Port, L_Port, F_Port, E_Port, B_Port, и т.п.
◆ Порты FC2002 поддерживают автоопределение скорости соединения. Обычно выбирается наивысшая поддерживаемая скорость соединенных портов. FC2002 не поддерживает различие в скорости между портами.
◆ Подключение обоих портов в один коммутатор, может вызвать коллизию в сети.
Миграция на шифровальщики Neoscale CryptoStor FC-2002 не занимает много времени.  FC2002 не требует большого количества соединений, а также, настроек на оптических коммутаторах. FC2002 подключается между коммутатором и дисковым массивом. Полную информацию о конфигурировании Neoscale CryptoStor FC2002W, можно получить в разделе "Overview" книги CryptoStor Fibre Channel Series Administration Guide.
Чтобы обеспечить отказоустойчивую конфигурацию, рекомендуется использовать кластер минимум из двух CryptoStor FC2002. Конфигурирование и настройка кластера находится в "System Administrator Handbook" в разделе CryptoStor Fibre Channel Series Administration Guide.
Поддерживаемые массивами EMC кластерные конфигурации CryptoStor:
◆ Для подключения к EMC Symmetrix обратитесь к разделу "Symmetrix Fibre Bit Settings" в EMC Support Matrix.
◆ Для подключения к EMC CLARiiON, рекомендуется прочесть host connectivity guides.
◆ EMC Symmetrix (EMC Symmetrix порт, должен использоваться на каждый путь).
◆ Мultipathing поддерживается на EMC CLARiiON (минимум один SP порт, должен использоваться на каждый путь).
◆ Поддерживается EMC PowerPath для отказоустойчивых конфигураций для Symmetrix и CLARiiON. Данный софт будет распределять I/O операции между доступными путями подключения.
◆ Для подключения к CLARiiON, используя PowerPath, нужно включить поддержку nondisruptive upgrades (NDU).

Ключи шифрования должны совпадать для обоих портов Symmetrix и CLARiiON.
Шифрование Symmetrix LUN должно быть включено для портов FA 14B-0 и FA 15B-0. Между массивами и FC-2002 шифрование отсутствует. По всем остальным путям идут зашифрованные данные.

 
Рисунок 8 Рекомендованная конфигурация CryptoStor 2002 для дисковых массивов EMC

Поддерживаемые конфигурации
Поддерживаются следующие конфигурации сетей SAN:
◆ Neoscale FC2002 подключено между хостом и коммутатором (N_Port или NL_Port)
◆ Neoscale FC2002 подключено коммутатором и дисковым массивом (N_Port или NL_Port)
CryptoStor FC-2002 прозрачно для оптической сети. Включение в оптическую сеть, не требует настроек зонинга портов CryptoStor FC-2002.
Для подключения FC-2002, не требуется изменения зонинга и настроек доступов на массивах.

Ограничения
Существуют некоторые ограничения в конфигурациях:
◆ Ограничение количества хостов, работающих через FC-2002, зависит от ограничений массива EMC.
◆ Все дублирующие пути к массиву, должны быть зашифрованы при помощи кластера из CryptoStor FC-2002.
◆ Каждый LUN по дублирующим путям, должен иметь одинаковую политику безопасности, а также, одинаковый ключ шифрования.

Практические советы
Кластеризованные Cryptostor FC 2002, должны быть подключены по каждому пути I/O.

Дополнительная информация
◆ В CryptoStor Fibre Channel Series Administration Guide содержится дополнительная информация по настройкам политик шифрования данных
◆ CryptoStor Fibre Channel Series Technical Reference Manual.

Neoscale CryptoStor FC702/704 для ленточных приводов
При работе с ленточными приводами, Neoscale CryptoStor подключается в канал, между бэкап хостом и ленточной библиотекой. К промежуточное звено, порты CryptoStor FC702/FC704 могут работать как N_Port (Point-to-Point), NL_Port (Arbitrated Loop) и auto (пробует Loop перед Point-to-Point). Порты поддерживают скорость соединения Fibre Channel на скоростях 1 GB/s и 2 GB/s. По умолчанию, настроено автоопределение скорости и типа соединения порта. Виртуализация библиотеки требует настройки на хосте типа соединения NL_Port.

Поддерживаемые конфигурации
Поддерживаются следующие конфигурации сетей SAN:
◆ CryptoStor FC702/FC704 поддерживает конфигурацию multi-ID, на порту, который подключается к хосту (NL_Port), и single-ID, на порту, подключенному к библиотеке (N_Port). Используя эмуляцию, можно объединить несколько физических библиотек, в одну виртуальную.
 
Рисунок 9 Пример построения топологий при использовании CryptoStor Tape 700

Миграции на шифрование библиотек, при помощи Neoscale CryptoStor FC Tape 700, является сложным процессом. Сложности заключаются в правильном создании зон между хостом и виртуальными библиотеками, виртуальными подключениями хоста к библиотеке. Миграция, также может потребовать совершения дополнительных настроек листов доступов на библиотеке (обычно, этого требуют виртуальные библиотеки). Только после настроек зонинга и настроек прав доступа к Neoscale CryptoStor, библиотеки могут быть доступны на бэкап хосте. Дополнительную информацию, можно получить в разделе "Overview" книги DecruFibre Channel Series Administrator Guide.
Для подключения CryptoStor FC-2002 в оптическую сеть, требуются настройки зонинга на коммутаторах.
Изменения настроек зонинга и листов доступов не требуется, между настроенными портами хоста и портами библиотеки.

Устройство CryptoStor FC, использует три типа иерархии ключей шифрования:
◆ System key — Высший уровень. Данный ключ привязан к устройству, и может быть экспортирован сменой смарт-карты.
◆ Encryption/Pool keys — Промежуточный уровень. Данные ключи используются для шифрования Tape keys. Ключи Encryption/Pool шифруются на основе System key.  Ключи хранятся в конфигурационном файле, также как и каталог ключей. Ключи Pool могут быть экспортированы как часть конфигурации на смарт-карте, либо как файл.
◆ Tape keys — Третий уровень. Данные ключи шифруются при помощи ключей Encryption/Pool. Ключи используются для шифрования данных, которые пишутся на ленту. Ключи могут находиться в зашифрованном виде на ленте, либо в каталоге.

Ограничения
Существуют некоторые ограничения в конфигурациях:
◆ Ограничение количества хостов, работающих через FC 700, зависит от ограничений библиотек EMC.

Практические советы
В этом разделе рассмотрены наилучшие практики настроек
◆ Порт, подсоединяемый к библиотеке, поддерживает только ленточные накопители, только когда работает в режиме point-to-point (Single ID).
◆ Ключи шифрования нужно хранить в каталогах, и на лентах. Т.к. в CryptoStor ограниченный объем внутренней памяти, ключи можно экспортировать каталогами на ленты. Также следует производить бэкап ключей каждый день. Использование динамических ключей, позволяет экономить место на внутренней памяти устройства.

Дополнительная информация
◆ CryptoStor Tape FC 700 Administration Guide
◆ CryptoStor Tape FC 700 Installation Guide.