Come utilizzare unità a crittografia automatica (SED) in QNAP NAS?
Questa esercitazione presenta le unità con crittografia automatica (SED) e come utilizzarle e gestirle sul QNAP NAS.
| Prodotti applicabili | Dettagli |
|---|---|
| Hardware |
|
| Sistema operativo |
|
- Unità a crittografia automatica (SED)
- Perché utilizzare le SED?
- Tipi di SED
- Creazione dell’Archiviazione SED
- Gestione SED
- Stato SED
- Glossario
Unità a crittografia automatica (SED)
Un'unità a crittografia automatica (SED) è un'unità con un hardware di crittografia incorporato nel controller dell'unità. Un SED cripta automaticamente tutti i dati quando vengono scritti sul disco e decripta tutti i dati quando vengono letti dal disco. I dati memorizzati sui defibrillatori sono sempre completamente crittografati mediante una chiave di crittografia, memorizzata sull'hardware dell'unità e non accessibile dal sistema operativo host o da utenti non autorizzati. La chiave di crittografia può essere crittata anche da una password di crittografia specificata dall'utente che consente di bloccare e sbloccare il SED.
Poiché la crittografia e la decrittografia vengono gestite dall'unità, l'accesso ai dati sui SED non richiede risorse CPU aggiuntive dal dispositivo host. Inoltre, in caso di smarrimento o perdita fisica dei SED, i dati nei SED diventano inaccessibili. Per questi motivi, i SED sono ampiamente preferiti per memorizzare informazioni sensibili.
È possibile utilizzare SED per creare storage pool sicuri SED in QTS e QuTS hero e volumi statici sicuri SED in QTS. È anche possibile utilizzare i SED per creare volumi o storage pool regolari, ma la funzione di autocrittografia sui SED sarebbe disattivata.
Perché utilizzare le SED?
La sicurezza dell'archiviazione dei dati è una questione estremamente importante per molte aziende e organizzazioni, soprattutto quando si conservano dati personali come le informazioni sulle carte di credito e i numeri delle carte d'identità, o segreti industriali come le cianografie dei prodotti e la proprietà intellettuale.
Se si verifica una fuga di dati, l'azienda o l'organizzazione può andare incontro a gravi conseguenze. Oltre all'esposizione di informazioni sensibili, una fuga di dati può causare danni a clienti e utenti, perdite di fatturato e sanzioni legali.
Poiché le unità SED utilizzano la crittografia completa del disco basata su hardware, i processi di crittografia e decrittografia avvengono nell'hardware del disco. Questa separazione dal sistema operativo host rende la crittografia hardware più sicura di quella software. Inoltre, a differenza della crittografia software, la crittografia hardware non richiede risorse CPU aggiuntive. Se un SED viene fisicamente rubato o perso, diventa praticamente impossibile ottenere informazioni intelligibili dal SED.
Per questi motivi, le SED sono spesso un requisito di sicurezza dei dati specificato nelle gare d'appalto per agenzie governative, istituzioni sanitarie e servizi finanziari e bancari.
Tipi di SED
QNAP classifica i tipi di SED in base alle specifiche standard del settore definite dal Trusted Computing Group (TCG). I tipi SED supportati sono elencati nella tabella seguente.
Per controllare il tipo SED di un SED installato, accedere a Archiviazione e snapshot > Archiviazione > Dischi/VJBOD > Dischi e fare clic su un SED.
| Tipo SED | Supportato |
|---|---|
| TCG Opal | Sì |
| TCG Enterprise | Sì, in QTS 5.0.1 (o versione successiva) e QuTS hero h5.0.1 (o versione successiva) |
Creazione dell’Archiviazione SED
È possibile utilizzare SED per creare storage pool sicuri SED in QTS e QuTS hero e volumi statici sicuri SED in QTS.
Creazione di uno storage pool sicuro SED
- Aprire Archiviazione e snapshot.
- Verificare che i dischi SED non siano inizializzati.
- Andare su Archiviazione > Dischi/VJBOD.
- Selezionare un disco SED.
- Verificare che lo Stato SED sia "Non inizializzato".
- Ripetere i passaggi precedenti per ciascun disco SED.
- Creare uno storage pool sicuro SED.NotaIn questo argomento vengono illustrati solo i passaggi minimi per creare uno storage pool protetto SED.
Per istruzioni complete e dettagli sulla configurazione, vedere "creazione di uno storage pool sicuro SED" in una delle seguenti guide dell'utente:- Andare su Archiviazione > Archiviazione/Snapshot.
- Fare clic su Crea > Nuovo storage pool.
Viene visualizzata la Procedura guidata di creazione dello storage pool. - Fare clic su Avanti.
- Opzionale: Selezionare una unità di espansione dall'elenco Unità di alloggiamento.
- Selezionare Crea storage pool protetto da SED.
- Selezionare uno o più dischi SED.
- Selezionare un tipo RAID.
- Fare clic su Avanti.
- Specificare la password di crittografia.
- Fare clic su Avanti.
- Fare clic su Crea.
Il sistema crea lo storage pool sicuro SED.
Creazione di un volume statico sicuro SED
- Aprire Archiviazione e snapshot.
- Verificare che i dischi SED non siano inizializzati.
- Andare su Archiviazione > Dischi/VJBOD > Dischi.
- Selezionare un disco SED.
- Verificare che lo Stato SED sia "Non inizializzato".
- Ripetere i passaggi precedenti per ciascun disco SED.
- Creare un volume statico con protezione SED.NotaIn questo argomento vengono illustrati solo i passaggi minimi per creare un volume statico sicuro SED.
Per istruzioni complete e dettagli sulla configurazione, vedere "Creare un volume statico con protezione SED" nella Guida dell'utente QTS.- Andare su Archiviazione > Archiviazione/Snapshot.
- Fare clic su Crea > Nuovo volume.
Viene visualizzata la Procedura guidata Crea volume. - Selezionare Volume statico.
- Fare clic su Avanti.
- Opzionale: Selezionare una unità di espansione dall'elenco Unità di alloggiamento.
- Selezionare Creare un volume statico con protezione SED.
- Selezionare uno o più dischi SED.
- Selezionare un tipo RAID.
- Fare clic su Avanti.
- Specificare la password di crittografia.
- Fare clic su Avanti.
- Fare clic su Fine.
Il sistema crea il volume statico sicuro SED.
Gestione SED
Azioni di volume statico e storage pool SED
Per eseguire le seguenti azioni, accedere a Archiviazione e snapshot > Archiviazione > Archiviazione/Snapshot, selezionare un pool o un volume SED, fare clic su Gestisci, quindi selezionare Azioni > Impostazioni SED.
| Azione | Descrizione |
|---|---|
| Modifica password pool SED Modifica password volume SED | Cambiare la password di crittografia. Avviso Ricordare questa password. Se si dimentica la password, il pool o il volume diventerà inaccessibile e tutti i dati saranno persi. Questa impostazione consente al sistema di sbloccare e montare automaticamente il pool o il volume SED all'avvio del NAS, senza richiedere all'utente di immettere la password di crittografia. Avviso L'abilitazione di questa impostazione può causare accessi non autorizzati se il personale non autorizzato può accedere fisicamente il NAS. Suggerimento In alcune versioni precedenti di QTS e QuTS hero, lo Sblocco automatico all'avvio è noto come Salva chiave crittografia. |
| Blocca | Bloccare il pool o il volume. Tutti i volumi/tutte le cartelle condivise, i LUN, le snapshot e i dati nel pool o nel volume diventeranno inaccessibili fino a quando saranno sbloccati. |
| Sblocca | Sbloccare un pool o un volume SED bloccato. Tutti i volumi/tutte le cartelle condivise, i LUN, le snapshot e i dati nel pool o nel volume diventeranno inaccessibili. |
| Disabilita protezione SED | Rimuovere la password di crittografia e disabilitare la possibilità di bloccare e sbloccare il pool o il volume. |
| Abilita protezione SED | Aggiungere una password di crittografia e abilitare la possibilità di bloccare e sbloccare il pool o il volume. |
Rimozione di uno volume statico o uno storage pool SED bloccato
- Andare su Archiviazione e snapshot > Archiviazione > Archiviazione/Snapshot.
- Selezionare uno storage pool o un volume statico SED bloccato.NotaI volumi statici sono disponibili solo in QTS.
- Fare clic su Gestisci, quindi su Rimuovi.
Viene visualizzata la finestra Rimozione guidata. - Selezionare un'opzione di rimozione.
Opzione Descrizione Sblocca e rimuovi pool, dati e chiave salvata Questa opzioni sblocca i dischi SED nello storage pool o nel volume statico, quindi elimina tutti i dati. Lo storage pool o il volume statico viene rimosso dal sistema.
Immettere la password di crittografia.Rimuovi pool senza sbloccarlo Questa opzione rimuove lo storage pool o volume statico senza sbloccare i dischi. I dischi SED non possono essere utilizzati di nuovo fino a quando verrà eseguita una delle seguenti operazioni: - Sbloccare i dischi. Accedere a Dischi/VJBOD, fare clic su Recupera, quindi selezionare Collega e Ripristina storage pool.
- Cancellare i dischi mediante Cancellazione SED.
- Fare clic su Applica.
Il sistema rimuove il volume statico o lo storage pool SED bloccato.
Migrazione di uno storage pool protetto da SED su un nuovo NAS
I seguenti requisiti si applicano durante la migrazione di uno storage pool su un nuovo NAS.
- I due dispositivi NAS devono essere entrambi dotati di QTS o entrambi di QuTS hero. La migrazione tra QTS e QuTS hero non è possibile.
- La versione di QTS o QuTS hero in esecuzione sul nuovo NAS deve essere la stessa o più recente della versione in esecuzione sul NAS originale.
- Sul NAS originale, andare su Archiviazione e snapshot > Archiviazione > Archiviazione/Snapshot.
- Selezionare uno storage pool protetto da SED.
- Fare clic su Gestisci.
Viene visualizzata la finestra Gestione storage pool. - Fare clic su Azione e scegliere Disconnessione sicura del pool.Viene visualizzato un messaggio di conferma.
- Fare clic su Sì.
Lo stato dello storage pool cambia in "Scollegamento sicuro...".
Dopo che il sistema ha terminato di scollegare il pool, il pool scompare da Archiviazione e snapshot. - Rimuovere le unità contenenti lo storage pool dal NAS.
- Installare le unità nel nuovo NAS.
- Sul nuovo NAS, passare a
Archiviazione e snapshot > Archiviazione > Dischi/VJBOD. - Fare clic su Recupera, quindi selezionare Collega e Ripristina storage pool.
Viene visualizzato un messaggio di conferma. - Immettere la password di crittografia.
È necessario immettere questa password se si utilizzano unità con crittografia automatica (SED) con crittografia attivata. - Fare clic su Collega.
Il sistema esegue la scansione dei dischi e rileva lo storage pool. - Fare clic su Applica.
Lo storage pool viene visualizzato in Archiviazione e snapshot sul nuovo NAS.
Cancellazione di un disco mediante Cancellazione SED
Cancellazione SED cancella tutti i dati in un disco SED bloccato o sbloccato e rimuove la password di crittografia.
Per eseguire la Cancellazione SED, il disco non deve essere in uso dal sistema o non deve essere assegnato alcuno scopo (ad esempio, non deve trovarsi in uno storage pool o non deve essere configurato come disco di riserva). Verificare che il disco sia libero prima di eseguire la Cancellazione SED.
- Andare su Archiviazione e snapshot > Archiviazione > Dischi/VJBOD > Dischi.
- Selezionare un disco SED.
- Fare clic su Azione, quindi selezionare Cancellazione SED.
Questa funzione è disponibile solo quando lo stato del tipo di disco utilizzato è "libero". Per controllare questo stato, andare su Archiviazione e snapshot> Archiviazione > Dischi/VJBOD > Dischi, individuare il disco nella tabella e cercare nella colonna "Tipo usato". Per i dettagli, vedere “Stati disco” nella Guida utente di QTS o nella Guida utente di QuTS hero.
- Immettere l'ID di sicurezza fisica (PSID) del disco.SuggerimentoGeneralmente, il PSID è riportato sull'etichetta del disco.
Se il PSID non è reperibile, contattare il produttore del disco. - Fare clic su Applica.
Il sistema cancella tutti i dati sul SED.
Stato SED
Per visualizzare lo stato di un SED, accedere a Archiviazione e snapshot > Archiviazione > Dischi/VJBOD > Dischi e fare clic su un SED installato.
| Stato SED | Descrizione |
|---|---|
| Non inizializzato | SED non inizializzato. La crittografia dell'unità è disattivata. |
| Sbloccato | Il SED viene inizializzato e sbloccato. La crittografia dell'unità è attivata. I dati sul SED sono crittografati e accessibili. |
| Bloccato | Il SED viene inizializzato e bloccato. La crittografia dell'unità è attivata. I dati sul SED sono crittografati e inaccessibili. |
| Bloccati | Il SED è bloccato per motivi di sicurezza. Impossibile inizializzare l'unità. Nota Per sbloccare il SED, reinserire il disco o cancellarlo utilizzando Cancellazione SED. Per informazioni, consultare Cancellazione di un disco mediante SED Erase. |
Glossario
| Gloss | Definizione |
|---|---|
| Sblocco automatico all'avvio | Impostazione che consente al sistema di sbloccare automaticamente uno storage pool con protezione SED o un volume statico con protezione SED dopo il riavvio del NAS. |
| Chiave di crittografia | Una stringa crittografica unica e randomizzata memorizzata fisicamente all'interno dell'hardware delle unità con crittografia automatica (SED) per la crittografia dei dati scritti sull'unità e la decrittografia dei dati letti dall'unità |
| Password crittografia | Una password definita dall'utente per bloccare e sbloccare uno storage pool sicura SED o un volume statico |
| PSID (Physical Secure ID) | Una chiave univoca solitamente etichettata su un'unità con crittografia automatica (SED) per ripristinare le impostazioni di fabbrica dell'unità |
| Cancellazione SED | Funzione Archiviazione e snapshot per cancellare tutti i dati su un'unità con crittografia automatica (SED) e rimuovere la password di crittografia |
