Produkty, których dotyczy problem
Scenariusz
Niektórzy użytkownicy potrzebują silniejszej ochrony danych w QTS i proszą o:
Rozwiązanie
Zalecane podejście
W przypadku bieżących wersji QTS zalecane podejście to:
Procedura krok po kroku
Walidacja
Po zakończeniu konfiguracji zweryfikuj następujące elementy:
Ograniczenia i uwarunkowania techniczne
Poniższe ograniczenia wyjaśniają, dlaczego bezpieczne nadpisywanie plików w czasie rzeczywistym i automatyczne bezpieczne usuwanie wolnego miejsca nie są obecnie zalecane jako domyślne mechanizmy:
Ryzyka i niezalecane praktyki
Dalsze informacje
- QNAP NAS z systemem QTS
Scenariusz
Niektórzy użytkownicy potrzebują silniejszej ochrony danych w QTS i proszą o:
- Późniejsze szyfrowanie istniejących danych na miejscu
- Bezpieczne nadpisywanie w czasie rzeczywistym podczas modyfikowania lub usuwania plików
- Bezpieczne usuwanie wolnego miejsca
- Automatyczne bezpieczne kasowanie plików w Koszu
Rozwiązanie
Zalecane podejście
W przypadku bieżących wersji QTS zalecane podejście to:
- Użyj Shared Folder Encryption (AES-256) dla poufnych danych.
- Migruj istniejące dane do nowo zaszyfrowanego folderu współdzielonego zamiast szyfrować je na miejscu.
- Wprowadź ścisłe zasady Folder Privilege, aby ograniczyć dostęp.
Procedura krok po kroku
- Przejrzyj swoje wymagania
Zdecyduj, czy potrzebujesz:- Ochrony danych na poziomie folderu dla danych w spoczynku, czy też
- Pełnego czyszczenia nośnika przed wycofaniem dysku z użytku lub jego ponownym użyciem.
- Utwórz zaszyfrowany folder współdzielony
W QTS utwórz nowy folder współdzielony i włącz Shared Folder Encryption (AES-256) dla tego folderu. - Migruj istniejące dane
Przenieś lub skopiuj istniejące poufne dane do zaszyfrowanego folderu współdzielonego. Wykonaj migrację w zaplanowanych partiach, aby monitorować wydajność i stabilność. - Wzmocnij kontrolę dostępu
Skonfiguruj Folder Privilege tak, aby każdy użytkownik lub grupa mogła uzyskać dostęp tylko do danych, do których jest uprawniona. - Zweryfikuj dostęp
Zaloguj się na konta nieautoryzowane i potwierdź, że nie mają one dostępu do zaszyfrowanego folderu współdzielonego ani jego zawartości. - Utrzymuj kopie zapasowe
Wykonuj regularne kopie zapasowe przed i po dużych migracjach danych lub zmianach uprawnień, aby zmniejszyć ryzyko utraty danych.
Walidacja
Po zakończeniu konfiguracji zweryfikuj następujące elementy:
- Poufne dane znajdują się tylko w zaszyfrowanych folderach współdzielonych.
- Nieautoryzowani użytkownicy nie mogą uzyskać dostępu do folderów lub plików z ograniczonym dostępem.
- Wydajność systemu pozostaje akceptowalna podczas i po migracji danych.
Ograniczenia i uwarunkowania techniczne
Poniższe ograniczenia wyjaśniają, dlaczego bezpieczne nadpisywanie plików w czasie rzeczywistym i automatyczne bezpieczne usuwanie wolnego miejsca nie są obecnie zalecane jako domyślne mechanizmy:
- Obciążenie systemu plików (aktywny EXT4)
Bezpieczne nadpisywanie w czasie rzeczywistym lub ciągłe czyszczenie wolnego miejsca w aktywnym systemie plików może wprowadzić znaczne obciążenie I/O i zmniejszyć responsywność systemu. - Wpływ na sprzęt
- Dyski HDD: Częste wieloprzebiegowe nadpisywanie może zwiększyć zużycie mechaniczne.
- Dyski SSD: Powtarzające się wzorce nadpisywania zużywają cykle programowania/kasowania (P/E) i mogą skrócić żywotność dysków SSD.
- Zakres istniejących mechanizmów bezpiecznego kasowania
Obecne funkcje Secure Erase w QTS są przede wszystkim przeznaczone do pełnego czyszczenia dysku (na przykład za pomocą poleceń ATA secure erase) w przypadku wycofania dysku z użytku lub jego ponownego przeznaczenia. Rozszerzenie tego samego zachowania na poziom plików lub automatyczne przepływy pracy Kosza wymaga dodatkowej walidacji architektonicznej w celu zapewnienia bezpieczeństwa i stabilności.
Ryzyka i niezalecane praktyki
- Unikaj włączania agresywnych przepływów pracy nadpisywania w czasie rzeczywistym na woluminach produkcyjnych bez dokładnych testów, ponieważ może to wpłynąć na wydajność i żywotność urządzenia.
- Nie traktuj bezpiecznego nadpisywania na poziomie plików jako równoważnego z bezpiecznym kasowaniem całego dysku. Aby uzyskać pełne czyszczenie nośnika, użyj procedur bezpiecznego kasowania na poziomie dysku.
- Pamiętaj, że błędnie skonfigurowane uprawnienia w środowiskach współdzielonych mogą nadal ujawniać dane, nawet gdy szyfrowanie jest włączone. Zawsze przeglądaj i testuj ustawienia Folder Privilege.
Dalsze informacje
- Jak włączyć lub wyłączyć szyfrowanie folderów współdzielonych w QTS? Wstaw rzeczywisty link, gdy będzie dostępny
- Instrukcja obsługi QTS - Bezpieczne kasowanie dysku Wstaw rzeczywisty link, gdy będzie dostępny