Search

Wie können Sie selbstverschlüsselnde Laufwerke (SEDs) auf Ihrem QNAP-NAS verwenden?

Zuletzt geändertes Datum 2023-12-26

Dieses Tutorial stellt selbstverschlüsselnde Laufwerke (SEDs) vor und zeigt, wie Sie diese auf Ihrem QNAP-NAS nutzen und verwalten können.

Betroffene ProdukteInformationen
Hardware
  • Alle QNAP-NAS-Modelle
  • JBOD-Gehäuse der TL-Serie
Betriebssystem
  • QTS
  • QuTS hero
Hinweis
QTS und QuTS hero unterstützen keine SED-Funktionen für Laufwerke, die auf Laufwerksadaptern mit Hardware-RAID (wie dem QDA-A2AR und QDA-A2MAR) installiert sind.

Selbstverschlüsselnde Laufwerke (SEDs)

Bei einem selbstverschlüsselnden Laufwerk (SED) handelt es sich um ein Laufwerk, bei dem die Verschlüsselungshardware in den Controller des Laufwerks integriert ist. SEDs verschlüsseln automatisch alle Daten, wenn sie auf das Laufwerk geschrieben werden, und entschlüsseln alle Daten, wenn sie vom Laufwerk gelesen werden. Die auf SEDs gespeicherten Daten sind immer vollständig durch einen Datenverschlüsselungsschlüssel verschlüsselt, der auf der Hardware des Laufwerks gespeichert ist und auf den weder das Host-Betriebssystem noch unbefugte Benutzer zugreifen können. Der Verschlüsselungsschlüssel kann auch mit einem benutzerdefinierten Verschlüsselungspasswort verschlüsselt werden, der es ermöglicht, die SED zu ver- und entsperren.

Da die Ver- und Entschlüsselung durch das Laufwerk erfolgt, erfordert der Zugriff auf Daten auf SEDs keine zusätzlichen CPU-Ressourcen des Host-Geräts. Daten auf SEDs werden auch unzugänglich, wenn die SEDs gestohlen werden oder verloren gehen. Aus diesen Gründen werden SEDs weithin für die Speicherung sensibler Informationen bevorzugt.

Sie können SEDs verwenden, um sichere SED-Speicherpools in QTS und QuTS hero und sichere statische SED-Volumes in QTS zu erstellen. Sie können SEDs auch verwenden, um reguläre Speicherpools oder Volumes zu erstellen, aber die Selbstverschlüsselungsfunktion der SEDs würde deaktiviert bleiben.

Warum SEDs verwenden?

Die Sicherheit der Datenspeicherung ist für viele Unternehmen und Organisationen ein äußerst wichtiges Thema, vor allem, wenn sie persönliche Daten wie Kreditkarteninformationen und Ausweisnummern oder Geschäftsgeheimnisse wie Produktentwürfe und geistiges Eigentum speichern.

Wenn es zu einem Datenleck kommt, kann das für das Unternehmen oder die Organisation schwerwiegende Folgen haben. Abgesehen von der Offenlegung sensibler Informationen kann ein Datenleck auch zu Schäden bei Kunden und Clients, zu Umsatzeinbußen und zu rechtlichen Strafen führen.

Da SEDs hardwarebasierte Datenträgerverschlüsselung verwenden, finden sowohl der Verschlüsselungs- als auch der Entschlüsselungsprozess in der Datenträgerhardware statt. Durch diese Trennung vom Host-Betriebssystem ist die Hardware-Verschlüsselung sicherer als die Software-Verschlüsselung. Außerdem erfordert die Hardware-Verschlüsselung im Gegensatz zur Software-Verschlüsselung keine zusätzlichen CPU-Ressourcen. Wenn ein SED physisch gestohlen wird oder verloren geht, ist es praktisch unmöglich, verständliche Informationen aus dem SED zu erhalten.

Aus diesen Gründen sind SEDs häufig eine spezifizierte Datensicherheitsanforderung in Ausschreibungsverfahren für Regierungsbehörden, Gesundheitseinrichtungen sowie Finanz- und Bankdienstleistungen.

SED-Typen

QNAP kategorisiert die SED-Typen nach den von der Trusted Computing Group (TCG) definierten Industriestandardspezifikationen. Die unterstützten SED-Typen sind in der folgenden Tabelle aufgeführt.

Um den SED-Typ eines installierten SEDs zu überprüfen, gehen Sie zu Speicher & Snapshots > Speicher > Datenträger/VJBOD > Datenträger und klicken Sie auf ein SED.

SED TypUnterstützt
TCG OpalJa
TCG EnterpriseJa, in QTS 5.0.1 (oder höher) und QuTS hero h5.0.1 (oder höher)

SED-Speicher erstellen

Sie können SEDs verwenden, um sichere SED-Speicherpools in QTS und QuTS hero und sichere statische SED-Volumes in QTS zu erstellen.

Wichtig
Sie können die SED-Sicherheit nicht aktivieren, nachdem Sie einen Standardpool oder ein statisches Standard-Volume erstellt haben. Sie müssen von Anfang an einen sicheren SED-Speicherpool oder ein sicheres statisches SED-Volume erstellen.

Einen sicheren SED-Speicherpool erstellen

  1. Öffnen Sie "Speicher & Snapshots".
  2. Stellen Sie sicher, dass die SED-Datenträger nicht initialisiert sind.
    1. Wechseln Sie zu Speicher > Datenträger/VJBOD.
    2. Wählen Sie einen SED-Datenträger.
    3. Überprüfen Sie, ob der SED-Status "Nicht initialisiert" lautet.
    4. Wiederholen Sie die oben genannten Schritte für jeden SED-Datenträger.
  3. Erstellen Sie einen sicheren SED-Speicherpool.
    Hinweis
    Dieses Thema behandelt nur die Mindestschritte zur Erstellung eines sicheren SED-Speicherpools.
    Vollständige Anweisungen und Konfigurationsdetails finden Sie unter „Einen sicheren SED-Speicherpool erstellen" in einem der folgenden Benutzerhandbücher:
    1. Wechseln Sie zu Speicher > Speicher/Snapshots.
    2. Klicken Sie auf Erstellen > Neuer Speicherpool.
      Der Assistent zum Erstellen des Speicherpools wird geöffnet.
    3. Klicken Sie auf Weiter.
    4. Optional: Wählen Sie ein Erweiterungsgerät in der Liste Gehäuseeinheit aus.
    5. Wählen Sie Sicheren SED-Speicherpool erstellen.
    6. Wählen Sie einen oder mehrere SED-Datenträger.
    7. Wählen Sie einen RAID-Typen.
    8. Klicken Sie auf Weiter.
    9. Geben Sie das Verschlüsselungspasswort an.
    10. Klicken Sie auf Weiter.
    11. Klicken Sie auf Erstellen.
      Das System erstellt den sicheren SED-Speicherpool.

Ein sicheres, statisches SED-Volume erstellen

  1. Öffnen Sie "Speicher & Snapshots".
  2. Stellen Sie sicher, dass die SED-Datenträger nicht initialisiert sind.
    1. Wechseln Sie zu Speicher > Datenträger/VJBOD > Datenträger.
    2. Wählen Sie einen SED-Datenträger.
    3. Überprüfen Sie, ob der SED-Status "Nicht initialisiert" lautet.
    4. Wiederholen Sie die oben genannten Schritte für jeden SED-Datenträger.
  3. Erstellen Sie ein sicheres, statisches SED-Volume.
    Hinweis
    Dieses Thema behandelt nur die Mindestschritte zur Erstellung eines sicheren statischen SED-Volumes.
    Vollständige Anweisungen und Konfigurationsdetails finden Sie unter „Ein sicheres, statisches SED-Volume erstellen" im QTS-Benutzerhandbuch.
    1. Wechseln Sie zu Speicher > Speicher/Snapshots.
    2. Klicken Sie auf Erstellen > Neues Volume.
      Der Assistent zum Erstellen von Volumes wird geöffnet.
    3. Wählen Sie Statisches Volume.
    4. Klicken Sie auf Weiter.
    5. Optional: Wählen Sie ein Erweiterungsgerät in der Liste Gehäuseeinheit aus.
    6. Wählen Sie Ein sicheres, statisches SED-Volume erstellen.
    7. Wählen Sie einen oder mehrere SED-Datenträger.
    8. Wählen Sie einen RAID-Typen.
    9. Klicken Sie auf Weiter.
    10. Geben Sie das Verschlüsselungspasswort an.
    11. Klicken Sie auf Weiter.
    12. Klicken Sie auf Fertigstellen.
      Das System erstellt das sichere, statische SED-Volume.

SED-Verwaltung

Aktionen für den SED-Speicherpool und das statische Volume

Um die folgenden Aktionen auszuführen, wechseln Sie zu Speicher & Snapshots > Speicher > Speicher/Snapshots, wählen Sie einen SED-Pool oder ein -Volume, klicken Sie auf Verwalten, und wählen Sie dann Aktionen > SED-Einstellungen.

AktionBeschreibung
Passwort des SED-Pools ändern
Passwort des SED-Volumes ändern		Ändern Sie das Verschlüsselungspasswort.
Warnung
Merken Sie sich dieses Passwort. Wenn Sie das Passwort vergessen, ist der Zugriff auf den Pool oder das Volume nicht mehr möglich, und die Daten können nicht mehr wiederhergestellt werden.
Sie können auch Beim Starten automatisch entsperren aktivieren.
Diese Einstellung ermöglicht es dem System, den SED-Pool oder das -Volume automatisch zu entsperren und zu mounten, sobald das NAS startet, ohne dass der Benutzer das Verschlüsselungspasswort eingeben muss.
Warnung
Die Aktivierung dieser Einstellung kann zu unberechtigtem Datenzugriff führen, wenn unbefugtes Personal physisch auf den NAS zugreifen kann.
Tipp
In einigen früheren Versionen von QTS und QuTS hero ist die Funktion Beim Starten automatisch entsperren als Verschlüsselungsschlüssel speichern bekannt.
SperrenSperrt den Pool oder das Volume. Auf alle Volumes/Freigabeordner, LUNs, Snapshots und Daten im Pool oder Volume kann erst zugegriffen werden, wenn die Sperre aufgehoben wird.
EntsperrenEntsperrt einen gesperrten SED-Pool oder ein -Volume. Alle Volumes/Freigabeordner, LUNs, Snapshots und Daten im Pool oder Volume werden zugänglich.
SED-Sicherheit deaktivierenEntfernen Sie das Verschlüsselungspasswort und deaktivieren Sie die Möglichkeit, den Pool oder das Volume zu sperren und zu entsperren.
SED-Sicherheit aktivierenFügen Sie ein Verschlüsselungspasswort hinzu und aktivieren Sie die Möglichkeit, den Pool oder das Volume zu sperren und zu entsperren.

Einen gesperrten SED-Speicherpool oder ein statisches Volume entfernen

  1. Wechseln Sie zu Speicher & Snapshots > Speicher > Speicher/Snapshots.
  2. Wählen Sie einen gesperrten SED-Speicherpool oder ein statisches Volume.
    Hinweis
    Statische Volumes sind nur in QTS verfügbar.
  3. Klicken Sie auf Verwalten, und klicken Sie dann auf Entfernen.
    Das Fenster Assistent zum Entfernen wird geöffnet
  4. Wählen Sie eine Option zum Entfernen.
    OptionBeschreibung
    Entsperren und Pool, Daten und den gespeicherten Schlüssel entfernenDiese Option hebt die Sperrung der SED-Datenträger im Speicherpool oder statischen Volume auf und löscht dann alle Daten. Der Speicherpool oder das statische Volume wird aus dem System entfernt.
    Sie müssen das Verschlüsselungspasswort eingeben.
    Pool entfernen, ohne ihn zu entsperrenMit dieser Option wird der Speicherpool oder das statische Volume entfernt, ohne den Datenträger zu entsperren. Die SED-Datenträger können erst wieder verwendet werden, wenn Sie eine der folgenden Aktionen durchführen:
    • Entsperren Sie die Datenträger. Wechseln Sie zu Datenträger/VJBOD, klicken Sie auf Wiederherstellen, und wählen Sie dann Speicherpool verbinden und wiederherstellen.
    • Löschen Sie die Datenträger mit "SED löschen".
  5. Klicken Sie auf Übernehmen.

Das System entfernt den gesperrten SED-Speicherpool oder das statische Volume.

Einen sicheren SED-Speicherpool auf ein neues NAS migrieren

Bei der Migration eines Speicherpools auf ein neues NAS gelten die folgenden Anforderungen.

  • Auf beiden NAS-Geräten muss QTS oder QuTS hero ausgeführt werden. Die Migration zwischen QTS und QuTS hero ist nicht möglich.
  • Die Version von QTS oder QuTS hero, die auf dem neuen NAS läuft, muss die gleiche oder eine neuere Version sein als die Version, die auf dem ursprünglichen NAS läuft.
  1. Wechseln Sie auf dem Original-NAS zu Speicher & Snapshots > Speicher > Speicher/Snapshots.
  2. Wählen Sie einen sicheren SED-Speicherpool.
  3. Klicken Sie auf Verwalten.
    Das Fenster Speicherpoolverwaltung wird geöffnet.
  4. Klicken Sie auf Aktion, und wählen Sie dann Pool sicher trennen.
    Es wird eine Bestätigungsmeldung angezeigt.
  5. Klicken Sie auf Ja.
    Der Status des Speicherpools ändert sich in "Sicheres Trennen...".
    Nachdem das System den Pool getrennt hat, wird er unter "Speicher & Snapshots" nicht mehr angezeigt.
  6. Entfernen Sie die Laufwerke, die den Speicherpool enthalten, vom NAS.
  7. Installieren Sie die Laufwerke im neuen NAS.
  8. Wechseln Sie auf dem neuen NAS zu Speicher & Snapshots > Speicher > Datenträger/VJBOD.
  9. Klicken Sie auf Wiederherstellen, und wählen Sie dann Speicherpool verbinden und wiederherstellen.
    Es wird eine Bestätigungsmeldung angezeigt.
  10. Geben Sie das Verschlüsselungspasswort ein.
    Sie müssen dieses Passwort eingeben, wenn Sie selbstverschlüsselte Laufwerke (SEDs) mit aktivierter Verschlüsselung verwenden.
  11. Klicken Sie auf Verbinden.
    Das System scannt die Datenträger und erkennt den Speicherpool.
  12. Klicken Sie auf Übernehmen.
    Der Speicherpool wird auf dem neuen NAS unter "Speicher & Snapshots" angezeigt.

Einen Datenträger mit "SED löschen" löschen

Mit "SED löschen" werden alle Daten auf einem gesperrten oder entsperrten SED-Datenträger gelöscht und das Verschlüsselungspasswort entfernt.

Um SED Erase durchführen zu können, darf der Datenträger nicht vom System verwendet werden oder einem bestimmten Zweck zugewiesen sein (z. B. sollte er sich nicht in einem Speicherpool befinden oder als Ersatzdatenträger konfiguriert sein). Stellen Sie sicher, dass der Datenträger frei ist, bevor Sie "SED löschen" durchführen.

  1. Wechseln Sie zu Speicher & Snapshots > Speicher > Datenträger/VJBOD > Datenträger.
  2. Wählen Sie einen SED-Datenträger.
  3. Klicken Sie auf Aktion, und wählen Sie dann SED löschen.
    Hinweis

    Diese Funktion ist nur verfügbar, wenn der Status des verwendeten Datenträgertyps "Frei" ist. Um diesen Status zu überprüfen, wechseln Sie zu Speicher & Snapshots > Speicher > Datenträger/VJBOD > Datenträger, suchen Sie den Datenträger in der Tabelle und schauen Sie in der Spalte "Verwendeter Typ" nach. Weitere Informationen finden Sie unter "Datenträgerstatus" im QTS-Benutzerhandbuch oder im QuTS hero-Benutzerhandbuch.

    Das Fenster SED löschen wird geöffnet.
  4. Geben Sie die Physical Security ID (PSID) des Datenträgers ein.
    Tipp
    Die PSID ist in der Regel auf dem Datenträgeretikett zu finden.

    Wenn Sie die PSID nicht finden können, wenden Sie sich an den Hersteller des Datenträgers.
  5. Klicken Sie auf Übernehmen.
    Das System löscht alle Daten auf der SED.

SED-Status

Um den Status eines SED anzuzeigen, wechseln Sie zu Speicher & Snapshots > Speicher > Datenträger/VJBOD > Datenträger und klicken Sie auf ein installiertes SED.

SED-StatusBeschreibung
Nicht initialisiertDie SED ist nicht initialisiert. Die Laufwerksverschlüsselung ist deaktiviert.
FreigegebenDie SED ist initialisiert und entsperrt. Die Laufwerksverschlüsselung ist aktiviert. Die Daten auf dem SED sind verschlüsselt und zugänglich.
GesperrtDie SED ist initialisiert und gesperrt. Die Laufwerksverschlüsselung ist aktiviert. Die Daten auf dem SED sind verschlüsselt und nicht zugänglich.
BlockiertDie SED ist aus Sicherheitsgründen blockiert. Das Laufwerk kann nicht initialisiert werden.
Hinweis
Um die Blockierung des SED aufzuheben, legen Sie den Datenträger wieder ein oder löschen Sie sie mit SED löschen. Weitere Informationen finden Sie unter Einen Datenträger mit "SED löschen" löschen.

Glossar

BegriffDefinition
Beim Starten automatisch entsperrenEinstellung, die es dem System ermöglicht, einen sicheren SED-Speicherpool oder ein sicheres statisches SED-Volumen nach dem Neustart des NAS automatisch zu entsperren
VerschlüsselungsschlüsselEine eindeutige, zufällige kryptografische Zeichenfolge, die physisch in der Hardware von selbstverschlüsselnden Laufwerken (SEDs) gespeichert ist, um Daten zu verschlüsseln, die auf das Laufwerk geschrieben werden, und Daten zu entschlüsseln, wenn sie vom Laufwerk gelesen werden
VerschlüsselungspasswortEin benutzerdefiniertes Passwort zum Sperren und Entsperren eines sicheren SED-Speicherpools oder statischen -Volumes
PSID (Physical Secure ID)Ein eindeutiger Schlüssel, der normalerweise auf einem selbstverschlüsselnden Laufwerk (SED) angebracht ist, um das Laufwerk auf die Werkseinstellungen zurückzusetzen
SED löschenSpeicher & Snapshots-Funktion zum Löschen aller Daten auf einem selbstverschlüsselnden Laufwerk (SED) und zum Entfernen des Verschlüsselungspassworts

War dieser Artikel hilfreich?

Ja. Nein.
66% der Nutzer fanden es hilfreich.
Vielen Dank für Ihre Rückmeldung.

Bitte teilen Sie uns mit, wie dieser Artikel verbessert werden kann:

Wenn Sie zusätzliches Feedback geben möchten, fügen Sie es bitte unten ein.

Wählen Sie die Spezifikation

      Mehr anzeigen Weniger

      Diese Seite in anderen Ländern / Regionen:

      open menu
      back to top