NetScaler MPX-Festplattenverschlüsselung über die NetScaler-Konsole

Hinweise:

Die Festplattenverschlüsselung wird nur auf NetScaler MPX 9100-Instanzen unterstützt.

Die Festplattenverschlüsselung für NetScaler MPX 9100-Instanzen kann nur in der eigenständigen NetScaler-Konsole aktiviert werden.

Die Festplattenverschlüsselung ist für die Sicherung vertraulicher Daten auf einer Speicherfestplatte unerlässlich. Dadurch wird sichergestellt, dass selbst bei einer Kompromittierung des physischen Speichergeräts kein Zugriff auf die Daten möglich ist. Für NetScaler MPX bietet die Festplattenverschlüsselung eine zusätzliche Sicherheitsebene, insbesondere für kritische Verzeichnisse wie /var/core, /var/crash, /var/log, /var/nslog, /flash/nsconfig, /var/nstraceund /var/temp.

Einige der Vorteile der Festplattenverschlüsselung sind:

Datenschutz im Ruhezustand: Verhindert unbefugten Zugriff auf vertrauliche Daten, wenn das System ausgeschaltet ist.
Compliance: Hilft, gesetzliche und Compliance-Anforderungen an die Datensicherheit zu erfüllen.
Minderung des Risikos eines physischen Diebstahls: Stellt sicher, dass auf vertrauliche und geschützte Daten auf gestohlenen oder verlegte Speichergeräten nicht zugegriffen werden kann.
Sicherer Startvorgang: Erfordert während des Startvorgangs authentifizierte Anmeldeinformationen, um sicherzustellen, dass nur autorisierte Benutzer auf das System zugreifen können.
Verbesserte Sicherheit für kritische Daten: Schützt Protokolle, Konfigurationen und Absturzdaten vor unbefugtem Zugriff.

Die Festplattenverschlüsselung auf NetScaler MPX 9100 wird nur in Build 14.1-47.x unterstützt, das nach dem 20. Mai 2025 ausgeliefert wurde, und kann über die NetScaler-Konsole mit Build 14.1-47.x aktiviert werden. Die Festplattenverschlüsselung jeder NetScaler MPX-Instanz erfordert einen Schlüssel, der vom Hardware Security Module (HSM)-Server, dem Thales CipherTrust Manager, verwaltet wird. NetScaler MPX-Instanzen verwenden NetScaler Console, um den Schlüssel vom HSM-Serverabzurufen.

Notiz:

NetScaler Console unterstützt Thales CipherTrust Manager als HSM-Server.

Für eine erfolgreiche Verschlüsselung müssen Sie die Seriennummer der NetScaler MPX-Instanz im HSM-Serverhinzufügen. Nach dem Hinzufügen der Seriennummer der NetScaler MPX-Instanz ruft die NetScaler-Konsole den Schlüssel mithilfe der Seriennummer der Instanz vom HSM-Server ab.

Nachdem die Festplattenverschlüsselung abgeschlossen ist:

Wenn die Festplatte der NetScaler MPX-Instanz entfernt wird, ist der Zugriff auf die Daten nicht mehr möglich.
Wenn Sie die NetScaler MPX-Instanz neu starten, ist der Neustart nur erfolgreich, nachdem die NetScaler-Konsole die NetScaler MPX-Instanz anhand ihrer Seriennummer vom HSM-Server authentifiziert hat.

Voraussetzungen

Stellen Sie Folgendes sicher:

Die NetScaler MPX-Instanzen führen Build 14.1-47.x aus und werden vor Ort auf der NetScaler-Konsole verwaltet, auf der Build 14.1-47.x ausgeführt wird.

Notiz:

Die Festplattenverschlüsselung wird vom NetScaler-Konsolendienst nicht unterstützt.
Sie haben die Seriennummer der NetScaler MPX-Instanz im HSM-Server (Thales CipherTrust Manager) für die NetScaler-Konsole hinzugefügt, um den Schlüssel nach der Authentifizierung der Instanz anhand ihrer Seriennummer freizugeben.
Die NetScaler MPX-Instanz wird über die NetScaler-Konsole gesichert. Weitere Informationen finden Sie unter Sichern und Wiederherstellen von NetScaler-Instanzen.

Fügen Sie die Seriennummer der Instanz im HSM-Server (Thales CipherTrust Manager) hinzu

Bevor Sie die NetScaler MPX-Instanz verschlüsseln, müssen Sie die Seriennummer der NetScaler MPX-Instanz im HSM-Server hinzufügen.

Melden Sie sich beim Thales CipherTrust Manager-Server an.
Wählen Sie im linken Bereich Schlüssel aus und klicken Sie auf Schlüssel hinzufügen.
Fügen Sie unter Schlüsselbezeichnungeneine Bezeichnung mit dem Namen Seriennummerhinzu, geben Sie die Seriennummer der Instanz im Textfeld Bezeichnungswert an, klicken Sie auf die Schaltfläche + , um die Schlüsseldetails hinzuzufügen, und klicken Sie dann auf Schlüssel hinzufügen.
Auf der Seite mit den Schlüsseldetails müssen Sie den Umschalter „Exportierbar“ für diesen Schlüssel aktivieren.
Hinweise:
- Die maximal unterstützte Schlüsselgröße beträgt 511 Byte. Beispiel: AES-128 und AES-256 werden unterstützt. RSA-Schlüssel zwischen 512 und 4096 werden nicht unterstützt.
- Wir empfehlen, nur die unterstützte Schlüsselgröße zu verwenden. Die NetScaler-Instanz schlägt fehl, wenn Sie eine nicht unterstützte Schlüsselgröße konfigurieren.
- Stellen Sie sicher, dass Sie die richtige Seriennummer angeben. Bei einer Nichtübereinstimmung der Seriennummer wird der Verschlüsselungsprozess nicht gestartet.
- Wir empfehlen, dass Sie die Seriennummer der Instanz aus der NetScaler-Konsole kopieren. Navigieren Sie in der NetScaler-Konsolen-GUI zu Infrastruktur > Instanz > MPX, wählen Sie die NetScaler MPX-Instanz aus und klicken Sie in der Liste Aktion auswählen auf Seriennummer abrufen.

Instanz-Festplattenverschlüsselung über die NetScaler-Konsole

Bevor Sie mit der Festplattenverschlüsselung beginnen, stellen Sie sicher, dass Sie die Sicherung der MPX-Instanz über die NetScaler-Konsole durchführen. Weitere Informationen finden Sie unter Konfigurieren der Instanzsicherung.

Nachdem Sie die Sicherung durchgeführt haben:

Navigieren Sie zu Infrastruktur > Instanzen > NetScaler.
Auf der Registerkarte NetScaler MPX können Sie die Details der verwalteten Instanzen sehen. Die Instanz, die Sie verschlüsseln möchten, zeigt Klartext unter Festplattenverschlüsselungsstatusan.
Klicken Sie in der Liste Aktion auswählen auf Einstellungen für die Festplattenverschlüsselung.
Auf der Seite „ Festplattenverschlüsselungseinstellungen “:
1. Geben Sie die IP-Adresse, den Benutzernamen und das Kennwort des HSM-Servers an, von dem die NetScaler-Konsole den Verschlüsselungsschlüssel mithilfe der Seriennummer abrufen kann.
2. Aktivieren Sie den Key Manager Proxy. Sie müssen diese Option aktivieren, um mit der Festplattenverschlüsselung fortzufahren.
  
  Notiz:
  
  Stellen Sie sicher, dass der Key Manager Proxy auch nach Abschluss der Verschlüsselung immer aktiviert ist. Wenn Sie diese Option deaktivieren, wird die verschlüsselte Instanz in Szenarien wie beispielsweise nach einem Upgrade der Instanz oder einem erzwungenen Neustart der Instanz nicht erfolgreich neu gestartet.
3. Klicken Sie auf Speichern.
Wählen Sie die Instanz aus und klicken Sie in der Liste Aktion auswählen auf Dateisystem verschlüsseln.

Ein Bestätigungsfenster wird angezeigt. Klicken Sie auf Ja , um fortzufahren.
In der NetScaler-Konsole wird eine Bestätigungsmeldung angezeigt, die besagt, dass die Verschlüsselung gestartet wurde und die Instanz etwa 30 Minuten lang den Status „ Down “ aufweist.

Der Instanzstatus wird als Verschlüsselung läuftangezeigt.

Validierung nach der Verschlüsselung

Die Instanzverschlüsselung ist in etwa 30 Minuten abgeschlossen. Nachdem die Verschlüsselung abgeschlossen ist:

Sie können sich mit einem SSH-Client bei der NetScaler MPX-Instanz anmelden und dann mit dem folgenden Befehl überprüfen, ob die Verschlüsselung erfolgreich war:

Dateisystemverschlüsselung anzeigen

Vor der Verschlüsselung Nach der Verschlüsselung
Sie können Ihre NetScaler MPX-Instanz neu starten und überprüfen, ob der Neustart nach der Verschlüsselung abgeschlossen ist, wie im folgenden Beispiel gezeigt:
Sie können den folgenden Befehl verwenden, um zu überprüfen, ob Key Manager Proxy erfolgreich konfiguriert wurde und von NetScaler aus zugänglich ist:

Keymanagerproxy anzeigen

Notiz:

Nach der Verschlüsselung verwendet die NetScaler-Konsole mpx_disk_encryption_default_profile , um auf die NetScaler MPX-Instanz zuzugreifen. Das mpx_disk_encryption_default_profile hat die Standardanmeldeinformationen (nsroot/nsroot).

Wiederherstellen der NetScaler MPX-Instanz nach der Verschlüsselung

Wenn Sie das Standardkennwort (nsroot) vor der Sicherung geändert haben, stellen Sie sicher, dass das während der Sicherung verwendete Profil nach der Verschlüsselung in der NetScaler-Konsole verfügbar ist.