W tym samouczku przedstawiono dyski samoszyfrujące (SED) oraz sposoby ich wykorzystywania i zarządzania nimi na serwerze QNAP NAS.
Dysk samoszyfrujący (SED) to dysk z układem szyfrującym wbudowanym w kontroler dysku. Dyski SED automatycznie szyfrują wszystkie dane podczas ich zapisywania na dysku i odszyfrowują wszystkie dane podczas ich odczytywania z dysku. Dane przechowywane na dyskach SED są zawsze w pełni zaszyfrowane kluczem szyfrowania danych, który jest przechowywany w sprzęcie dysku i jest niedostępny dla systemu operacyjnego hosta ani dla nieautoryzowanych użytkowników. Klucz szyfrowania może być dodatkowo zaszyfrowany określonym przez użytkownika hasłem szyfrowania, które umożliwia blokowanie i odblokowywanie dysku SED.
Ponieważ szyfrowanie i odszyfrowywanie są realizowane przez dysk, dostęp do danych na dyskach SED nie wymaga żadnych dodatkowych zasobów procesora urządzenia hosta. Dane na dyskach SED stają się również niedostępne w przypadku fizycznej kradzieży lub utraty dysków SED. Z tych powodów dyski SED są powszechnie preferowane do przechowywania informacji poufnych.
Dysków SED można używać do tworzenia bezpiecznych pul pamięci masowej SED w systemach QTS i QuTS hero oraz bezpiecznych woluminów statycznych SED w systemie QTS. Dysków SED można także używać do tworzenia zwykłych pul pamięci masowej lub woluminów, jednak funkcja samoszyfrowania dysków SED pozostanie wówczas nieaktywna.
Bezpieczeństwo przechowywania danych to niezwykle istotna kwestia dla wielu przedsiębiorstw i organizacji, zwłaszcza gdy przechowują one dane osobowe, takie jak informacje o kartach kredytowych i numery dowodów tożsamości, lub tajemnice branżowe, takie jak projekty produktów i własność intelektualna.
W przypadku wycieku danych przedsiębiorstwo lub organizacja może ponieść poważne konsekwencje. Oprócz ujawnienia informacji poufnych wyciek danych może również skutkować szkodami dla klientów i kontrahentów, utratą przychodów oraz karami prawnymi.
Ponieważ dyski SED wykorzystują sprzętowe szyfrowanie całego dysku, zarówno proces szyfrowania, jak i odszyfrowywania odbywa się w sprzęcie dysku. To oddzielenie od systemu operacyjnego hosta sprawia, że szyfrowanie sprzętowe jest bezpieczniejsze niż szyfrowanie programowe. Co więcej, w przeciwieństwie do szyfrowania programowego, szyfrowanie sprzętowe nie wymaga dodatkowych zasobów procesora. W przypadku fizycznej kradzieży lub utraty dysku SED uzyskanie z niego zrozumiałych informacji staje się praktycznie niemożliwe.
Z tych powodów dyski SED są często wymienianym wymogiem bezpieczeństwa danych w postępowaniach przetargowych dla agencji rządowych, placówek opieki zdrowotnej oraz usług finansowych i bankowych.
QNAP klasyfikuje typy dysków SED zgodnie z branżowymi specyfikacjami zdefiniowanymi przez Trusted Computing Group (TCG). Obsługiwane typy dysków SED przedstawiono w poniższej tabeli.
Aby sprawdzić typ zainstalowanego dysku SED, przejdź do Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski i kliknij dysk SED.
Dysków SED można używać do tworzenia bezpiecznych pul pamięci masowej SED w systemach QTS i QuTS hero oraz bezpiecznych woluminów statycznych SED w systemie QTS.
WażneNie można włączyć zabezpieczeń SED po utworzeniu standardowej poolu lub standardowego woluminu statycznego. Bezpieczną pool pamięci masowej SED lub bezpieczny wolumin statyczny SED należy utworzyć od początku.
Aby wykonać poniższe działania, przejdź do Pamięć masowa i migawki > Pamięć masowa > Pamięć masowa/migawki, wybierz pool lub wolumin SED, kliknij Zarządzaj, a następnie wybierz Działania > Ustawienia SED.
System usunie zablokowaną pool pamięci masowej lub zablokowany wolumin statyczny SED.
Podczas migracji poolu pamięci masowej na nowy serwer NAS obowiązują następujące wymagania.
Funkcja SED Erase wymazuje wszystkie dane na zablokowanym lub odblokowanym dysku SED i usuwa hasło szyfrowania.
Aby można było wykonać operację SED Erase, dysk nie może być używany przez system ani mieć przypisanego żadnego przeznaczenia (na przykład nie może znajdować się w poolu pamięci masowej ani być skonfigurowany jako dysk zapasowy). Przed wykonaniem operacji SED Erase upewnij się, że dysk jest wolny.
Aby wyświetlić stan dysku SED, przejdź do Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski i kliknij zainstalowany dysk SED.
uwaga
Systemy QTS i QuTS hero nie obsługują funkcji SED w przypadku dysków zainstalowanych w adapterach dysków ze sprzętowym RAID (takich jak QDA-A2AR i QDA-A2MAR).
Systemy QTS i QuTS hero nie obsługują funkcji SED w przypadku dysków zainstalowanych w adapterach dysków ze sprzętowym RAID (takich jak QDA-A2AR i QDA-A2MAR).
- Dyski samoszyfrujące (SED)
- Dlaczego warto używać dysków SED?
- Typy dysków SED
- Tworzenie pamięci masowej SED
- Tworzenie bezpiecznej poolu pamięci masowej SED
- Tworzenie bezpiecznego woluminu statycznego SED
- Zarządzanie dyskami SED
- Działania dotyczące poolu pamięci masowej i woluminu statycznego SED
- Usuwanie zablokowanej poolu pamięci masowej lub woluminu statycznego SED
- Migracja bezpiecznej poolu pamięci masowej SED na nowy serwer NAS
- Wymazywanie dysku za pomocą funkcji SED Erase
- Stan dysku SED
- Słowniczek
Dyski samoszyfrujące (SED)
Dysk samoszyfrujący (SED) to dysk z układem szyfrującym wbudowanym w kontroler dysku. Dyski SED automatycznie szyfrują wszystkie dane podczas ich zapisywania na dysku i odszyfrowują wszystkie dane podczas ich odczytywania z dysku. Dane przechowywane na dyskach SED są zawsze w pełni zaszyfrowane kluczem szyfrowania danych, który jest przechowywany w sprzęcie dysku i jest niedostępny dla systemu operacyjnego hosta ani dla nieautoryzowanych użytkowników. Klucz szyfrowania może być dodatkowo zaszyfrowany określonym przez użytkownika hasłem szyfrowania, które umożliwia blokowanie i odblokowywanie dysku SED.
Ponieważ szyfrowanie i odszyfrowywanie są realizowane przez dysk, dostęp do danych na dyskach SED nie wymaga żadnych dodatkowych zasobów procesora urządzenia hosta. Dane na dyskach SED stają się również niedostępne w przypadku fizycznej kradzieży lub utraty dysków SED. Z tych powodów dyski SED są powszechnie preferowane do przechowywania informacji poufnych.
Dysków SED można używać do tworzenia bezpiecznych pul pamięci masowej SED w systemach QTS i QuTS hero oraz bezpiecznych woluminów statycznych SED w systemie QTS. Dysków SED można także używać do tworzenia zwykłych pul pamięci masowej lub woluminów, jednak funkcja samoszyfrowania dysków SED pozostanie wówczas nieaktywna.
Dlaczego warto używać dysków SED?
Bezpieczeństwo przechowywania danych to niezwykle istotna kwestia dla wielu przedsiębiorstw i organizacji, zwłaszcza gdy przechowują one dane osobowe, takie jak informacje o kartach kredytowych i numery dowodów tożsamości, lub tajemnice branżowe, takie jak projekty produktów i własność intelektualna.
W przypadku wycieku danych przedsiębiorstwo lub organizacja może ponieść poważne konsekwencje. Oprócz ujawnienia informacji poufnych wyciek danych może również skutkować szkodami dla klientów i kontrahentów, utratą przychodów oraz karami prawnymi.
Ponieważ dyski SED wykorzystują sprzętowe szyfrowanie całego dysku, zarówno proces szyfrowania, jak i odszyfrowywania odbywa się w sprzęcie dysku. To oddzielenie od systemu operacyjnego hosta sprawia, że szyfrowanie sprzętowe jest bezpieczniejsze niż szyfrowanie programowe. Co więcej, w przeciwieństwie do szyfrowania programowego, szyfrowanie sprzętowe nie wymaga dodatkowych zasobów procesora. W przypadku fizycznej kradzieży lub utraty dysku SED uzyskanie z niego zrozumiałych informacji staje się praktycznie niemożliwe.
Z tych powodów dyski SED są często wymienianym wymogiem bezpieczeństwa danych w postępowaniach przetargowych dla agencji rządowych, placówek opieki zdrowotnej oraz usług finansowych i bankowych.
Typy dysków SED
QNAP klasyfikuje typy dysków SED zgodnie z branżowymi specyfikacjami zdefiniowanymi przez Trusted Computing Group (TCG). Obsługiwane typy dysków SED przedstawiono w poniższej tabeli.
Aby sprawdzić typ zainstalowanego dysku SED, przejdź do Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski i kliknij dysk SED.
| Typ dysku SED | Obsługiwany |
|---|---|
| TCG Opal | Tak |
| TCG Enterprise | Tak, w QTS 5.0.1 (lub nowszym) i QuTS hero h5.0.1 (lub nowszym) |
Tworzenie pamięci masowej SED
Dysków SED można używać do tworzenia bezpiecznych pul pamięci masowej SED w systemach QTS i QuTS hero oraz bezpiecznych woluminów statycznych SED w systemie QTS.
WażneNie można włączyć zabezpieczeń SED po utworzeniu standardowej poolu lub standardowego woluminu statycznego. Bezpieczną pool pamięci masowej SED lub bezpieczny wolumin statyczny SED należy utworzyć od początku.
Tworzenie bezpiecznej poolu pamięci masowej SED
- Otwórz aplikację Pamięć masowa i migawki.
- Sprawdź, czy dyski SED są niezainicjowane.
- Przejdź do Pamięć masowa > Dyski/VJBOD.
- Wybierz dysk SED.
- Sprawdź, czy Stan dysku SED ma wartość „Niezainicjowany”.
- Powtórz powyższe kroki dla każdego dysku SED.
- Utwórz bezpieczną pool pamięci masowej SED.
uwaga
Ten temat obejmuje wyłącznie minimalne kroki wymagane do utworzenia bezpiecznej poolu pamięci masowej SED.
Pełne instrukcje i szczegóły konfiguracji zawiera sekcja „Tworzenie bezpiecznej poolu pamięci masowej SED” w jednym z następujących podręczników użytkownika:
- Przejdź do Pamięć masowa > Pamięć masowa/migawki.
- Kliknij Utwórz > Nowa pool pamięci masowej.
Zostanie otwarty Kreator tworzenia poolu pamięci masowej. - Kliknij Dalej.
- Opcjonalnie: Wybierz jednostkę rozszerzającą z listy Jednostka obudowy.
- Wybierz Utwórz bezpieczną pool pamięci masowej SED.
- Wybierz co najmniej jeden dysk SED.
- Wybierz typ RAID.
- Kliknij Dalej.
- Określ hasło szyfrowania.
- Kliknij Dalej.
- Kliknij Utwórz.
System utworzy bezpieczną pool pamięci masowej SED.
Tworzenie bezpiecznego woluminu statycznego SED
- Otwórz aplikację Pamięć masowa i migawki.
- Sprawdź, czy dyski SED są niezainicjowane.
- Przejdź do Pamięć masowa > Dyski/VJBOD > Dyski.
- Wybierz dysk SED.
- Sprawdź, czy Stan dysku SED ma wartość „Niezainicjowany”.
- Powtórz powyższe kroki dla każdego dysku SED.
- Utwórz bezpieczny wolumin statyczny SED.
uwaga
Ten temat obejmuje wyłącznie minimalne kroki wymagane do utworzenia bezpiecznego woluminu statycznego SED.
Pełne instrukcje i szczegóły konfiguracji zawiera sekcja „Tworzenie bezpiecznego woluminu statycznego SED” w Podręczniku użytkownika QTS.
- Przejdź do Pamięć masowa > Pamięć masowa/migawki.
- Kliknij Utwórz > Nowy wolumin.
Zostanie otwarty Kreator tworzenia woluminu. - Wybierz Wolumin statyczny.
- Kliknij Dalej.
- Opcjonalnie: Wybierz jednostkę rozszerzającą z listy Jednostka obudowy.
- Wybierz Utwórz bezpieczny wolumin statyczny SED.
- Wybierz co najmniej jeden dysk SED.
- Wybierz typ RAID.
- Kliknij Dalej.
- Określ hasło szyfrowania.
- Kliknij Dalej.
- Kliknij Zakończ.
System utworzy bezpieczny wolumin statyczny SED.
Zarządzanie dyskami SED
Działania dotyczące poolu pamięci masowej i woluminu statycznego SED
Aby wykonać poniższe działania, przejdź do Pamięć masowa i migawki > Pamięć masowa > Pamięć masowa/migawki, wybierz pool lub wolumin SED, kliknij Zarządzaj, a następnie wybierz Działania > Ustawienia SED.
| Działanie | Opis |
|---|---|
| Zmień hasło poolu SED Zmień hasło woluminu SED | Zmiana hasła szyfrowania.OstrzeżenieZapamiętaj to hasło. W przypadku zapomnienia hasła pool lub wolumin staną się niedostępne, a wszystkich danych nie będzie można odzyskać.Można także włączyć opcję Automatyczne odblokowanie przy uruchomieniu. To ustawienie umożliwia systemowi automatyczne odblokowanie i zamontowanie poolu lub woluminu SED przy każdym uruchomieniu serwera NAS, bez konieczności wprowadzania hasła szyfrowania przez użytkownika.OstrzeżenieWłączenie tego ustawienia może skutkować nieautoryzowanym dostępem do danych, jeśli nieupoważnione osoby uzyskają fizyczny dostęp do serwera NAS.
wskazówka
W niektórych wcześniejszych wersjach systemów QTS i QuTS hero opcja Automatyczne odblokowanie przy uruchomieniu nosi nazwę Zapisz klucz szyfrowania. |
| Zablokuj | Zablokowanie poolu lub woluminu. Wszystkie woluminy/foldery współdzielone, jednostki LUN, migawki i dane w poolu lub woluminie będą niedostępne do czasu ich odblokowania. |
| Odblokuj | Odblokowanie zablokowanej poolu lub woluminu SED. Wszystkie woluminy/foldery współdzielone, jednostki LUN, migawki i dane w poolu lub woluminie staną się dostępne. |
| Wyłącz zabezpieczenia SED | Usunięcie hasła szyfrowania i wyłączenie możliwości blokowania i odblokowywania poolu lub woluminu. |
| Włącz zabezpieczenia SED | Dodanie hasła szyfrowania i włączenie możliwości blokowania i odblokowywania poolu lub woluminu. |
Usuwanie zablokowanej poolu pamięci masowej lub woluminu statycznego SED
- Przejdź do Pamięć masowa i migawki > Pamięć masowa > Pamięć masowa/migawki.
- Wybierz zablokowaną pool pamięci masowej SED lub zablokowany wolumin statyczny SED.
uwaga
Woluminy statyczne są dostępne wyłącznie w systemie QTS.
- Kliknij Zarządzaj, a następnie kliknij Usuń.
Zostanie otwarte okno Kreator usuwania. - Wybierz opcję usuwania.
Opcja Opis Odblokuj i usuń pool, dane oraz zapisany klucz Ta opcja odblokowuje dyski SED w poolu pamięci masowej lub woluminie statycznym, a następnie usuwa wszystkie dane. Pool pamięci masowej lub wolumin statyczny zostają usunięte z systemu.
Należy wprowadzić hasło szyfrowania.Usuń pool bez jej odblokowywania Ta opcja usuwa pool pamięci masowej lub wolumin statyczny bez odblokowywania dysków. Dysków SED nie będzie można ponownie użyć do czasu wykonania jednego z następujących działań:
- Odblokowanie dysków. Przejdź do Dyski/VJBOD, kliknij Odzyskaj, a następnie wybierz Podłącz i odzyskaj pool pamięci masowej.
- Wymazanie dysków za pomocą funkcji SED Erase.
- Kliknij Zastosuj.
System usunie zablokowaną pool pamięci masowej lub zablokowany wolumin statyczny SED.
Migracja bezpiecznej poolu pamięci masowej SED na nowy serwer NAS
Podczas migracji poolu pamięci masowej na nowy serwer NAS obowiązują następujące wymagania.
- Oba serwery NAS muszą działać pod kontrolą systemu QTS albo oba pod kontrolą systemu QuTS hero. Migracja między systemami QTS i QuTS hero nie jest możliwa.
- Wersja systemu QTS lub QuTS hero działająca na nowym serwerze NAS musi być taka sama lub nowsza niż wersja działająca na pierwotnym serwerze NAS.
- Na pierwotnym serwerze NAS przejdź do Pamięć masowa i migawki > Pamięć masowa > Pamięć masowa/migawki.
- Wybierz bezpieczną pool pamięci masowej SED.
- Kliknij Zarządzaj.
Zostanie otwarte okno Zarządzanie poolem pamięci masowej. - Kliknij Działanie, a następnie wybierz Bezpiecznie odłącz pool.
Zostanie wyświetlony komunikat z potwierdzeniem. - Kliknij Tak.
Stan poolu pamięci masowej zmieni się na „Bezpieczne odłączanie...”.
Po zakończeniu odłączania poolu przez system pool zniknie z aplikacji Pamięć masowa i migawki. - Wyjmij z serwera NAS dyski zawierające pool pamięci masowej.
- Zainstaluj dyski w nowym serwerze NAS.
- Na nowym serwerze NAS przejdź do Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD.
- Kliknij Odzyskaj, a następnie wybierz Podłącz i odzyskaj pool pamięci masowej.
Zostanie wyświetlony komunikat z potwierdzeniem. - Wprowadź hasło szyfrowania.
Hasło to należy wprowadzić w przypadku korzystania z dysków samoszyfrujących (SED) z aktywowanym szyfrowaniem. - Kliknij Podłącz.
System przeskanuje dyski i wykryje pool pamięci masowej. - Kliknij Zastosuj.
Pool pamięci masowej pojawi się w aplikacji Pamięć masowa i migawki na nowym serwerze NAS.
Wymazywanie dysku za pomocą funkcji SED Erase
Funkcja SED Erase wymazuje wszystkie dane na zablokowanym lub odblokowanym dysku SED i usuwa hasło szyfrowania.
Aby można było wykonać operację SED Erase, dysk nie może być używany przez system ani mieć przypisanego żadnego przeznaczenia (na przykład nie może znajdować się w poolu pamięci masowej ani być skonfigurowany jako dysk zapasowy). Przed wykonaniem operacji SED Erase upewnij się, że dysk jest wolny.
- Przejdź do Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski.
- Wybierz dysk SED.
- Kliknij Działanie, a następnie wybierz SED Erase.
uwaga
Ta funkcja jest dostępna tylko wtedy, gdy stan typu użycia dysku to „Wolny”. Aby sprawdzić ten stan, przejdź do Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski, znajdź dysk w tabeli i sprawdź kolumnę „Typ użycia”. Szczegółowe informacje zawiera sekcja „Stany dysków” w Podręczniku użytkownika QTS lub Podręczniku użytkownika QuTS hero.
Zostanie otwarte okno SED Erase. - Wprowadź identyfikator Physical Security ID (PSID) dysku.
wskazówka
Identyfikator PSID można zazwyczaj znaleźć na etykiecie dysku.
Jeśli nie możesz znaleźć identyfikatora PSID, skontaktuj się z producentem dysku. - Kliknij Zastosuj.
System wymaże wszystkie dane na dysku SED.
Stan dysku SED
Aby wyświetlić stan dysku SED, przejdź do Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski i kliknij zainstalowany dysk SED.
| Stan dysku SED | Opis |
|---|---|
| Niezainicjowany | Dysk SED jest niezainicjowany. Szyfrowanie dysku jest dezaktywowane. |
| Odblokowany | Dysk SED jest zainicjowany i odblokowany. Szyfrowanie dysku jest aktywowane. Dane na dysku SED są zaszyfrowane i dostępne. |
| Zablokowany | Dysk SED jest zainicjowany i zablokowany. Szyfrowanie dysku jest aktywowane. Dane na dysku SED są zaszyfrowane i niedostępne. |
| Zablokowany (Blocked) | Dysk SED został zablokowany ze względów bezpieczeństwa. Dysku nie można zainicjować.
uwaga
Aby odblokować dysk SED, włóż dysk ponownie lub wymaż go za pomocą funkcji SED Erase. Szczegółowe informacje zawiera sekcja Wymazywanie dysku za pomocą funkcji SED Erase. |
Słowniczek
| Pojęcie | Definicja |
|---|---|
| Automatyczne odblokowanie przy uruchomieniu | Ustawienie umożliwiające systemowi automatyczne odblokowanie bezpiecznej poolu pamięci masowej SED lub bezpiecznego woluminu statycznego SED po ponownym uruchomieniu serwera NAS |
| Klucz szyfrowania | Unikatowy, losowo wygenerowany ciąg kryptograficzny przechowywany fizycznie w sprzęcie dysków samoszyfrujących (SED), służący do szyfrowania danych zapisywanych na dysku i odszyfrowywania danych podczas ich odczytywania z dysku |
| Hasło szyfrowania | Zdefiniowane przez użytkownika hasło służące do blokowania i odblokowywania bezpiecznej poolu pamięci masowej SED lub woluminu statycznego SED |
| PSID (Physical Secure ID) | Unikatowy klucz, zazwyczaj umieszczony na etykiecie dysku samoszyfrującego (SED), służący do resetowania dysku do ustawień fabrycznych |
| SED Erase | Funkcja aplikacji Pamięć masowa i migawki służąca do wymazywania wszystkich danych na dysku samoszyfrującym (SED) i usuwania hasła szyfrowania |
| Produkty, których dotyczy | Szczegóły |
|---|---|
| Sprzęt |
|
| System operacyjny |
|