静态数据加密概述

HPE 3PAR Data-at-rest Encryption 软件与自加密物理驱动器 (SED) 结合使用，可以在某些型号的 HPE 3PAR Storage 系统上提供数据加密功能。

这些功能是随某些 HPE Storage OS 版本安装的，但需要具有 HPE 3PAR Data-at-rest Encryption 许可证才能保护整个存储系统。有关 HPE 3PAR Storage 平台支持的信息，请参阅 HPE SSMC 管理员指南。

各个 SED 物理驱动器上的数据将在驱动器介质上自动加密，并且不需要任何许可证。不过，通过使用 HPE 3PAR Data-at-rest Encryption 许可证并为存储系统启用加密，可以按逻辑方式将 SED 物理驱动器绑定到存储系统。所有物理驱动器均会使用相同的加密密钥。

本地加密密钥管理器包含在 HPE Storage OS 中。加密身份验证密钥保留在存储系统上。不过，Hewlett Packard Enterprise 强烈建议您还要使用 HPE SSMC 导出备份文件操作创建身份验证密钥的备份文件。另外建议您将备份文件保存在存储系统之外的位置。

还支持外部密钥管理器。HPE SSMC 包括与外部加密密钥管理服务器建立连接的操作。了解更多信息：设置和检查 EKM 服务器。

了解更多信息：加密存储数据。

只能将支持加密的物理驱动器装入存储系统，不得混用加密和非加密的物理驱动器。

FIPS 140-2 合规性

联邦信息处理标准 140-2 为加密模块定义了四个安全级别。在许可并启用 HPE 3PAR Data-at-rest Encryption 软件时，具有 SED 物理驱动器的 HPE 3PAR 存储系统符合 FIPS 140-2 级别 2 要求。