Search

Zelf-versleutelende schijven (SED’s) gebruiken in uw NAS van QNAP

Laatst gewijzigd op: 2023-12-26

In deze zelfstudie maakt u kennis met zelf-versleutelende schijven (SED’s) en leert u hoe u deze kunt gebruiken en beheren in uw QNAP NAS.

Toepasselijke productenDetails
Hardware
  • Alle QNAP NAS-modellen
  • TL-serie JBOD-behuizingen
Besturingssysteem
  • QTS
  • QuTS hero
NB:
QTS en QuTS hero ondersteunen geen SED-functies voor schijven die zijn geïnstalleerd op schijfadapters met hardware-RAID (zoals de QDA-A2AR en QDA-A2MAR).

Zelf-versleutelende apparaten (SED)

Een schijf die zichzelf versleutelt (SED) is een schijf waarbij versleutelingshardware in het besturingsprogramma is ingebouwd. SED’s versleutelen automatisch alle gegevens wanneer deze naar de schijf worden geschreven en ontsleutelt ze wanneer ze van de schijf worden gelezen. Gegevens die op SED’s zijn opgeslagen, worden altijd volledig versleuteld door middel van een versleutelingscode die in de hardware van de schijf is opgeslagen. De code is niet toegankelijk voor het hostbesturingssysteem of voor onbevoegde gebruikers. De versleutelingscode kan ook worden versleuteld met behulp van een door de gebruiker opgegeven wachtwoord, waarmee de SED kan worden vergrendeld en ontgrendeld.

Omdat de schijf zelf voor de versleuteling en ontsleuteling zorgt, zijn er geen extra CPU-bronnen van het hostapparaat nodig om toegang te krijgen tot gegevens op SED’s. Gegevens op SED’s zijn niet meer toegankelijk wanneer de SED’s worden gestolen of kwijtraken. Daarom hebben SED’s veruit de voorkeur bij het opslaan van gevoelige informatie.

U kunt SED’s gebruiken om beveiligde SED-opslagpools in QTS en QuTS hero te maken en om beveiligde statische SED-volumes te maken in QTS. Ook kunt u SED’s gebruiken om gewone opslagpools of volumes te maken. Daarbij wordt de functie voor eigen versleuteling van de SED’s echter niet geactiveerd.

Waarom zou u SED’s gebruiken?

De beveiliging van gegevensopslag is enorm belangrijk voor veel ondernemingen en organisaties –met name wanneer zij persoonsgegevens opslaan, zoals creditcardgegevens en nummers van identiteitskaarten of industriële geheimen, zoals blauwdrukken van producten en intellectuele eigendommen.

Wanneer er sprake is van een gegevenslek, kan de onderneming of organisatie daar ernstige gevolgen van ondervinden. Niet alleen kan gevoelige informatie openbaar worden, ook kan een gegevenslek schade bij klanten opleveren en tot inkomstenverlies en boetes leiden.

Omdat SED’s gebruikmaken van hardwarematige versleuteling van de gehele schijf, vinden zowel de versleuteling als ontsleuteling plaats in de fysieke schijf. Dankzij deze scheiding van het hostbesturingssysteem is hardwarematige versleuteling veiliger dan softwarematige versleuteling. Bovendien zijn voor hardwarematige versleuteling geen extra processorbronnen vereist, in tegenstelling tot bij softwarematige versleuteling. Wanneer een SED wordt gestolen of kwijtraakt, wordt het praktisch onmogelijk om leesbare informatie van de schijf te halen.

Daarom worden SED’s vaak nadrukkelijk als eis voor gegevensbeveiliging genoemd bij aanbestedingen voor overheidsinstellingen, zorginstellingen, financiële instellingen en banken.

SED-typen

QNAP categoriseert SED-typen overeenkomstig de industriële normen die door de Trusted Computing Group (TCG) zijn opgesteld. In de volgende tabel worden de ondersteunde SED-typen vermeld.

Ga naar ‘Opslag en snapshots’ > ‘Opslag’ > ‘Schijven/VJBOD’ > ‘Schijven’ en klik op een SED om het SED-type van een geïnstalleerde SED te controleren.

SED-typeOndersteund
TCG OpalJA
TCG EnterpriseJa, in QTS 5.0.1 (of een recentere versie) en QuTS hero h5.0.1 (of een recentere versie)

SED-opslag maken

U kunt SED’s gebruiken om beveiligde SED-opslagpools in QTS en QuTS hero te maken en om beveiligde statische SED-volumes te maken in QTS.

Belangrijk
U kunt de SED-beveiliging niet inschakelen nadat u een standaardpool of standaard statisch volume hebt gemaakt. U moet vanaf het begin een veilige SED-opslagpool of veilig statisch SED-volume maken.

Een veilige SED-opslagpool maken

  1. Open ‘Opslag en snapshots’.
  2. Controleer of de SED-schijven niet zijn geïnitialiseerd.
    1. Ga naar ‘Opslag’ > ‘Schijven/VJBOD’.
    2. Selecteer een SED-schijf.
    3. Controleer of de SED-status op "niet geïnitialiseerd" staat.
    4. Herhaal de bovenstaande stappen voor elke SED-schijf.
  3. Maak een veilige SED-opslagpool.
    NB:
    In dit onderwerp worden alleen de minimale stappen behandeld om een veilige SED-opslagpool te maken.
    Voor volledige instructies en configuratiedetails zie "Een veilige SED-opslagpool maken" in één van de volgende gebruikershandleidingen.
    1. Ga naar ‘Opslag’ > ‘Opslag/snapshots’.
    2. Klik op Maken > Nieuwe opslagpool.
      De Wizard 'Opslagpool maken' wordt geopend.
    3. Klik op Volgende.
    4. Optioneel: Selecteer een uitbreidingseenheid in de lijst Behuizing.
    5. Selecteer Veilige SED-opslagpool maken.
    6. Selecteer één of meer SED-schijven.
    7. Selecteer een RAID-type.
    8. Klik op Volgende.
    9. Geef het versleutelingswachtwoord op.
    10. Klik op Volgende.
    11. Klik op Maken.
      Het systeem maakt een veilige SED-opslagpool.

Een veilig statisch SED-volume maken

  1. Open ‘Opslag en snapshots’.
  2. Controleer of de SED-schijven niet zijn geïnitialiseerd.
    1. Ga naar ‘Opslag’ > ‘Schijven/VJBOD’ > ‘Schijven’.
    2. Selecteer een SED-schijf.
    3. Controleer of de SED-status op "niet geïnitialiseerd" staat.
    4. Herhaal de bovenstaande stappen voor elke SED-schijf.
  3. Maak een veilig statisch SED-volume.
    NB:
    In dit onderwerp worden alleen de minimale stappen behandeld om een veilig statisch SED-volume te maken.
    Voor volledige instructies en configuratiedetails zie "Maak een veilig statisch SED-volume" in de QTS-gebruikerhandleiding.
    1. Ga naar ‘Opslag’ > ‘Opslag/snapshots’.
    2. Klik op Maken > Nieuw volume.
      De Wizard Volume maken wordt geopend.
    3. Selecteer Statisch volume.
    4. Klik op Volgende.
    5. Optioneel: Selecteer een uitbreidingseenheid in de lijst Behuizing.
    6. Selecteer Maak een veilig statisch SED-volume.
    7. Selecteer één of meer SED-schijven.
    8. Selecteer een RAID-type.
    9. Klik op Volgende.
    10. Geef het versleutelingswachtwoord op.
    11. Klik op Volgende.
    12. Klik op Voltooien.
      Het systeem maakt een veilig statisch SED-volume.

SED-beheer

Acties voor SED-opslagpools en statische volumes

Ga naar Opslag en snapshots > Opslag > Opslag/snapshots, selecteer een SED-pool of -volume, klik op Beheren en selecteer Acties > SED-instellingen.

ActieBeschrijving
Wachtwoord van SED-pool wijzigen
Wachtwoord van SED-volume wijzigen		Wijzig het versleutelingswachtwoord.
Waarschuwing
Onthoud dit wachtwoord. Als u het wachtwoord vergeet, is de pool of het volume niet langer toegankelijk en kunnen alle gegevens niet meer worden hersteld.
U kunt ook Automatisch ontgrendelen bij opstarten inschakelen.
Met deze instelling kan het systeem de SED-pool of het SED-volume automatisch ontgrendelen en koppelen wanneer de NAS opstart, zonder dat de gebruiker het versleutelingswachtwoord hoeft in te voeren.
Waarschuwing
Wanneer u deze instelling inschakelt, kunnen onbevoegden mogelijk toegang tot gegevens krijgen als ze fysieke toegang tot de NAS hebben.
Tip
In sommige eerdere versies van QTS en QuTS hero is de functie Automatisch ontgrendelen bij opstarten bekend als Versleutelingscode opslaan.
VergrendelenVergrendel de pool of het volume. Alle volumes/gedeelde mappen, LUN's, snapshots en gegevens in de pool of het volume worden ontoegankelijk totdat u ze ontgrendeld worden.
OntgrendelenOntgrendel een vergrendelde SED-pool of een volume. Alle volumes/gedeelde mappen, LUN's, snapshots en gegevens in de pool of het volume worden toegankelijk.
SED-beveiliging uitschakelenVerwijder het versleutelingswachtwoord van de gebruiker en schakel de mogelijkheid uit om de pool of het volume te vergrendelen en ontgrendelen.
SED-beveiliging inschakelenVoeg een versleutelingswachtwoord voor de gebruiker toe en schakel de mogelijkheid in om de pool of het volume te vergrendelen en ontgrendelen.

Een vergrendelde SED-opslagpool of een statisch volume verwijderen

  1. Ga naar Opslag en snapshots > Opslag > Opslag/Snapshots.
  2. Selecteer een vergrendelde SED-opslagpool of een statisch volume.
    NB:
    Statisch volumes zijn alleen beschikbaar in QTS.
  3. Klik op Beheren en vervolgens op Verwijderen.
    De Wizard verwijderen wordt geopend.
  4. Selecteer een optie voor verwijdering.
    OptieBeschrijving
    Pool, gegevens en opgeslagen sleutel ontgrendelen en verwijderenDeze optie ontgrendelt de SED-schijven in de opslagpool of op het statische volume en verwijdert vervolgens alle gegevens. De opslagpool of het statische volume wordt uit het systeem verwijderd.
    U moet het versleutelingswachtwoord invoeren.
    Pool verwijderen zonder te ontgrendelenDeze optie verwijdert de opslagpool of het statische volume zonder de schijven te ontgrendelen. De SED-schijven kunnen niet opnieuw worden gebruikt tenzij u één van de volgende acties uitvoert:
    • Ontgrendel de schijven. Ga naar Schijven/VJBOD, klik op Herstellen en selecteer vervolgens Opslagpool koppelen en herstellen.
    • Wis de schijven met behulp van ‘SED wissen’.
  5. Klik op Toepassen.

Het systeem verwijdert de vergrendelde SED-opslagpool of het statische volume.

Een beveiligde SED-opslagpool migreren naar een nieuwe NAS

Op het migreren van een opslagpool naar een nieuwe NAS zijn de volgende eisen van toepassing.

  • Op beide NAS-apparaten moet QTS of QuTS hero worden uitgevoerd. U kunt geen migratie uitvoeren tussen QTS en QuTS hero.
  • Op de nieuwe NAS moet minimaal dezelfde versie van QTS of QuTS hero worden uitgevoerd als op de oorspronkelijke NAS.
  1. Ga op de oorspronkelijke NAS naar Opslag en snapshots > Opslag > Opslag/snapshots.
  2. Selecteer een beveiligde SED-opslagpool.
  3. Klik op Beheren.
    Het venster Opslagpool beheren wordt geopend.
  4. Klik op Actie en selecteer daarna Opslagpool veilig ontkoppelen.
    Er wordt een bericht voor bevestiging weergegeven.
  5. Klik op Ja.
    De status van de opslagpool verandert naar "Bezig met veilig ontkoppelen...".
    Nadat het systeem de pool heeft ontkoppeld, wordt deze pool niet meer weergegeven in Opslag en snapshots.
  6. Verwijder de schijven die de opslagpool bevatten uit de NAS.
  7. Installeer de schijven in de nieuwe NAS.
  8. Ga op de nieuwe NAS naar Opslag en snapshots > Opslag > Schijven/VJBOD.
  9. Klik op Herstellen en selecteer vervolgens Opslagpool koppelen en herstellen.
    Er wordt een bevestigingsbericht weergegeven.
  10. Voer het coderingswachtwoord in.
    U moet dit wachtwoord invoeren als u zelf-versleutelende schijven (SED's) gebruikt waarop versleuteling is ingeschakeld.
  11. Klik op Koppelen.
    Het systeem scant de schijven en detecteert de opslagpool.
  12. Klik op Toepassen.
    De opslagpool wordt op de nieuwe NAS weergegeven onder Opslag en snapshots.

Een schijf wissen met behulp van ‘SED wissen’

Met 'SED wissen’ worden alle gegevens op een vergrendelde of ontgrendelde SED-schijf gewist en wordt het versleutelingswachtwoord verwijderd.

Om ‘SED wissen’ uit te voeren, mag de schijf niet door het systeem of voor een bepaald doel worden gebruikt (de schijf mag bijvoorbeeld geen onderdeel zijn van een opslagpool of als reserveschijf zijn geconfigureerd). Controleer of de schijf vrij is voordat u ‘SED wissen’ uitvoert.

  1. Ga naar ‘Opslag en snapshots’ > ‘Opslag’ > ‘Schijven/VJBOD’ > ‘Schijven’.
  2. Selecteer een SED-schijf.
  3. Klik op Actie en selecteer daarna SED wissen.
    NB:

    Deze functie is alleen beschikbaar als het gebruikte schijftype de status 'Vrij' heeft. Ga naar ‘Opslag en snapshots’ > ‘Opslag’ > ‘Schijven/VJBOD’ > ‘Schijven’, zoek de schijf in de tabel en kijk onder de kolom ‘Gebruikt type’ om deze status te controleren. Raadpleeg ‘Status van schijven’ in de gebruikershandleiding voor QTS of gebruikershandleiding voor QuTS hero voor meer informatie.

    Het venster SED wissen wordt geopend.
  4. Voer de fysieke beveiligings-ID (PSID) van de schijf in.
    Tip
    De PSID is meestal te vinden op het label van de schijf.

    Neem contact op met de fabrikant van de schijf wanneer u de PSID niet kunt vinden.
  5. Klik op Toepassen.
    Het systeem wist alle gegevens op de SED.

SED-status

Ga naar ‘Opslag en snapshots’ > ‘Opslag’ > ’Schijven/VJBOD’ > ‘Schijven’ en klik op een geïnstalleerde SED om de status van een SED te controleren.

SED-statusBeschrijving
Niet geïnitialiseerdDe SED is niet geïnitialiseerd. Versleuteling van het station is uitgeschakeld.
OntgrendeldDe SED is geïnitialiseerd en ontgrendeld. Versleuteling van het station is ingeschakeld. Gegevens op de SED zijn versleuteld en toegankelijk.
VergrendeldDe SED is geïnitialiseerd en vergrendeld. Versleuteling van het station is ingeschakeld. Gegevens op de SED zijn versleuteld en ontoegankelijk.
GeblokkeerdDe SED is om veiligheidsredenen geblokkeerd. Het station kan niet worden geïnitialiseerd.
NB:
Plaats het station opnieuw of wis het station met behulp van SED wissen om de SED te deblokkeren. Raadpleeg Een schijf wissen met behulp van ‘SED wissen’ voor meer informatie.

Woordenlijst

GlansDefinitie
Automatisch ontgrendelen bij opstartenMet deze instelling kan het systeem automatisch een beveiligde SED-opslagpool of een beveiligd statisch SED-volume ontgrendelen nadat de NAS opnieuw is gestart
CoderingscodeEen unieke, gerandomiseerde cryptografische tekenreeks die fysiek in de hardware in zelf-versleutelende schijven (SED’s) is opgeslagen om de gegevens die naar de schijf worden geschreven te versleutelen en om deze gegevens te ontsleutelen wanneer ze van de schijf worden gelezen
VersleutelingswachtwoordEen door de gebruiker gedefinieerd wachtwoord voor het vergrendelen en ontgrendelen van een beveiligde SED-opslagpool of een statisch volume
PSID (‘Physical Secure ID’)Een unieke code die meestal op een zelf-versleutelende schijf (SED) is aangebracht en waarmee de fabrieksinstellingen opnieuw kunnen worden ingesteld
SED wissenFunctie in Opslag en snapshots voor het wissen van alle gegevens op een zelf-versleutelende schijf (SED) en het verwijderen van het versleutelingswachtwoord

Was dit artikel nuttig?

Ja. Nee.
66% van de mensen vond dit nuttig
Bedankt voor uw feedback.

Vertel ons a.u.b. hoe we dit artikel kunnen verbeteren.

Hieronder kunt u eventuele aanvullende feedback toevoegen.

Kies specificatie

      Toon meer Minder

      Deze website in andere landen/regio's:

      open menu
      back to top