¿Cómo usar unidades con cifrado automático (SED) en el QNAP NAS?
Este tutorial presenta las unidades con cifrado automático (SED) e indica cómo usarlas y administrarlas en su QNAP NAS.
| Productos aplicables | Detalles |
|---|---|
| Hardware |
|
| Sistema operativo |
|
- Unidades con cifrado automático (SED)
- ¿Por qué usar unidades SED?
- Tipos de SED
- Creación de almacenamiento en unidades SED
- Administración de SED
- Estado SED
- Glosario
Unidades con cifrado automático (SED)
Una unidad con cifrado automático (SED) es una unidad con hardware de cifrado integrado en el controlador de la unidad. Las unidades SED cifran automáticamente todos los datos a medida que se escriben en la unidad y descifran todos los datos a medida que se leen de la unidad. Los datos almacenados en las unidades SED siempre están cifrados por una clave de cifrado de datos, que está almacenado en el hardware de la unidad y no se puede acceder al sistema operativo del host o usuarios no autorizados. La clave de cifrado también se puede cifrar mediante una contraseña de cifrado que permite bloquear y desbloquear la unidad SED.
Como el cifrado y descifrado son gestionados por la unidad, el acceso a los datos en las unidades SED no requiere ningún recurso de CPU adicional desde el dispositivo host. Los datos de las unidades SED también dejan de estar accesibles si las SED se pierden físicamente o las roban. Por estos motivos, las unidades SED se prefieren mayoritariamente para almacenar información sensible.
Puede usar unidades SED para crear conjuntos de almacenamiento seguro SED en QTS y QuTS hero y volúmenes estáticos seguros SED en QTS. También puede usar unidades SED para crear conjuntos de almacenamiento o volúmenes normales, pero la función de cifrado automático de las unidades SED permanecerá desactivada.
¿Por qué usar unidades SED?
La seguridad en el almacenamiento de datos es un asunto de especial importancia para muchas empresas y organizaciones, especialmente si almacenan datos personales tales como información de tarjetas de crédito y números de tarjetas de identidad, o bien secretos industriales tales como planes de acción sobre productos y propiedad intelectual.
Si se produce una fuga de datos, la empresa u organización se pueden enfrentar a graves consecuencias. Aparte de la divulgación de información confidencial, una fuga de datos también puede suponer daños para clientes, lucro cesante y sanciones penales.
Dado que las unidades SED utilizan cifrado de discos completos basados en hardware, tanto el cifrado como el descifrado tienen lugar en el hardware del disco. Gracias a la separación del sistema operativo host, el cifrado de hardware es más seguro que el de software. Además, a diferencia del cifrado de software, el cifrado de hardware no precisa recursos de CPU adicionales. Si se pierde físicamente o roban una unidad SED, prácticamente será imposible obtener información inteligible de la unidad SED.
Por estos motivos, las unidades SED con frecuencia son un requisito de seguridad de datos especificado en procesos de licitación para organismos públicos, instituciones sanitarias y servicios financieros y de banca.
Tipos de SED
QNAP clasifica los tipos de unidades SED de acuerdo con las especificaciones estándar del sector definidas por el Trusted Computing Group (TCG). Los tipos de SED admitidos aparecen en la tabla siguiente.
Para comprobar el tipo de SED de una unidad SED instalada, vaya a Almacenamiento e instantáneas > Almacenamiento > Discos/VJBOD > Discos y haga clic en una unidad SED.
| Tipo de SED | Admitido |
|---|---|
| TCG Opal | Sí |
| TCG Enterprise | Sí, en QTS 5.0.1 (o posterior) y QuTS hero h5.0.1 (o posterior) |
Creación de almacenamiento en unidades SED
Puede usar unidades SED para crear conjuntos de almacenamiento seguro SED en QTS y QuTS hero y volúmenes estáticos seguros SED en QTS.
Creación de un conjunto de almacenamiento seguro SED
- Abra Almacenamiento e instantáneas.
- Verifique los discos SED que están sin inicializar.
- Vaya a Almacenamiento > Discos/VJBOD.
- Seleccione un disco SED.
- Verifique que el estado de SED sea "No inicializado".
- Repita los pasos anteriores para cada disco SED.
- Cree un conjunto de almacenamiento seguro SED.NotaEn este tema solo se tratan los pasos mínimos para crear un conjunto de almacenamiento seguro SED.
Para obtener instrucciones completas y detalles de configuración, consulte "Creación de un conjunto de almacenamiento seguro SED" en una de las siguientes guías del usuario:- Vaya a Almacenamiento > Almacenamiento/Instantáneas.
- Haga clic en Crear> Nuevo conjunto de almacenamiento.
Se abrirá el Asistente de Crear conjunto de almacenamiento. - Haga clic en Siguiente.
- Opcional: Seleccione una unidad de expansión de la lista Unidad de la caja.
- Seleccione Crear conjunto de almacenamiento seguro SED.
- Seleccione uno o más discos SED.
- Seleccione un tipo de RAID.
- Haga clic en Siguiente.
- Especifique la contraseña de cifrado.
- Haga clic en Siguiente.
- Haga clic en Crear.
El sistema creará el conjunto de almacenamiento seguro SED.
Creación de un volumen estático seguro SED
- Abra Almacenamiento e instantáneas.
- Verifique los discos SED que están sin inicializar.
- Vaya a Almacenamiento > Discos/VJBOD > Discos.
- Seleccione un disco SED.
- Verifique que el estado de SED sea "No inicializado".
- Repita los pasos anteriores para cada disco SED.
- Cree un volumen estático seguro SED.NotaEn este tema solo se tratan los pasos mínimos para crear un volumen estático seguro SED.
Para obtener instrucciones completas y detalles de configuración, consulte "Creación de un volumen estático seguro SED" en la Guía del usuario de QTS.- Vaya a Almacenamiento > Almacenamiento/Instantáneas.
- Haga clic en Crear > Nuevo volumen.
Se abrirá el Asistente de creación de volúmenes. - Seleccione Volumen estático.
- Haga clic en Siguiente.
- Opcional: Seleccione una unidad de expansión de la lista Unidad de la caja.
- Seleccione Crear un volumen estático seguro SED.
- Seleccione uno o más discos SED.
- Seleccione un tipo de RAID.
- Haga clic en Siguiente.
- Especifique la contraseña de cifrado.
- Haga clic en Siguiente.
- Haga clic en Finalizar.
El sistema creará el volumen estático seguro SED.
Administración de SED
Acciones de conjuntos de almacenamiento y volúmenes estáticos SED
Para realizar las siguientes acciones, vaya a Almacenamiento e instantáneas > Almacenamiento > Almacenamiento/Instantáneas, seleccione un conjunto o volumen SED, haga clic en Administrar y seleccione Acciones > Configuración SED.
| Acción | Descripción |
|---|---|
| Cambiar la contraseña del conjunto SED Cambiar la contraseña del volumen SED | Cambia la contraseña de cifrado. Advertencia Recuerde esta contraseña. Si olvida la contraseña, el conjunto o volumen quedará inaccesible y todos los datos serán irrecuperables. Este ajuste permite que el sistema desbloquee y monte automáticamente el conjunto o volumen SED cuando se inicie el NAS, sin requerir que el usuario introduzca la contraseña de cifrado. Advertencia Habilitar este ajuste puede dar lugar a accesos no autorizados a datos si personal no autorizado accede físicamente al NAS. Sugerencia En algunas versiones más recientes de QTS y QuTS hero, Desbloqueo automático durante el inicio se conoce como Guardar la clave de encriptado. |
| Bloquear | Bloquear el conjunto o el volumen. Todos los volúmenes/carpetas compartidas, LUN, instantáneas y datos del conjunto o volumen quedarán inaccesibles hasta que se desbloquee. |
| Desbloquear | Desbloquee un conjunto o volumen SED bloqueado. Todos los volúmenes/carpetas compartidas, LUN, instantáneas y datos del conjunto o volumen pasarán a estar accesibles. |
| Deshabilitar la seguridad SED | Elimina la contraseña de cifrado y anula la posibilidad de bloquear y desbloquear el conjunto o volumen. |
| Habilitar la seguridad SED | Añade una contraseña de cifrado y permite la posibilidad de bloquear y desbloquear el conjunto o volumen. |
Eliminar un conjunto de almacenamiento o volumen estático SED bloqueado
- Vaya a Almacenamiento e instantáneas > Almacenamiento > Almacenamiento/Instantáneas.
- Seleccione un conjunto de almacenamiento o volumen estático SED bloqueado.NotaLos volúmenes estáticos solo están disponibles en QTS.
- Haga clic en Administrar y después haga clic en Quitar.
Se abrirá la ventana Asistente de eliminación. - Seleccione una opción de eliminación.
Opción Descripción Bloquear y eliminar conjunto, datos y clave guardada Esta opción desbloquea los discos SED del conjunto de almacenamiento o del volumen estático y, a continuación, elimina todos los datos. El conjunto de almacenamiento o el volumen estático se quitan del sistema.
Debe introducir la contraseña de cifrado.Eliminar conjunto sin desbloquearlo Esta opción elimina el conjunto de almacenamiento o el volumen estático sin desbloquear los discos. Los discos SED no se pueden usar de nuevo hasta que realice una de las siguientes acciones: - Desbloquee los discos. Vaya a Discos/VJBOD, haga clic en Recuperar y, a continuación, seleccione Acoplar y recuperar conjunto de almacenamiento.
- Borre los discos utilizando el borrado SED.
- Haga clic en Aplicar.
El sistema elimina el volumen estático o conjunto de almacenamiento SED bloqueado.
Migración de un conjunto de almacenamiento seguro SED a un NAS nuevo
Son de aplicación los siguientes requisitos a la hora de migrar un conjunto de almacenamiento a un NAS nuevo.
- Los dos dispositivos NAS deben ejecutar QTS o bien QuTS hero. La migración entre QTS y QuTS hero no es posible.
- La versión de QTS o QuTS hero que se ejecute en el NAS nuevo deberá ser la misma o más reciente que la que se ejecuta en el NAS original.
- En el NAS original, vaya a Almacenamiento e instantáneas > Almacenamiento > Almacenamiento/Instantáneas.
- Seleccione un conjunto de almacenamiento seguro SED.
- Haga clic en Administrar.
Se abrirá la ventana Administración de conjuntos de almacenamiento. - Haga clic en Acción y, a continuación, seleccione Separar el grupo de forma segura.Aparecerá un mensaje de confirmación.
- Haga clic en Sí.
El estado del conjunto de almacenamiento cambiará a "Desconectando de forma segura...".
Una vez que el sistema termina de desconectar el conjunto, este desaparece de Almacenamiento e instantáneas. - Extraiga las unidades contenidas en el conjunto de almacenamiento del NAS.
- Instale las unidades en el nuevo NAS.
- En el nuevo NAS, vaya a
Almacenamiento e instantáneas > Almacenamiento > Disco/VJBOD. - Haga clic en Recuperar y seleccione Acoplar y recuperar conjunto de almacenamiento.
Aparece un mensaje de confirmación. - Introduzca la contraseña de cifrado.
Deberá introducir esta contraseña si utiliza unidades con cifrado automático (SED) con el cifrado activado. - Haga clic en Acoplar.
El sistema escanea los discos y detecta el conjunto de almacenamiento. - Haga clic en Aplicar.
El conjunto de almacenamiento aparecerá en Almacenamiento e instantáneas en el nuevo NAS.
Borrado de un disco utilizando borrado SED
El borrado SED borra todos los datos de un disco SED bloqueado o desbloqueado y elimina la contraseña de cifrado.
Para realizar el borrado SED, el disco no debe estar en uso por el sistema ni asignado a ningún fin (por ejemplo, no debe estar en un conjunto de almacenamiento ni configurado como disco de repuesto). Asegúrese de que el disco está libre antes de realizar Borrado SED.
- Vaya a Almacenamiento e instantáneas > Almacenamiento > Discos/VJBOD > Discos.
- Seleccione un disco SED.
- Haga clic en Acción y después seleccione Borrado SED.
Esta función únicamente está disponible cuando el estado del tipo usado del disco es "Libre". Para comprobar este estado, vaya a Almacenamiento e instantáneas > Almacenamiento > Discos/VJBOD > Discos, localice el disco en la tabla y mire debajo de la columna "Tipo usado". Para obtener más información, consulte "Estados del disco" en la Guía del usuario de QTS o en la Guía del usuario de QuTS hero.
- Introduzca el ID de seguridad físico (PSID) del disco.SugerenciaEl PSID se suele encontrar en la etiqueta del disco.
Si no encuentra el PSID, contacte con el fabricante del disco. - Haga clic en Aplicar.
El sistema borra todos los datos en la unidad SED.
Estado SED
Para ver el estado de una unidad SED, vaya a Almacenamiento e instantáneas > Almacenamiento > Discos/VJBOD > Discos y haga clic en una unidad SED instalada.
| Estado SED | Descripción |
|---|---|
| No inicializado | La unidad SED está sin inicializar. El cifrado de la unidad está desactivado. |
| Desbloqueado | La unidad SED está inicializada y desbloqueada. El cifrado de la unidad está activado. Los datos de la unidad SED están cifrados y accesibles. |
| Bloqueada | La unidad SED está inicializada y bloqueada. El cifrado de la unidad está activado. Los datos de la unidad SED están cifrados e inaccesibles. |
| Bloqueado | La unidad SED está bloqueada por razones de seguridad. La unidad no se puede inicializar. Nota Para desbloquear la unidad SED, vuelva a insertar el disco o borre el disco con Borrado SED. Para obtener información, consulte Borrado de un disco utilizando borrado SED. |
Glosario
| Glos | Definición |
|---|---|
| Desbloqueo automático durante el inicio | Ajuste que permite al sistema desbloquear automáticamente un conjunto de almacenamiento seguro SED o un volumen estático seguro SED una vez que se reinicie el NAS |
| Clave de cifrado | Cadena criptográfica aleatoria única, almacenada físicamente dentro del hardware en las unidades con cifrado automático (SED) para el cifrado de datos escritos en la unidad y el descifrado de datos según se leen desde la unidad |
| Contraseña de cifrado | Contraseña definida por el usuario para bloquear y desbloquear un volumen estático o conjunto de almacenamiento seguro SED |
| PSID (ID seguro físico) | Clave única habitualmente etiquetada en una unidad con cifrado automático (SED) para restablecer los ajustes de fábrica de la unidad |
| Borrado SED | Función de Almacenamiento e instantáneas para borrar todos los datos de una unidad con cifrado automático (SED) y eliminar la contraseña de cifrado |
