Protezione dei volumi condivisi del cluster e delle reti di archiviazione (SAN) con BitLocker

  • Articolo

Questo argomento, destinato ai professionisti IT, descrive come proteggere volumi condivisi del cluster e reti SAN con BitLocker.

BitLocker può proteggere risorse disco fisico e volumi condivisi del cluster versione 2.0 (CSV2.0). BitLocker in volumi del cluster permette un livello aggiuntivo di protezione per gli amministratori che vogliono proteggere dati sensibili a disponibilità elevata. Aggiungendo altre protezioni a un volume del cluster, gli amministratori possono aggiungere un'altra barriera di sicurezza alla risorse all'interno di un'organizzazione permettendo solo a determinati account utente di accedere per sbloccare il volume BitLocker.

Configurazione di BitLocker in volumi condivisi del cluster

Uso di BitLocker con volumi del cluster

BitLocker nei volumi all'interno di un cluster viene gestito in base al modo in cui il servizio cluster "vede" il volume da proteggere. Il volume può essere una risorsa disco fisico, come un numero di unità logica (LUN) in una rete di archiviazione (SAN), o un dispositivo NAS.

Importante  

Le reti SAN usate con BitLocker devono aver ottenuto la certificazione hardware Windows. Per altre info, vedi Windows Hardware Lab Kit.

 

In alternativa, il volume può essere un volume condiviso del cluster, ovvero uno spazio dei nomi condiviso, all'interno del cluster. Windows Server 2012 ha esteso l'architettura dei volumi condivisi del cluster, ora nota con il nome CSV2.0, per abilitare il supporto per BitLocker. Quando si usa BitLocker con volumi designati per un cluster, il volume deve attivare BitLocker prima della sua aggiunta al pool di archiviazione nel cluster o far passare la risorsa alla modalità di manutenzione prima del completamento delle operazioni di BitLocker.

Windows PowerShell e l'interfaccia della riga di comando manage-bde sono i metodi preferiti per gestire BitLocker su volumi CSV2.0. È consigliabile eseguire queste operazioni tramite il Pannello di controllo BitLocker perché i volumi CSV2.0 sono punti di montaggio. Un punto di montaggio è un oggetto NTFS usato per fornire un punto di ingresso ad altri volumi. I punti di montaggio non richiedono l'uso di una lettera di unità. I volumi senza lettera di unità non sono visualizzati nel Pannello di controllo BitLocker. Inoltre, la nuova opzione di protezione basata su Active Directory necessaria per la risorsa disco del cluster o per risorse CSV2.0 non è disponibile nel Pannello di controllo.

Nota  

I punti di montaggio possono essere usati per supportare punti di montaggio remoti in condivisioni di rete basate su SMB. Questo tipo di condivisione non è supportato per la crittografia BitLocker.

 

Per l'archiviazione con thin provisioning, ad esempio un disco rigido virtuale (VHD) dinamico, BitLocker viene eseguito in modalità di crittografia del solo spazio utilizzato del disco. Non puoi usare il comando manage-bde –WipeFreeSpace per attivare la crittografia dell'intero volume in questi tipi di volumi. Questo problema si verifica perché la crittografia completa richiede un indicatore di fine per il volume e i VHD a espansione dinamica non hanno un endpoint statico dell'indicatore del volume.

Protezione basata su Active Directory

Puoi anche usare una protezione basata su Servizi di dominio Active Directory per proteggere volumi del cluster contenuti nell'infrastruttura di Servizi di dominio Active Directory. La protezione ADAccountOrGroup è una protezione basata su indicatore di sicurezza (SID) del dominio che può essere associata a un account utente, un account computer o un gruppo. Quando viene effettuata una richiesta di un volume protetto, il servizio BitLocker interrompe la richiesta e usa le API di attivazione/disattivazione protezione di BitLocker per sbloccare o rifiutare la richiesta. BitLocker sblocca i volumi protetti senza l'intervento dell'utente tentando le protezioni nell'ordine seguente:

  1. Chiave non crittografata

  2. Chiave di sblocco automatico basata su driver

  3. Protezione ADAccountOrGroup

    1. Protezione del contesto di servizio

    2. Protezione utente

  4. Chiave di sblocco automatico basata sul Registro di sistema

Nota  

Perché questa funzionalità funzioni correttamente, è necessario un controller di dominio Windows Server 2012 o versioni successive.

 

Attivazione di BitLocker prima dell'aggiunta di dischi a un cluster tramite Windows PowerShell

La crittografia BitLocker è disponibile per i dischi prima o dopo l'aggiunta a un pool di archiviazione del cluster. Il vantaggio di crittografare i volumi prima di aggiungerli a un cluster è che la risorsa disco non deve essere sospesa per completare l'operazione. Ecco come attivare BitLocker per un disco prima di aggiungerlo a un cluster:

  1. Installa la funzionalità Crittografia unità BitLocker se non è già installata.

  2. Assicurati che il disco sia formattato con NTFS e abbia una lettera di unità assegnata.

  3. Abilita BitLocker nel volume usando la protezione che preferisci. Nello script di esempio di Windows PowerShell seguente viene usata una protezione con password.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  4. Identifica il nome del cluster con Windows PowerShell.

    Get-Cluster

  5. Aggiungi una protezione ADAccountOrGroup al volume usando il nome del cluster con un comando simile al seguente:

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    Avviso  

    Devi aggiungere una protezione ADAccountOrGroup usando l'oggetto nome cluster (CNO) perché un volume con BitLocker abilitato sia condiviso in un volume condiviso del cluster o sia un volume di failover appropriato in un cluster di failover tradizionale.

     

  6. Ripeti i passaggi da 1 a 6 per ogni disco nel cluster.

  7. Aggiungi il volume o i volumi al cluster.

Attivazione di BitLocker per un disco del cluster tramite Windows PowerShell

Quando il servizio cluster è già proprietario di una risorsa disco, questa deve essere impostata in modalità di manutenzione prima che sia possibile abilitare BitLocker. Usa i passaggi seguenti per attivare BitLocker per un disco del cluster:

  1. Installa la funzionalità Crittografia unità BitLocker se non è già installata.

  2. Controlla lo stato del disco del cluster usando Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1"

  3. Fai passare la risorsa disco fisico alla modalità di manutenzione usando Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource

  4. Abilita BitLocker nel volume usando la protezione che preferisci. Nell'esempio seguente viene usata una protezione con password.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  5. Identifica il nome del cluster con Windows PowerShell.

    Get-Cluster

  6. Aggiungi una protezione ADAccountOrGroup con l'oggetto nome classe (CNO) al volume con un comando simile al seguente:

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    Avviso  

    Devi aggiungere una protezione ADAccountOrGroup usando l'oggetto nome cluster (CNO) perché un volume con BitLocker abilitato sia condiviso in un volume condiviso del cluster o sia un volume di failover appropriato in un cluster di failover tradizionale.

     

  7. Ripeti i passaggi da 1 a 6 per ogni disco nel cluster.

  8. Aggiungi il volume o i volumi al cluster.

Aggiunta di volumi crittografati con BitLocker a un cluster tramite manage-bde

Puoi usare anche manage-bde per abilitare BitLocker nei volumi del cluster. I passaggi necessari per aggiungere una risorsa disco fisico o un volume CSV2.0 a un cluster esistente sono i seguenti:

  1. Verifica che la funzionalità Crittografia unità BitLocker sia installata nel computer.

  2. Assicurati che il nuovo archivio sia formattato come NTFS.

  3. Crittografa il volume, aggiungi una chiave di ripristino e aggiungi l'amministratore del cluster come chiave della protezione usando l'interfaccia della riga di comando manage-bde (vedi l'esempio):

    • Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync

      1. BitLocker controlla se il disco fa già parte di un cluster. In questo caso, gli amministratori riscontreranno un blocco del disco rigido. In caso contrario, la crittografia continuerà.

      2. L'uso del parametro -sync è facoltativo. Se usi questo parametro, il comando attende il completamento della crittografia del volume prima di rilasciare il volume da usare nel pool di archiviazione del cluster.

  4. Apri lo snap-in Gestione cluster di failover o i cmdlet di PowerShell per consentire l'inserimento del disco nel cluster.

    • Una volta inserito nel cluster, il disco può essere anche abilitato per il volume condiviso del cluster.

  5. Durante l'operazione online della risorsa, il cluster verifica se il disco è crittografato con BitLocker.

    1. Se nel volume non è abilitato BitLocker, vengono eseguite operazioni online del cluster tradizionali.

    2. Se nel volume è abilitato BitLocker, vengono eseguiti questi controlli:

      • Se il volume è bloccato, BitLocker rappresenta l'oggetto nome cluster (CNO) e sblocca il volume usando la protezione con CNO. Se questa operazione non riesce, viene registrato un evento che indica che non è stato possibile sbloccare il volume e che l'operazione online non riuscirà.

  6. Quando il disco è online nel pool di archiviazione, può essere aggiunto a un volume condiviso del cluster facendo clic con il pulsante destro del mouse sulla risorsa disco e quindi scegliendo Sposta in volumi condivisi del cluster.

I volumi condivisi del cluster possono includere volumi crittografati e non crittografati. Per controllare lo stato di un volume specifico per la crittografia BitLocker, gli amministratori possono usare il comando manage-bde -status con un percorso al volume all'interno dello spazio dei nomi del volume condiviso del cluster, come mostrato nella riga di comando di esempio seguente.

manage-bde -status "C:\ClusterStorage\volume1"

Risorse disco fisico

Diversamente dai volumi CSV2.0, la risorse disco fisico sono accessibili da un solo nodo del cluster per volta. Di conseguenza, l'esecuzione di operazioni come la crittografia, la decrittografia, il blocco o lo sblocco dei volumi richiede il contesto. Ad esempio, non puoi sbloccare o decrittografare una risorsa disco fisico se non amministri il nodo del cluster che è il proprietario della risorsa disco, perché in questo caso la risorsa disco non è disponibile.

Limitazioni per le azioni di BitLocker con volumi del cluster

La tabella seguente contiene informazioni sulle risorse disco fisico (ovvero i volumi del cluster di failover tradizionali) e i volumi condivisi del cluster, insieme alle azioni consentite da BitLocker in ogni situazione.

Azione

Nel nodo proprietario del volume di failover

Nel server di metadati (MDS) del volume condiviso del cluster

Nel server di dati del volume condiviso del cluster

Modalità di manutenzione

Manage-bde -on

Bloccata

Bloccata

Bloccata

Consentita

Manage-bde -off

Bloccata

Bloccata

Bloccata

Consentita

Manage-bde Pause/Resume

Bloccata

Bloccata**

Bloccata

Consentita

Manage-bde -lock

Bloccata

Bloccata

Bloccata

Consentita

manage-bde -wipe

Bloccata

Bloccata

Bloccata

Consentita

Unlock

Automatica tramite il servizio cluster

Automatica tramite il servizio cluster

Automatica tramite il servizio cluster

Consentita

manage-bde -protector -add

Consentita

Consentita

Bloccata

Consentita

manage-bde -protector -delete

Consentita

Consentita

Bloccata

Consentita

manage-bde -autounlock

Consentita (non consigliata)

Consentita (non consigliata)

Bloccata

Consentita (non consigliata)

Manage-bde -upgrade

Consentita

Consentita

Bloccata

Consentita

Shrink

Consentita

Consentita

Bloccata

Consentita

Extend

Consentita

Consentita

Bloccata

Consentita

 

Nota  

Nonostante il comando manage-bde -pause sia bloccato nei cluster, il servizio cluster riprenderà automaticamente una crittografia o una decrittografia sospesa dal nodo MDS

 

Nel caso in cui in una risorsa disco fisico si verifica un failover durante una conversione, il nuovo nodo proprietario rileverà che la conversione non è completa e ne completerà il processo.

Altre considerazioni sull'uso di BitLocker in CSV2.0

Ecco altre considerazioni da tenere presenti per BitLocker in un sistema di archiviazione del cluster:

  • I volumi BitLocker devono essere inizializzati e avviare la crittografia prima che siano disponibili per l'aggiunta a un volume CSV2.0.

  • Se un amministratore deve decrittografare un volume condiviso del cluster, rimuovi il volume dal cluster o fai passare il disco alla modalità di manutenzione. Puoi riaggiungere il volume condiviso del cluster al cluster durante l'attesa del completamento della decrittografia.

  • Se un amministratore deve iniziare a crittografare un volume condiviso del cluster, rimuovi il volume dal cluster o fallo passare alla modalità di manutenzione.

  • Se la conversione viene sospesa mentre è in corso la crittografia e il volume condiviso del cluster è offline rispetto al cluster, il thread del cluster (controllo dell'integrità) riprende automaticamente la conversione quando il volume è di nuovo online nel cluster.

  • Se la conversione viene sospesa mentre è in corso la crittografia e una risorsa disco fisico è offline rispetto al cluster, il driver BitLocker riprende automaticamente la conversione quando il volume è di nuovo online nel cluster.

  • Se la conversione viene sospesa mentre è in corso la crittografia e mentre il volume condiviso del cluster è in modalità di manutenzione, il thread del cluster (controllo dell'integrità) riprende automaticamente la conversione quando si riattiva il volume dalla manutenzione.

  • Se la conversione viene sospesa mentre è in corso la crittografia e mentre il volume della risorsa disco è in modalità di manutenzione, il driver BitLocker riprende automaticamente la conversione quando si riattiva il volume dalla manutenzione.