通过 NetScaler 控制台对 NetScaler MPX 磁盘进行加密

笔记：

• 仅 NetScaler MPX 9100 实例支持磁盘加密。

• NetScaler MPX 9100 实例的磁盘加密只能在独立的 NetScaler 控制台中启用。

磁盘加密对于保护存储在存储磁盘上的敏感数据至关重要。 它确保即使物理存储设备受到损害，数据仍然无法访问。 对于 NetScaler MPX，磁盘加密提供了额外的安全保护，特别是对于关键目录，例如 /var/core、 /var/crash、 /var/log、 /var/nslog、 /flash/nsconfig、 /var/nstrace和 /var/temp。

磁盘加密的一些好处包括：

• 静态数据保护：防止系统关闭时未经授权访问敏感数据。

• 合规性：帮助满足数据安全的监管和合规性要求。

• 减轻物理盗窃风险：确保被盗或放错位置的存储设备上的敏感和专有数据无法被访问。

• 安全启动过程：启动时需要经过身份验证的凭据，确保只有授权用户才能访问系统。

• 增强关键数据的安全性：保护日志、配置和崩溃数据免遭未经授权的访问。

NetScaler MPX 9100 上的磁盘加密仅在 2025 年 5 月 20 日 之后发布的 14.1-47.x 版本中受支持，并且可以通过运行 14.1-47.x 版本的 NetScaler Console 启用。 每个 NetScaler MPX 实例的磁盘加密都需要一个由硬件安全模块 (HSM) 服务器（即 Thales CipherTrust Manager）管理的密钥。 NetScaler MPX 实例使用 NetScaler Console 从 HSM 服务器获取密钥。

笔记：

NetScaler Console 支持 Thales CipherTrust Manager 作为 HSM 服务器。

为了成功加密，您必须 在 HSM 服务器中添加 NetScaler MPX 实例序列号。 添加 NetScaler MPX 实例序列号后，NetScaler 控制台将使用实例序列号从 HSM 服务器获取密钥。

磁盘加密完成后：

• 如果删除 NetScaler MPX 实例磁盘，则数据将无法访问。

• 如果重新启动 NetScaler MPX 实例，则只有在 NetScaler Console 使用来自 HSM 服务器的序列号对 NetScaler MPX 实例进行身份验证后，重新启动才会成功。

先决条件

确保：

• NetScaler MPX 实例正在运行版本 14.1-47.x，并在运行版本 14.1-47.x 的 NetScaler 控制台上进行管理。

  笔记：

  NetScaler 控制台服务不支持磁盘加密。

• 您已在 HSM（Thales CipherTrust Manager）服务器中添加了 NetScaler MPX 实例序列号，以便 NetScaler 控制台在使用其序列号对实例进行身份验证后共享密钥。

• NetScaler MPX 实例通过 NetScaler Console 备份。 有关详细信息，请参阅 备份和恢复 NetScaler 实例。

在 HSM（Thales CipherTrust Manager）服务器中添加实例序列号

在加密 NetScaler MPX 实例之前，必须在 HSM 服务器中添加 NetScaler MPX 实例序列号。

1. 登录到 Thales CipherTrust Manager 服务器。

2. 在左侧窗格中，选择 键 并单击 添加键。

3. 在 Key Labels下，添加名为 serialnumber的标签，在 Label Value 文本框中指定实例序列号，点击 + 按钮添加密钥详情，然后点击 Add Key。

   

4. 在密钥详细信息页面中，您必须为此密钥启用可导出切换。

   

   笔记：

   • 支持的最大密钥大小为 511 字节。 例如：支持AES-128和AES-256。 不支持 512 到 4096 之间的 RSA 密钥。

   • 我们建议您仅使用支持的密钥大小。 如果配置了不受支持的密钥大小，NetScaler 实例将会失败。

   • 确保指定正确的序列号。 如果序列号不匹配，则加密过程不会启动。

   • 我们建议您从 NetScaler 控制台复制实例序列号。 在 NetScaler 控制台 GUI 中，导航到 基础设施 > 实例 > MPX，选择 NetScaler MPX 实例，然后从 选择操作 列表中单击 获取序列号。

通过 NetScaler 控制台加密实例磁盘

在开始磁盘加密之前，请确保通过 NetScaler 控制台进行 MPX 实例备份。 有关更多信息，请参阅 配置实例备份。

备份后：

1. 导航到 基础设施 > 实例 > NetScaler。

2. 在 NetScaler MPX 选项卡中，您可以看到托管实例的详细信息。 您想要加密的实例在 磁盘加密状态下显示 纯文本。

   

3. 从 选择操作 列表中，单击 磁盘加密设置。

   

4. 在 磁盘加密设置 页面中：

   1. 指定 HSM 服务器的 IP 地址、用户名和密码，NetScaler Console 可以从该服务器使用序列号获取加密密钥。

   2. 启用 密钥管理器代理。 您必须启用此选项才能继续磁盘加密过程。

      笔记：

      确保即使在加密完成后， 密钥管理器代理 也始终处于启用状态。 如果禁用此选项，加密实例将无法成功重启，例如升级实例或强制重启实例后。

   3. 点击 保存。

      

5. 选择实例，然后从 选择操作 列表中单击 加密文件系统。

   

   出现确认窗口。 单击 是 继续。

6. NetScaler 控制台中会出现一条确认消息，表明加密已启动，并且实例将处于 Down 状态约 30 分钟。

   

   实例状态显示为 加密正在进行中。

   

加密后验证

实例加密大约需要 30 分钟完成。 加密完成后：

• 您可以使用 SSH 客户端登录到 NetScaler MPX 实例，然后使用以下命令验证加密是否成功：

  显示文件系统加密

  加密前	加密后

• 您可以重新启动 NetScaler MPX 实例并验证加密后重新启动是否完成，如下例所示：

  

• 您可以使用以下命令验证 密钥管理器代理 是否已成功配置并可从 NetScaler 访问：

  显示密钥管理器代理

  

  笔记：

  加密后，NetScaler Console 使用 mpx_disk_encryption_default_profile 访问 NetScaler MPX 实例。 mpx_disk_encryption_default_profile 具有默认凭据（nsroot/nsroot）。

  

加密后恢复 NetScaler MPX 实例

如果在备份之前更改了默认密码 (nsroot)，请确保备份期间使用的配置文件在加密后在 NetScaler 控制台中可用。