Como utilizar unidades de encriptação automática (SEDs) no seu NAS da QNAP?
Este tutorial apresenta as unidades de encriptação automática (SEDs) e como utilizá-las e geri-las no seu NAS da QNAP.
| Produtos aplicáveis | Detalhes |
|---|---|
| NAS | Todos os modelos NAS da QNAP |
| Sistema operativo | QTS, QuTS hero |
- Unidades de encriptação automática (SEDs)
- Porquê utilizar SEDs?
- Tipos de SED
- Criação de armazenamento SED
- Gestão de SED
- Estado do SED
- Glossário
Unidades de encriptação automática (SEDs)
Uma unidade de encriptação automática (SED) é uma unidade com hardware de encriptação incorporado no controlador da unidade. As SEDs encriptam automaticamente todos os dados à medida que são escritos na unidade e desencriptam todos os dados à medida que são lidos na unidade. Os dados armazenados nas SEDs são sempre totalmente encriptados por uma chave de encriptação de dados, que é armazenada no hardware da unidade e não pode ser acedida pelo sistema operativo anfitrião ou por utilizadores não autorizados. A chave de encriptação também pode ser encriptada por uma palavra-passe de encriptação especificada pelo utilizador que permite que a SED seja bloqueada e desbloqueada.
Dado que a encriptação e desencriptação são realizadas pela unidade, o acesso aos dados nas SEDs não requer quaisquer recursos adicionais de CPU do dispositivo anfitrião. Os dados nas SEDs também ficam inacessíveis se as SEDs forem fisicamente roubadas ou perdidas. Por estes motivos, as SEDs são amplamente preferidas para o armazenamento de informação sensível.
Pode utilizar SEDs para criar SED pools de armazenamento seguro em QTS e QuTS hero e volumes estáticos seguros SED em QTS. Também pode utilizar SEDs para criar volumes ou pools de armazenamento regulares, mas a função de encriptação automática nas SEDs permaneceria desativada.
Porquê utilizar SEDs?
A segurança do armazenamento de dados é um assunto extremamente importante para muitas empresas e organizações, especialmente quando armazenam dados pessoais, como informações de cartões de crédito e números de documentos de identidade ou segredos industriais, por exemplo, planos e projetos de produtos e propriedade intelectual.
Se ocorrer uma fuga de dados, a empresa ou organização pode enfrentar graves consequências. Para além da exposição de informação sensível, uma fuga de dados também pode resultar em danos a clientes e consumidores, perda de receitas e sanções legais.
Dado que as SEDs utilizam encriptação de disco completo baseada em hardware, os processos de encriptação e os de desencriptação ocorrem no hardware do disco. Esta separação do sistema operativo anfitrião torna a encriptação de hardware mais segura do que a encriptação de software. Além disso, ao contrário da encriptação de software, a encriptação de hardware não requer recursos adicionais de CPU. Se uma SED for fisicamente roubada ou perdida, torna-se praticamente impossível obter informações inteligíveis a partir da SED.
Por estes motivos, as SEDs são frequentemente um requisito específico de segurança de dados em processos de licitação para agências governamentais, instituições de saúde e serviços financeiros e bancários.
Tipos de SED
A QNAP categoriza os tipos de SED de acordo com as especificações padronizadas da indústria definidas pelo Trusted Computing Group (TCG). Os tipos de SED suportados estão listados na tabela seguinte.
Para verificar o tipo SED de uma SED instalada, aceda a e clique numa SED.
| Tipo de SED | Suportado |
|---|---|
| TCG Opal | Sim |
| TCG Enterprise | Sim, em QTS 5.0.1 (ou posterior) e QuTS hero h5.0.1 (ou posterior) |
Criação de armazenamento SED
Pode utilizar SEDs para criar SED pools de armazenamento seguro em QTS e QuTS hero e volumes estáticos seguros SED em QTS. Para obter detalhes, consulte o guia de utilizador do sistema operativo QNAP correspondente.
| Ação | Detalhes |
|---|---|
| Criar um pool de armazenamento seguro SED em QTS | A última versão do Guia do Utilizador de QTS está disponível em https://www.qnap.com/go/doc/qts/. Pode encontrar o tópico relevante pesquisando "unidades de encriptação automática". |
| Criar um volume estático seguro SED em QTS | |
| Criar um pool de armazenamento seguro SED em QuTS hero | A última versão do Guia do Utilizador de QuTS hero está disponível em https://www.qnap.com/go/doc/quts-hero/. Pode encontrar o tópico relevante pesquisando "unidades de encriptação automática". |
Gestão de SED
Pool de armazenamento SED e Ações de Volume Estático
Para executar as seguintes ações, aceda a , selecione um pool ou volume SED, clique em Gerir e selecione .
| Ação | Descrição |
|---|---|
| Alterar Palavra-passe do Pool da SED Alterar Palavra-passe do Volume da SED | Altere a palavra-passe de encriptação. Aviso: Recorde esta palavra-passe. Se esquecer a palavra-chave, o pool ou volume ficam inacessíveis e todos os dados serão irrecuperáveis. Também pode ativar Desbloqueio automático no arranque. Esta configuração permite ao sistema desbloquear e instalar automaticamente o pool ou volume SED sempre que o NAS inicia, sem exigir que o utilizador introduza a palavra-passe de encriptação. Aviso: A ativação desta definição pode resultar no acesso não autorizado a dados se for possível que pessoal não autorizado aceda fisicamente ao NAS. Sugestão: Em algumas versões anteriores de QTS e QuTS hero, esta definição é conhecida como Guardar chave de encriptação. |
| Bloquear | Bloqueie o pool ou volume. Todos os volumes/pastas partilhadas, LUNs, instantâneos e dados no pool ou volume estarão inacessíveis até serem desbloqueados. |
| Desbloquear | Desbloqueie um pool ou volume SED bloqueado. Todos os volumes/pastas partilhadas, LUNs, instantâneos e dados no pool ou volume ficarão acessíveis. |
| Desativar Segurança SED | Remova a palavra-passe de encriptação e desative a capacidade de bloquear e desbloquear o pool ou o volume. |
| Ativar Segurança SED | Adicione uma palavra-passe de encriptação e ative a capacidade de bloquear e desbloquear o pool ou o volume. |
Remoção de um Pool de armazenamento SED Bloqueado ou Volume Estático
O sistema remove o pool de armazenamento SED bloqueado ou volume estático.
Migração de um Pool de armazenamento seguro SED para um novo NAS
Os seguintes requisitos aplicam-se na migração de um pool de armazenamento para um novo NAS.
-
Os dois dispositivos NAS devem estar ambos a executar o QTS ou ambos a executar o QuTS hero. A migração entre o QTS e o QuTS hero não é possível.
-
A versão do QTS ou QuTS hero em execução no novo NAS deve ser a mesma ou mais recente do que a versão em execução no NAS original.
- Clique em Ação e selecione Desanexar Pool com Segurança.
É apresentada uma mensagem de confirmação.
O pool de armazenamento aparece em Armazenamento e Instantâneos no novo NAS.
Apagar um disco com o SED Erase
O SED Erase apaga todos os dados num disco SED bloqueado ou desbloqueado e remove a palavra-passe de encriptação.
- Introduza o ID de Segurança Física do disco (PSID - Physical Security).Sugestão:
O PSID pode ser normalmente encontrado na etiqueta do disco.
Se não encontrar o PSID, contacte o fabricante do disco.
O sistema apaga todos os dados na SED.
Estado do SED
Para verificar o estado de uma SED, aceda a e clique numa SED instalada.
| Estado do SED | Descrição |
|---|---|
| Não inicializado | A SED está não inicializada A encriptação da unidade está desativada. |
| Desbloqueado | A SED está inicializada e desbloqueada. A encriptação da unidade está ativada. Os dados na SED estão encriptados e acessíveis. |
| Bloqueado | A SED está inicializada e bloqueada. A encriptação da unidade está ativada. Os dados na SED estão encriptados e inacessíveis. |
| Bloqueado | A SED está bloqueada por motivos de segurança. A unidade não pode ser inicializada. Nota: Para desbloquear a SED, reintroduza o disco ou apague o disco com o Apagar SED. Para obter detalhes, consulte Apagar um disco com o SED Erase. |
Glossário
| Texto no glossário | Definição |
|---|---|
| Desbloqueio automático no arranque | Definição que permite ao sistema desbloquear automaticamente um pool de armazenamento seguro SED ou volume estático seguro SED depois do NAS reiniciar. |
| Chave de encriptação | Um segmento encriptado único e aleatório fisicamente armazenado no hardware em unidades de encriptação automática (SEDs) para encriptação de dados escritos na unidade e desencriptação de dados à medida que são lidos na unidade. |
| Palavra-passe de encriptação | Uma palavra-passe definida pelo utilizador para bloquear e desbloquear um Pool de armazenamento seguro SED ou volume estático. |
| PSID (Physical Secure ID - ID de Segurança Física) | Uma chave única normalmente rotulada numa unidade de encriptação automática (SED) para redefinir a unidade para as predefinições de origem. |
| Apagar SED | Função de Armazenamento e Instantâneos para apagar todos os dados numa unidade de encriptação automática (SED) e remover a palavra-passe de encriptação. |
