Comment utiliser les disques à chiffrement automatique (SED) sur votre NAS QNAP ?
Ce tutoriel présente les disques à chiffrement automatique (SED) et comment les utiliser et les gérer sur votre NAS QNAP.
| Produits applicables | Détails |
|---|---|
| Matériel |
|
| Système d'exploitation |
|
- Lecteurs à chiffrement automatique (SED)
- Pourquoi utiliser des SED ?
- Types de SED
- Création d'un stockage SED
- Gestion SED
- Statut SED
- Glossaire
Lecteurs à chiffrement automatique (SED)
Un lecteur à cryptage automatique (SED) est un lecteur avec un matériel de cryptage intégré au contrôleur de lecteur. Les SED chiffrent automatiquement toutes les données lorsqu'elles sont écrites sur le disque et déchiffrent toutes les données lorsqu'elles sont lues sur le disque. Les données stockées sur les SED sont toujours entièrement chiffrées par une clé de chiffrement de données, qui est stockée sur le matériel du disque et inaccessible au système d'exploitation hôte ou aux utilisateurs non autorisés. La clé de chiffrement peut également être chiffrée par un mot de passe de chiffrement spécifié par l'utilisateur qui permet de verrouiller et de déverrouiller le SED.
Étant donné que le chiffrement et le déchiffrement sont gérés par le lecteur, l'accès aux données sur les SED ne nécessite aucune ressource CPU supplémentaire de la part du périphérique hôte. Les données sur les SED deviennent également inaccessibles si les SED sont physiquement volés ou perdus. Pour ces raisons, les SED sont largement préférés pour stocker des informations sensibles.
Vous pouvez utiliser des SED pour créer des pools de stockage sécurisé SED dans QTS et QuTS hero, et des volumes statiques sécurisés SED dans QTS. Vous pouvez également utiliser des SED pour créer des pools ou des volumes de stockage réguliers, mais la fonction d'auto-chiffrement sur les SED resterait désactivée.
Pourquoi utiliser des SED ?
La sécurité du stockage des données est une question extrêmement importante pour de nombreuses entreprises et organisations, en particulier lorsqu'elles stockent des données personnelles telles que les informations de carte de crédit et les numéros de carte d'identité, ou des secrets industriels tels que les plans de produit et la propriété intellectuelle.
Si une fuite de données se produit, l'entreprise ou l'organisation peut faire face à de graves conséquences. Outre l'exposition d'informations sensibles, une fuite de données peut également entraîner des dommages pour les clients et les clients, une perte de revenus et des sanctions légales.
Étant donné que les SED utilisent le chiffrement matériel intégral du disque, les processus de chiffrement et de déchiffrement se produisent dans le matériel du disque. Cette séparation du système d'exploitation hôte rend le chiffrement matériel plus sûr que le chiffrement logiciel. De plus, contrairement au chiffrement logiciel, le chiffrement matériel ne nécessite pas de ressources CPU supplémentaires. Si un SED est physiquement volé ou perdu, il devient pratiquement impossible d'obtenir des informations intelligibles du SED.
Pour ces raisons, les SED sont souvent une exigence de sécurité des données spécifiée dans les processus d'appel d'offres pour les agences gouvernementales, les établissements de soins de santé et les services financiers et bancaires.
Types de SED
QNAP classe les types de SED selon les spécifications standard de l'industrie définies par le Trusted Computing Group (TCG). Les types de SED pris en charge sont répertoriés dans le tableau suivant.
Pour vérifier le type de SED d'un SED installé, accédez à Stockage et snapshots > Stockage > Disques/VJBOD et cliquez sur un SED.
| Type de SED | Pris en charge |
|---|---|
| TCG Opal | Oui |
| TCG Enterprise | Oui, dans QTS 5.0.1 (ou version ultérieure) et QuTS hero h5.0.1 (ou version ultérieure) |
Création d'un stockage SED
Vous pouvez utiliser des SED pour créer des pools de stockage sécurisé SED dans QTS et QuTS hero, et des volumes statiques sécurisés SED dans QTS.
Création d'un pool de stockage sécurisé SED
- Ouvrez Stockage et snapshots.
- Vérifiez que les disques SED ne sont pas initialisés.
- Allez dans Stockage > Disques/VJBOD.
- Sélectionnez un disque SED.
- Vérifiez que le Statut SED est « Non initialisé ».
- Répétez les étapes ci-dessus pour chaque disque SED.
- Créez un pool de stockage sécurisé SED.RemarqueCette rubrique couvre uniquement les étapes minimales pour créer un pool de stockage sécurisé SED.
Pour obtenir des instructions complètes et des détails de configuration, consultez « Création d'un pool de stockage sécurisé SED » dans l'un des guides de l'utilisateur suivants :- Allez dans Stockage > Stockage/snapshots.
- Cliquez sur Créer > Nouveau pool de stockage
L'Assistant Créer un pool de stockage s'ouvre. - Cliquez sur Suivant.
- Facultatif : Sélectionnez une unité d'extension dans la liste Unité du boîtier.
- Sélectionnez Créer un pool de stockage sécurisé SED.
- Sélectionnez un ou plusieurs disques SED.
- Sélectionnez un type de RAID.
- Cliquez sur Suivant.
- Spécifiez le mot de passe de chiffrement.
- Cliquez sur Suivant.
- Cliquez sur Créer.
Le système crée le pool de stockage sécurisé SED.
Création d'un volume statique sécurisé SED
- Ouvrez Stockage et snapshots.
- Vérifiez que les disques SED ne sont pas initialisés.
- Allez dans Stockage > Disques/VJBOD > Disques.
- Sélectionnez un disque SED.
- Vérifiez que le Statut SED est « Non initialisé ».
- Répétez les étapes ci-dessus pour chaque disque SED.
- Créez un volume statique sécurisé SED.RemarqueCette rubrique couvre uniquement les étapes minimales pour créer un volume statique sécurisé SED.
Pour obtenir des instructions complètes et des détails de configuration, consultez « Création d'un volume statique sécurisé SED » dans le Guide de l'utilisateur QTS.- Allez dans Stockage >Stockage/Snapshots.
- Cliquez sur Créer > Nouveau volume
L'Assistant Créer un volume s'ouvre. - Sélectionnez Volume statique.
- Cliquez sur Suivant.
- Facultatif : Sélectionnez une unité d'extension dans la liste Unité du boîtier.
- Sélectionnez Créer un volume statique sécurisé SED.
- Sélectionnez un ou plusieurs disques SED.
- Sélectionnez un type de RAID.
- Cliquez sur Suivant.
- Spécifiez le mot de passe de chiffrement.
- Cliquez sur Suivant.
- Cliquez sur Terminer.
Le système crée le volume statique sécurisé SED.
Gestion SED
Actions de pool de stockage SED et de volume statique
Pour effectuer les actions suivantes, accédez à Stockage et snapshots > Stockage > Stockage/snapshots, sélectionnez un pool ou un volume SED, cliquez sur Gérer, puis sélectionnez Actions > Paramètres SED.
| Action | Description |
|---|---|
| Modifier le mot de passe du pool SED Modifier le mot de passe du volume SED | Changez le mot de passe de chiffrement. Avertissement Rappelez-vous ce mot de passe. Si vous oubliez le mot de passe, le pool deviendra inaccessible et toutes les données seront irrécupérables. Ce paramètre permet au système de déverrouiller et de monter automatiquement le pool ou le volume SED à chaque démarrage du NAS, sans que l'utilisateur n'ait à saisir le mot de passe de chiffrement. Avertissement Ce paramètre permet à QTS de déverrouiller et de monter automatiquement le pool SED chaque fois que le NAS démarre, sans que l'utilisateur ait à saisir le mot de passe de chiffrement. Conseil Dans certaines versions antérieures de QTS et QuTS hero, Déverrouiller automatiquement au démarrage est appelé Enregistrer la clé de chiffrement. |
| Verrouiller | Verrouillez le pool ou le volume. Tous les volumes/dossiers partagés, LUN, snapshots et données du pool ou du volume seront inaccessibles jusqu'à ce qu'il soit déverrouillé. |
| Déverrouiller | Déverrouillez un pool ou un volume SED verrouillé. Tous les volumes/dossiers partagés, LUN, snapshots et données du pool ou du volume deviennent accessibles. |
| Désactiver la sécurité SED | Supprimez le mot de passe utilisateur et désactivez la possibilité de verrouiller et déverrouiller le pool. |
| Activer la sécurité SED | Ajoutez un mot de passe de chiffrement et activez la possibilité de verrouiller et déverrouiller le pool ou le volume. |
Suppression d'un pool de stockage SED verrouillé ou d'un volume statique
- Allez dans Stockage et snapshots > Stockage > Stockage/Snapshots.
- Sélectionnez un pool de stockage SED verrouillé ou un volume statique.RemarqueLes volumes statiques ne sont disponibles que dans QTS.
- Cliquez sur Gérer, puis cliquez sur Supprimer.
La fenêtre Assistant de suppression s'ouvre. - Sélectionnez une option de suppression.
Option Description Déverrouiller et supprimer le pool, les données et la clé enregistrée QTS hero déverrouille les disques SED du pool de stockage ou du volume statique, puis supprime toutes les données. Le pool de stockage ou le volume statique est supprimé du système.
Vous devez entrer le mot de passe de chiffrement.Supprimer la pool sans la déverrouiller QTS hero supprime le pool de stockage ou le volume statique sans déverrouiller les disques. Les disques SED ne peuvent pas être réutilisés tant que vous n'avez pas effectué l'une des actions suivantes : - Déverrouillez les disques. Allez dans Disques/VJBOD, Cliquez sur Récupérer, puis sélectionnez Attacher et récupérer le pool de stockage.
- Effacez les disques à l'aide d'Effacer SED.
- Cliquez sur Appliquer.
Le système supprime le pool de stockage SED verrouillé ou le volume statique.
Migration d'un pool de stockage sécurisé SED vers un nouveau NAS
Les exigences suivantes s'appliquent lors de la migration d'un pool de stockage vers un nouveau NAS.
- Les deux appareils NAS doivent tous deux exécuter QTS, ou tous les deux exécuter QuTS hero. La migration entre QTS et QuTS hero n'est pas possible.
- La version de QTS ou QuTS hero exécutée sur le nouveau NAS doit être la même ou plus récente que la version exécutée sur le NAS d'origine.
- Sur le NAS d'origine, accédez à Stockage et snapshots > Stockage > Stockage/snapshots.
- Sélectionnez un pool de stockage sécurisé SED.
- Cliquez sur Gérer.
La fenêtre Gestion du pool de stockage s'ouvre. - Cliquez sur Action, puis sélectionnez Déconnecter en sécurité le pool.Un message de confirmation apparaît.
- Cliquez sur Oui.
L'état du pool de stockage passe à « Détachement sécurisé... ».
Une fois que le système a fini de détacher le pool, le pool disparaît de Stockage et snapshots. - Retirez les lecteurs contenant le pool de stockage du NAS.
- Installez les disques dans le nouveau NAS.
- Sur le nouveau NAS, accédez à
Stockage et snapshots > Stockage > Disques/VJBOD. - Cliquez sur Récupérer, puis sélectionnez Attacher et récupérer le pool de stockage.
Un message de confirmation apparaît. - Entrez le mot de passe de chiffrement.
Vous devez saisir ce mot de passe si vous utilisez des lecteurs à cryptage automatique (SED) avec le chiffrement activé. - Cliquez sur Attacher.
Le système analyse les disques et détecte le pool de stockage. - Cliquez sur Appliquer.
Le pool de stockage apparaît dans Stockage et snapshots sur le nouveau NAS.
Effacer un disque à l'aide d'Effacer SED
Effacer SED efface toutes les données d'un disque SED verrouillé ou déverrouillé et supprime le mot de passe de chiffrement.
Pour effectuer un effacement SED, le disque ne doit pas être utilisé par le système ni affecté à quelque fin que ce soit (par exemple, il ne doit pas se trouver dans un pool de stockage ni être configuré comme disque de secours). Assurez-vous que le disque est libre avant d’effectuer l’effacement SED.
- Allez dans Stockage et snapshots > Stockage > Disque/VJBOD > Disques.
- Sélectionnez un disque SED.
- Cliquez sur Actions, puis sélectionnez Effacer SED.
Cette fonction n'est disponible que lorsque l'état du type utilisé du disque est « Libre ». Pour vérifier ce statut, rendez-vous sur Stockage et snapshots > Stockage > Disques/VJBOD > Disques, localisez le disque dans le tableau et regardez sous la colonne « Type utilisé ». Pour plus de détails, voir « États des disques » dans le Guide de l'utilisateur QTS ou Guide de l'utilisateur de QuTS Hero.
- Saisissez l'ID de sécurité physique (PSID) du disque.ConseilLe PSID se trouve généralement sur l'étiquette du disque.
Si vous ne trouvez pas le PSID, contactez le fabricant du disque. - Cliquez sur Appliquer.
Le système efface toutes les données du SED.
Statut SED
Pour afficher le statut d'un SED, allez dans Stockage et snapshots > Stockage > Disques/VJBOD > Disques et cliquez sur un SED installé.
| Statut SED | Description |
|---|---|
| Non initialisé | Le SED n'est pas initialisé. Le chiffrement du lecteur est désactivé. |
| Déverrouillé | Le SED est initialisé et déverrouillé. Le chiffrement du lecteur est activé. Les données sur le SED sont cryptées et accessibles. |
| Verrouillée | Le SED est initialisé et verrouillé. Le chiffrement du lecteur est activé. Les données sur le SED sont cryptées et inaccessibles. |
| Bloqué | Le SED est bloqué pour des raisons de sécurité. Le lecteur ne peut pas être initialisé. Remarque Pour débloquer le SED, réinsérez le disque ou effacez le disque à l'aide d'Effacer SED. Pour plus de détails, voir Effacer un disque à l'aide d'Effacer SED. |
Glossaire
| Gloss | Définition |
|---|---|
| Déverrouiller automatiquement au démarrage | Paramètre qui permet au système de déverrouiller automatiquement un pool de stockage sécurisé SED ou un volume statique sécurisé SED après le redémarrage du NAS |
| Clé de chiffrement | Une chaîne cryptographique aléatoire unique stockée physiquement dans le matériel dans des disques à chiffrement automatique (SED) pour crypter les données écrites sur le lecteur et décrypter les données lorsqu'elles sont lues à partir du lecteur |
| Mot de passe de chiffrement | Un mot de passe défini par l'utilisateur pour verrouiller et déverrouiller un pool de stockage sécurisé SED ou un volume statique |
| PSID (Physical Secure ID) | Une clé unique généralement étiquetée sur un lecteur à chiffrement automatique (SED) pour réinitialiser le lecteur aux paramètres d'usine par défaut |
| Effacer SED | Fonction de stockage et de snapshots pour effacer toutes les données sur un lecteur à chiffrement automatique (SED) et supprimer le mot de passe de chiffrement |
