Защита общих томов кластера и сетей хранения данных с помощью технологии BitLocker

  • Статья

В этом разделе для ИТ-специалистов описано, как защищать файлы общих томов кластеров и сетей хранения данных при помощи BitLocker.

BitLocker может защитить как физические ресурсы диска, так и совместно используемые тома кластеров версии 2.0 (CSV2.0). BitLocker на кластеризованных томах позволяет создать дополнительный уровень защиты для администраторов, которым требуется защитить важные высокодоступные данные. За счет добавления средств защиты в кластеризованные тома администраторы могут также сформировать дополнительный барьер безопасности к ресурсам организации за счет предоставления разрешений на разблокировку томов BitLocker только некоторым учетным записям пользователей.

Настройка BitLocker на совместно используемых томах кластера

Использование BitLocker с кластеризованными томами

Управление BitLocker на томах в кластере осуществляется с учетом того, как служба кластеризации "рассматривает" том, который необходимо защитить. Томом может быть физический ресурс диска, например LUN в сети хранения данных (SAN) или в хранилище с подключением к сети (NAS).

Важно  

SAN, используемые с BitLocker, должны получить аппаратную сертификацию Windows. Дополнительную информацию см. в разделе Лабораторный набор аппаратного обеспечения Windows.

 

Кроме того, можно использовать совместно используемый том кластера, совместно используемое пространство имен в пределах кластера. В Windows Server 2012 архитектура CSV была расширена так, чтобы включать поддержку BitLocker, и получила название CSV2.0. При использовании BitLocker в сочетании с томами, предназначенными для кластера, для тома необходимо будет включить BitLocker до момента добавления в пул хранилища в пределах кластера или перевести ресурс в режим технического обслуживания до тех пор, пока не будут выполнены операции BitLocker.

Windows PowerShell или интерфейс командной строки manage-bde является предпочтительным методом для управления BitLocker на томах CSV2.0. Это рекомендуется как предпочтительный способ по сравнению с использованием элемента панели управления BitLocker, поскольку тома CSV2.0 являются точками подключения. Точки подключения представляют собой объекты NTFS, которые используются для предоставления точки входа для других томов. Точкам подключения не требуется использование буквы диска. Тома, которым не присвоена буква диска, не отображаются в элементе панели управления BitLocker. Кроме того, новое средство защиты на основе Active Directory, необходимое для ресурса с дисками кластера или для ресурсов CSV2.0, недоступно в элементе панели управления.

Примечание  

Точки подключения могут использоваться для поддержки удаленных точек подключения на сетевых ресурсах SMB. Такой тип общих ресурсов не поддерживается технологией шифрования BitLocker.

 

Для хранилища, выделяемого в тонком режиме, например при использовании динамических виртуальных жестких дисков (VHD), BitLocker работает в режиме шифрования только занятого места на диске. Вы не можете использовать команду manage-bde –WipeFreeSpace для перевода тома в режим полного шифрования для этих типов дисков. Это происходит потому, что полное шифрование требует наличия конечного маркера тома, а у динамически расширяемых VHD отсутствует статическое окончание маркера тома.

Средство защиты на основе Active Directory

Вы можете также использовать средство защиты службы доменов Active Directory (AD DS) для защиты кластеризованных томов, содержащихся в пределах инфраструктуры AD DS. Средство защиты ADAccountOrGroup представляет собой средство защиты на основе идентификатора безопасности домена (SID), который можно привязать к учетной записи пользователя, учетной записи компьютера или к группе. Когда запрос о снятии блокировки выполняется для защищенного тома, служба BitLocker прерывает запрос и использует API-интерфейсы защиты/снятия защиты BitLocker для разблокировки или отказа в выполнении запроса. BitLocker выполнит разблокировку томов без вмешательства пользователя путем попытки применения средств защиты в следующем порядке:

  1. незащищенный ключ;

  2. ключ автоматической разблокировки на основе драйвера;

  3. средство защиты ADAccountOrGroup;

    1. средство защиты контекста службы;

    2. средство защиты пользователя;

  4. ключ автоматической разблокировки на основе реестра.

Примечание  

Контроллер домена Windows Server 2012 или в более поздней версии необходим, чтобы эта функция работала в штатном режиме.

 

Включение BitLocker перед добавлением дисков в кластер при помощи Windows PowerShell

Шифрование BitLocker доступно для дисков до и после добавления в пул системы хранения данных кластера. Преимущество шифрования томов перед добавлением их в кластер состоит в том, что дисковому ресурсу для выполнения операции не требуется приостановка ресурса. Чтобы включить BitLocker для диска перед добавлением его в кластер, выполните следующие действия.

  1. Установите компонент шифрования диска BitLocker, если он еще не установлен.

  2. Убедитесь в том, что диск отформатирован в стандарте NTFS и имеет назначенную букву диска.

  3. Включите BitLocker для тома, используя выбранное средство защиты. Средство защиты при помощи паролей используется в приведенном далее примере сценария Windows PowerShell.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  4. Определите имя кластера при помощи Windows PowerShell.

    Get-Cluster

  5. Добавьте средство защиты ADAccountOrGroup к тому с использованием имени кластера и такой команды:

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    Предупреждение  

    Необходимо добавить средство защиты ADAccountOrGroup при помощи CNO кластера для тома, на котором включен BitLocker, так чтобы либо он стал общедоступным в пределах общедоступного для кластера тома, либо мог использоваться для отработки отказа в пределах обычного отказоустойчивого кластера.

     

  6. Повторите шаги от 1 до 6 для каждого диска в кластере.

  7. Добавьте том или тома в кластер.

Включение BitLocker для кластеризованного диска при помощи Windows PowerShell

Когда служба кластера уже владеет дисковым ресурсом, ее необходимо перевести в режим технического обслуживания, и только после этого можно будет включить BitLocker. Чтобы включить BitLocker для диска в кластере, выполните следующие действия.

  1. Установите компонент шифрования диска BitLocker, если он еще не установлен.

  2. Проверьте состояние диска в кластере при помощи Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1"

  3. Переведите физический ресурс диска в режим технического обслуживания при помощи Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource

  4. Включите BitLocker для тома, используя выбранное средство защиты. Средство защиты при помощи пароля используется в приведенном далее примере.

    Enable-BitLocker E: -PasswordProtector -Password $pw

  5. Определите имя кластера при помощи Windows PowerShell.

    Get-Cluster

  6. Добавьте средство защиты ADAccountOrGroup с Объектом имени кластера (CNO) к тому при помощи такой команды:

    Add-BitLockerProtector E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

    Предупреждение  

    Необходимо добавить средство защиты ADAccountOrGroup при помощи CNO кластера для тома, на котором включен BitLocker, так чтобы либо он стал общедоступным в пределах общедоступного для кластера тома, либо мог использоваться для отработки отказа в пределах обычного отказоустойчивого кластера.

     

  7. Повторите шаги от 1 до 6 для каждого диска в кластере.

  8. Добавьте том или тома в кластер.

Добавление томов, зашифрованных BitLocker в кластер при помощи manage-bde

Вы можете также использовать manage-bde, чтобы включить BitLocker для кластеризованных томов. Описание действий, которые необходимо выполнить для добавления физического ресурса диска или тома CSV2.0 в существующий кластер, следующее.

  1. Убедитесь, что компонент шифрования диска BitLocker установлен на компьютере.

  2. Убедитесь, что новое хранилище имеет формат NTFS.

  3. Зашифруйте диск, добавьте ключ шифрования и добавьте администратора кластера в форме ключа средства защиты при помощи интерфейса командной строки manage-bde (см. пример):

    • Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync

      1. BitLocker выполнит проверку того, входит ли диск уже в кластер. Если это так, администраторы столкнутся с жесткой блокировкой. В ином случае шифрование будет продолжено.

      2. Использование параметра -sync не является обязательным. При его использовании команда ожидает момента завершения шифрования перед тем, как том будет освобожден для использования в пуле хранилища кластера.

  4. Откройте оснастку диспетчера отказоустойчивого кластера или командлеты PowerShell для кластера, чтобы подготовить диск к кластеризации.

    • После включения диска в кластер для него можно будет включить CSV.

  5. Во время работы ресурса в сети кластер выполнит проверку того, зашифрован ли диск BitLocker.

    1. Если для тома не включен BitLocker, будут выполняться обычные для работы кластера операции.

    2. Если для тома включено шифрование BitLocker, выполняется следующая проверка.

      • Если том заблокирован, BitLocker выполнит функцию CNO и разблокирует том при помощи средства защиты CNO. Если эта операция будет завершена с ошибкой, событие невозможности разблокировки тома будет занесено в журнал, а операция включения завершится сбоем.

  6. Поле того как диск будет включен в пул хранилища, его можно добавить в CSV, щелкнув правой кнопкой мыши дисковый ресурс и выбрав "Добавить общие тома кластера".

CSV могут содержать как зашифрованные, так и незашифрованные тома. Чтобы проверить состояние конкретного тома на наличие шифрования BitLocker, администраторы могут использовать команду manage-bde -status, указав путь к тому в пределах пространства имен CSV, как это показано в примере командной строки ниже.

manage-bde -status "C:\ClusterStorage\volume1"

Физические ресурсы диска

В отличие от томов CSV2.0 доступ к физическим ресурсам диска может выполняться только одним узлом кластера одновременно. Это означает, что для выполнения таких операций, как шифрование, расшифровка, блокировка или разблокировка томов, требуется контекст. Например, нельзя разблокировать или выполнить расшифровку физического ресурса диска, если вы не администрируете узел кластера, которому принадлежит дисковый ресурс, поскольку дисковый ресурс недоступен.

Ограничения на действия BitLocker, выполняемые над томами кластера

В следующей таблице содержится информация как о физических ресурсах диска (т. е. томах традиционного отказоустойчивого кластера), так и об общих томах кластера (CSV), а также о действиях, разрешенных BitLocker в каждой ситуации.

Действие

На узле владельца отказоустойчивого кластера

На сервере метаданных (MDS) CSV

На сервере данных CSV

Режим обслуживания

Manage-bde –on

Заблокировано

Заблокировано

Заблокировано

Разрешено

Manage-bde –off

Заблокировано

Заблокировано

Заблокировано

Разрешено

Manage-bde Пауза/Возобновить

Заблокировано

Заблокировано**

Заблокировано

Разрешено

Manage-bde –lock

Заблокировано

Заблокировано

Заблокировано

Разрешено

manage-bde –wipe

Заблокировано

Заблокировано

Заблокировано

Разрешено

Разблокировка

Автоматически через службу кластера

Автоматически через службу кластера

Автоматически через службу кластера

Разрешено

manage-bde –protector –add

Разрешено

Разрешено

Заблокировано

Разрешено

manage-bde -protector -delete

Разрешено

Разрешено

Заблокировано

Разрешено

manage-bde –autounlock

Разрешено (не рекомендуется)

Разрешено (не рекомендуется)

Заблокировано

Разрешено (не рекомендуется)

Manage-bde -upgrade

Разрешено

Разрешено

Заблокировано

Разрешено

Сжатие

Разрешено

Разрешено

Заблокировано

Разрешено

Расширение

Разрешено

Разрешено

Заблокировано

Разрешено

 

Примечание  

Хотя команда manage-bde -pause заблокирована в кластерах, служба кластера автоматически возобновит приостановленное шифрование или расшифровку с узла MDS

 

В случае, когда для физического ресурса диска выполняется отработка отказа при преобразовании, новый узел-владелец обнаружит, что преобразование не завершено, и завершит процесс преобразования.

Другие рекомендации для использования BitLocker в CSV2.0

Некоторые другие рекомендации, которые следует принять во внимание для BitLocker в кластеризованном хранилище.

  • Тома BitLocker должны инициализироваться и начать шифрование до того, как они станут доступными для добавления в том CSV2.0.

  • Если администратору необходимо расшифровать том CSV, удалите том из кластера или переведите диск в режим технического обслуживания. Вы можете добавить CSV назад в кластер, пока ожидаете завершения шифрования.

  • Если администратору необходимо начать шифрование тома CSV, удалите том из кластера или переведите его в режим технического обслуживания.

  • Если преобразование приостанавливается в момент выполнения шифрования, а том CSV отключен от кластера, то при проверке состояния работоспособности преобразование будет автоматически возобновлено, когда том будет подключен к кластеру.

  • При приостановке преобразования в момент выполнения шифрования физического ресурса диска, отключенного от кластера, драйвер BitLocker автоматически восстановит преобразование при подключении к кластеру.

  • При приостановке преобразования в момент выполнения шифрования, когда том CSV находится в режиме технического обслуживания, при проверке работоспособности кластера преобразование будет автоматически возобновлено после переключения из состояния технического обслуживания.

  • Если преобразование приостанавливается при выполнении шифрования, когда том ресурса находится в режиме технического обслуживания, драйвер BitLocker автоматически возобновит преобразование после перевода тома из состояния технического обслуживания.