Jak używać dysków samoszyfrujących (SED) na serwerze NAS QNAP?
W tym samouczku przedstawiono dyski samoszyfrujące (SED) oraz sposoby ich wykorzystania i zarządzania nimi na serwerze NAS QNAP.
| Produkty, których to dotyczy | Szczegóły |
|---|---|
| Sprzęt |
|
| System operacyjny |
|
- Dyski samoszyfrujące (SED)
- Dlaczego warto korzystać z dysków SED?
- Typy dysków SED
- Tworzenie pamięci masowej SED
- Zarządzanie dyskami SED
- Status SED
- Glosariusz
Dyski samoszyfrujące (SED)
Dysk samoszyfrujący (SED) to dysk ze sprzętem szyfrującym wbudowanym w kontroler dysku. Dyski SED automatycznie szyfrują wszystkie dane podczas zapisu na dysku i odszyfrowują je podczas odczytu. Dane zapisane na dyskach SED są zawsze całkowicie zaszyfrowane przy użyciu klucza szyfrowania danych, który jest zapisany w sprzęcie dysku i nie jest dostępny dla systemu operacyjnego hosta ani nieautoryzowanych użytkowników. Klucz szyfrowania można również zaszyfrować za pomocą hasła podanego przez użytkownika, które umożliwia blokowanie i odblokowywanie dysku SED.
Ponieważ szyfrowanie i odszyfrowywanie są obsługiwane przez dysk, uzyskiwanie dostępu do danych na dyskach SED nie wymaga dodatkowych zasobów procesora na urządzeniu hosta. Ponadto w przypadku kradzieży lub utraty dysków SED zapisane na nich dane stają się niedostępne. Z tych względów dyski SED są często używane do przechowywania informacji poufnych.
Za pomocą dysków SED można tworzyć bezpieczne pule pamięci SED w systemach QTS i QuTS hero oraz bezpieczne woluminy statyczne SED w systemie QTS. Dysków SED można również używać do tworzenia zwykłych pul lub woluminów pamięci masowej, ale funkcja samoszyfrowania na tych dyskach jest wtedy wyłączona.
Dlaczego warto korzystać z dysków SED?
W wielu przedsiębiorstwach i organizacjach bezpieczeństwo przechowywanych danych jest niezwykle istotne, zwłaszcza w przypadku danych osobowych, takich jak informacje o kartach kredytowych i numery dokumentów tożsamości, lub tajemnic handlowych, takich jak projekty produktów i materiały stanowiące własność intelektualną.
Wyciek danych może oznaczać poważne konsekwencje dla przedsiębiorstwa lub organizacji. Oprócz ujawnienia informacji poufnych wyciek danych może również prowadzić do wyrządzenia szkód konsumentom i klientom, utraty przychodów oraz sankcji karnych.
W przypadku dysków SED szyfrowanie i deszyfrowanie całego dysku odbywają się w komponentach sprzętowych. Szyfrowanie sprzętowe jest bezpieczniejsze niż programowe ze względu na oddzielenie od systemu operacyjnego hosta. Ponadto w odróżnieniu od szyfrowania programowego szyfrowanie sprzętowe nie wymaga dodatkowych zasobów procesora. W przypadku kradzieży lub utraty dysku SED uzyskanie zrozumiałych informacji z tego dysku jest praktycznie niemożliwe.
Z tych powodów używanie dysków SED jest często wymagane ze względów bezpieczeństwa danych w procedurach przetargowych w administracji państwowej, a także w instytucjach opieki zdrowotnej oraz podmiotach świadczących usługi finansowe i bankowe.
Typy dysków SED
QNAP stosuje podział dysków SED oparty na specyfikacjach branżowych określonych przez organizację TCG (Trusted Computing Group). Obsługiwane typy dysków SED zostały wymienione w poniższej tabeli.
Aby sprawdzić typ zainstalowanego dysku SED, wybierz kolejno Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski i kliknij dysk SED.
| Typ SED | Obsługiwane |
|---|---|
| TCG Opal | Tak |
| TCG Enterprise | Tak, w systemie QTS 5.0.1 (lub nowszym) lub QuTS hero h5.0.1 (lub nowszym). |
Tworzenie pamięci masowej SED
Za pomocą dysków SED można tworzyć bezpieczne pule pamięci SED w systemach QTS i QuTS hero oraz bezpieczne woluminy statyczne SED w systemie QTS.
Tworzenie bezpiecznej puli pamięci SED
- Otwórz sekcję Pamięć masowa i migawki.
- Sprawdź, czy dyski SED są niezainicjowane.
- Wybierz kolejno Pamięć masowa > Dyski/VJBOD.
- Wybierz dysk SED.
- Sprawdź, czy w obszarze Status SED widnieje wartość „Niezainicjowany”.
- Powtórz powyższe kroki dla każdego dysku SED.
- Utwórz bezpieczną pulę pamięci SED.UwagaW tym temacie omówiono jedynie minimalny zakres procedury tworzenia bezpiecznej puli pamięci SED.
Kompletne instrukcje i szczegółowe informacje dotyczące konfiguracji można znaleźć w sekcji „Tworzenie bezpiecznej puli pamięci SED” w następujących podręcznikach użytkownika:- Wybierz kolejno Pamięć masowa > Pamięć masowa/Migawki.
- Kliknij kolejno Utwórz > Nowa pula pamięci.
Zostanie wyświetlony Kreator tworzenia puli pamięci. - Kliknij przycisk Dalej.
- Opcjonalnie: Wybierz moduł rozszerzający z listy Obudowa.
- Wybierz pozycję Utwórz bezpieczną pulę pamięci SED.
- Wybierz co najmniej jeden dysk SED.
- Wybierz typ RAID.
- Kliknij przycisk Dalej.
- Podaj hasło szyfrowania.
- Kliknij przycisk Dalej.
- Kliknij pozycję Utwórz.
System utworzy bezpieczną pulę pamięci SED.
Tworzenie bezpiecznego woluminu statycznego SED
- Otwórz sekcję Pamięć masowa i migawki.
- Sprawdź, czy dyski SED są niezainicjowane.
- Wybierz kolejno Pamięć masowa > Dyski/VJBOD > Dyski.
- Wybierz dysk SED.
- Sprawdź, czy w obszarze Status SED widnieje wartość „Niezainicjowany”.
- Powtórz powyższe kroki dla każdego dysku SED.
- Utwórz bezpieczny wolumin statyczny SED.UwagaW tym temacie omówiono jedynie minimalny zakres procedury tworzenia bezpiecznego woluminu statycznego SED.
Kompletne instrukcje i szczegółowe informacje dotyczące konfiguracji można znaleźć w sekcji „Tworzenie bezpiecznego woluminu statycznego SED” w podręczniku użytkownika systemu QTS.- Wybierz kolejno Pamięć masowa > Pamięć masowa/Migawki.
- Kliknij kolejno Utwórz > Nowy wolumin.
Zostanie wyświetlony Kreator tworzenia woluminu. - Wybierz pozycję Wolumin statyczny.
- Kliknij przycisk Dalej.
- Opcjonalnie: Wybierz moduł rozszerzający z listy Obudowa.
- Wybierz pozycję Utwórz bezpieczny wolumin statyczny SED.
- Wybierz co najmniej jeden dysk SED.
- Wybierz typ RAID.
- Kliknij przycisk Dalej.
- Podaj hasło szyfrowania.
- Kliknij przycisk Dalej.
- Kliknij pozycję Zakończ.
System utworzy bezpieczny wolumin statyczny SED.
Zarządzanie dyskami SED
Działania na puli pamięci SED i woluminach statycznych
Aby wykonać następujące działania, wybierz kolejno Pamięć masowa i migawki > Pamięć masowa > Pamięć masowa/Migawki, wybierz pulę lub wolumin SED, kliknij opcję Zarządzaj, a następnie wybierz kolejno Działania > Ustawienia SED.
| Działanie | Opis |
|---|---|
| Zmień hasło do puli SED Zmień hasło do woluminu SED | Umożliwia zmianę hasła szyfrowania. Ostrzeżenie Zapamiętaj to hasło. W przypadku zapomnienia hasła nie będzie można uzyskać dostępu do danych w puli lub woluminie. To ustawienie umożliwia automatyczne odblokowanie i zainstalowanie puli lub woluminu SED w systemie przy każdym uruchomieniu serwera NAS bez wprowadzania hasła szyfrowania przez użytkownika. Ostrzeżenie Włączenie tego ustawienia wiąże się z ryzykiem nieuprawnionego dostępu do danych w razie fizycznego uzyskania dostępu do serwera NAS przez osoby nieupoważnione. Wskazówka W niektórych wcześniejszych wersjach systemów QTS i QuTS hero ustawienie Automatyczne odblokowywanie w momencie uruchomienia nosi nazwę Zapisz klucz szyfrowania. |
| Blokada | Umożliwia zablokowanie puli lub woluminu. Wszystkie woluminy/foldery udostępnione, jednostki LUN, migawki oraz dane w puli lub woluminie będą niedostępne do momentu odblokowania. |
| Odblokuj | Umożliwia odblokowanie zablokowanej puli lub zablokowanego woluminu SED. Wszystkie woluminy/foldery udostępnione, jednostki LUN, migawki oraz dane w puli lub woluminie staną się dostępne. |
| Wyłącz ochronę SED | Umożliwia usunięcie hasła szyfrowania i wyłączenie możliwości blokowania i odblokowywania puli lub woluminu. |
| Włącz ochronę SED | Umożliwia dodanie hasła szyfrowania i włączenie możliwości blokowania i odblokowywania puli lub woluminu. |
Usuwanie zablokowanej puli pamięci SED lub zablokowanego woluminu statycznego SED
- Wybierz kolejno Pamięć masowa i migawki > Pamięć masowa > Pamięć masowa/Migawki.
- Wybierz zablokowaną pulę pamięci SED lub zablokowany wolumin statyczny SED.UwagaWoluminy statyczne są dostępne tylko w systemie QTS.
- Kliknij pozycję Zarządzaj, a następnie kliknij pozycję Usuń.
Zostanie otwarte okno Kreator usuwania. - Wybierz opcję usuwania.
Opcja Opis Odblokuj i usuń pulę, dane i zapisany klucz Ta opcja umożliwia odblokowanie dysków SED w puli pamięci lub woluminie statycznym oraz usunięcie wszystkich danych. Nastąpi usunięcie puli pamięci lub woluminu statycznego z systemu.
Musisz wprowadzić hasło szyfrowania.Usuń pulę bez odblokowywania Ta opcja umożliwia usunięcie puli pamięci lub woluminu statycznego bez odblokowywania dysków. Dysków SED nie można używać do momentu wykonania jednego z następujących działań: - Odblokuj dyski. Wybierz pozycję Dyski/VJBOD, kliknij opcję Odzyskaj, a następnie wybierz opcję Dołącz i odzyskaj pulę pamięci.
- Wymaż dyski za pomocą funkcji Czyszczenie SED.
- Kliknij przycisk Zastosuj.
System usunie zablokowaną pulę pamięci SED lub zablokowany wolumin statyczny SED.
Migracja bezpiecznej puli pamięci SED na nowy serwer NAS
Migracja puli pamięci na nowy serwer NAS wymaga spełnienia następujących warunków.
- Na obu urządzeniach NAS musi być zainstalowany system QTS lub QuTS hero. Migracja między systemem QTS a systemem QuTS hero nie jest możliwa.
- Wersja systemu QTS lub QuTS hero zainstalowanego na nowym serwerze NAS musi być taka sama jak wersja systemu zainstalowanego na pierwotnym serwerze NAS lub od niej nowsza.
- Na pierwotnym serwerze NAS wybierz kolejno Pamięć masowa i migawki > Pamięć masowa > Pamięć masowa/Migawki.
- Wybierz bezpieczną pulę pamięci SED.
- Kliknij pozycję Zarządzaj.
Zostanie wyświetlone okno Zarządzanie pulą pamięci. - Kliknij opcję Działanie, a następnie wybierz opcję Bezpiecznie odłącz pulę.Zostanie wyświetlony komunikat z prośbą o potwierdzenie.
- Kliknij przycisk Tak.
Stan puli pamięci zmieni się na „Bezpieczne odłączanie...”.
Odłączona pula zniknie z obszaru Pamięć masowa i migawki w systemie. - Usuń dyski zawierające tę pulę pamięci z serwera NAS.
- Zainstaluj dyski na nowym serwerze NAS.
- Na nowym serwerze NAS wybierz kolejno
Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD. - Kliknij pozycję Odzyskaj, a następnie wybierz opcję Dołącz i odzyskaj pulę pamięci.
Zostanie wyświetlony komunikat z potwierdzeniem. - Wprowadź hasło szyfrowania.
Hasło jest wymagane w przypadku używania dysków samoszyfrujących (SED) z włączonym szyfrowaniem. - Kliknij pozycję Dołącz.
System przeskanuje dyski i wykryje pulę pamięci. - Kliknij przycisk Zastosuj.
Pula pamięci pojawi się w obszarze Pamięć masowa i migawki na nowym serwerze NAS.
Wymazywanie dysku za pomocą funkcji Czyszczenie SED
Funkcja Czyszczenie SED umożliwia usunięcie wszystkich danych na zablokowanym lub odblokowanym dysku SED oraz hasła szyfrowania.
Aby skorzystać z funkcji Czyszczenie SED, dysk nie może być używany przez system ani nie może mieć przypisanego celu (na przykład nie może się znajdować w puli pamięci ani być dyskiem zapasowym). Funkcję Czyszczenie SED należy uruchamiać na nieużywanych dyskach.
- Wybierz kolejno Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski.
- Wybierz dysk SED.
- Kliknij pozycję Działanie, a następnie wybierz opcję Czyszczenie SED.
Ta funkcja jest dostępna tylko wtedy, gdy dysk ma status „Wolny”. Aby sprawdzić status dysku, wybierz kolejno Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski, znajdź dysk w tabeli i sprawdź informacje w kolumnie „Użyty typ”. Szczegółowe informacje zawiera część „Statusy dysków” w Podręczniku użytkownika systemu QTS lub Podręczniku użytkownika systemu QuTS hero.
- Wprowadź identyfikator zabezpieczeń fizycznych dysku (PSID).WskazówkaIdentyfikator PSID zwykle można odczytać z etykiety dysku.
Jeśli nie możesz znaleźć identyfikatora PSID, skontaktuj się z producentem dysku. - Kliknij przycisk Zastosuj.
System usunie wszystkie dane z dysku SED.
Status SED
Aby wyświetlić status dysku SED, wybierz kolejno Pamięć masowa i migawki > Pamięć masowa > Dyski/VJBOD > Dyski i kliknij zainstalowany dysk SED.
| Status SED | Opis |
|---|---|
| Niezainicjowany | Dysk SED jest niezainicjowany. Szyfrowanie dysku jest wyłączone. |
| Odblokowany | Dysk SED jest zainicjowany i odblokowany. Szyfrowanie dysku jest włączone. Dane na dysku SED są zaszyfrowane i dostępne. |
| Zablokowana | Dysk SED jest zainicjowany i zablokowany. Szyfrowanie dysku jest włączone. Dane na dysku SED są zaszyfrowane i niedostępne. |
| Zablokowane | Dysk SED został zablokowany ze względów bezpieczeństwa. Nie można zainicjować tego dysku. Uwaga Aby odblokować dysk SED, włóż dysk ponownie lub wymaż go za pomocą funkcji Czyszczenie SED. Aby uzyskać szczegółowe informacje, zobacz część Wymazywanie dysku za pomocą funkcji Czyszczenie SED. |
Glosariusz
| Hasło | Definicja |
|---|---|
| Automatyczne odblokowywanie w momencie uruchomienia | To ustawienie umożliwia automatyczne odblokowanie bezpiecznej puli pamięci SED lub bezpiecznego woluminu statycznego SED w systemie po ponownym uruchomieniu serwera NAS |
| Klucz szyfrowania | Unikatowy, losowy ciąg kryptograficzny fizycznie przechowywany w komponentach sprzętowych dysków samoszyfrujących (SED), który umożliwia szyfrowanie zapisywanych danych i odszyfrowywanie odczytywanych danych |
| Hasło szyfrowania | Hasło określone przez użytkownika, które umożliwia blokowanie i odblokowywanie bezpiecznej puli pamięci SED lub woluminu statycznego SED |
| PSID (fizyczny bezpieczny identyfikator) | Unikatowy klucz zwykle widoczny na etykiecie dysku samoszyfrującego (SED), który umożliwia zresetowania dysku do ustawień fabrycznych |
| Czyszczenie SED | Funkcja w obszarze Pamięć masowa i migawki, która umożliwia wymazanie wszystkich danych na dysku samoszyfrującym (SED) i usunięcie hasła szyfrowania |
