Como utilizar unidades de encriptação automática (SEDs) no seu NAS da QNAP?
Este tutorial apresenta as unidades de encriptação automática (SEDs) e como utilizá-las e geri-las no seu NAS da QNAP.
| Produtos aplicáveis | Detalhes |
|---|---|
| Hardware |
|
| Sistema operativo |
|
- Unidades de encriptação automática (SEDs)
- Porquê utilizar SEDs?
- Tipos de SED
- Criação de armazenamento SED
- Gestão de SED
- Estado da SED
- Glossário
Unidades de encriptação automática (SEDs)
Uma unidade de encriptação automática (SED) é uma unidade com hardware de encriptação incorporado no controlador da unidade. As SEDs encriptam automaticamente todos os dados à medida que são escritos na unidade e desencriptam todos os dados à medida que são lidos na unidade. Os dados armazenados nas SEDs são sempre totalmente encriptados por uma chave de encriptação de dados, que é armazenada no hardware da unidade e não pode ser acedida pelo sistema operativo anfitrião ou por utilizadores não autorizados. A chave de encriptação também pode ser encriptada por uma palavra-passe de encriptação especificada pelo utilizador que permite que a SED seja bloqueada e desbloqueada.
Dado que a encriptação e desencriptação são realizadas pela unidade, o acesso aos dados nas SEDs não requer quaisquer recursos adicionais de CPU do dispositivo anfitrião. Os dados nas SEDs também ficam inacessíveis se as SEDs forem fisicamente roubadas ou perdidas. Por estes motivos, as SEDs são amplamente preferidas para o armazenamento de informação sensível.
Pode utilizar SEDs para criar pools de armazenamento seguro SED em QTS e QuTS hero e volumes estáticos seguros SED em QTS. Também pode utilizar SEDs para criar volumes ou pools de armazenamento regulares, mas a função de encriptação automática nas SEDs permaneceria desativada.
Porquê utilizar SEDs?
A segurança do armazenamento de dados é um assunto extremamente importante para muitas empresas e organizações, especialmente quando armazenam dados pessoais, como informações de cartões de crédito e números de documentos de identidade ou segredos industriais, por exemplo, planos e projetos de produtos e propriedade intelectual.
Se ocorrer uma fuga de dados, a empresa ou organização pode enfrentar graves consequências. Para além da exposição de informação sensível, uma fuga de dados também pode resultar em danos a clientes e consumidores, perda de receitas e sanções legais.
Dado que as SEDs utilizam encriptação de disco completo baseada em hardware, os processos de encriptação e os de desencriptação ocorrem no hardware do disco. Esta separação do sistema operativo anfitrião torna a encriptação de hardware mais segura do que a encriptação de software. Além disso, ao contrário da encriptação de software, a encriptação de hardware não requer recursos adicionais de CPU. Se uma SED for fisicamente roubada ou perdida, torna-se praticamente impossível obter informações inteligíveis a partir da SED.
Por estes motivos, as SEDs são frequentemente um requisito específico de segurança de dados em processos de licitação para agências governamentais, instituições de saúde e serviços financeiros e bancários.
Tipos de SED
A QNAP categoriza os tipos de SED de acordo com as especificações padronizadas da indústria definidas pelo Trusted Computing Group (TCG). Os tipos de SED suportados estão listados na tabela seguinte.
Para verificar o tipo SED de uma SED instalada, aceda a Armazenamento e Instantâneos > Armazenamento > Discos/VJBOD > Discos e clique numa SED.
| Tipo de SED | Suportada |
|---|---|
| TCG Opal | Sim |
| TCG Enterprise | Sim, em QTS 5.0.1 (ou posterior) e QuTS hero h5.0.1 (ou posterior) |
Criação de armazenamento SED
Pode utilizar SEDs para criar pools de armazenamento seguro SED em QTS e QuTS hero e volumes estáticos seguros SED em QTS.
Criação de um Pool de Armazenamento seguro SED
- Abra Armazenamento e Instantâneos.
- Verifique se os discos SED estão "não inicializados".
- Aceda a Armazenamento > Discos/VJBOD.
- Selecione um disco SED.
- Verifique se o Estado SED é "Não inicializado".
- Repita os passos acima para cada disco SED.
- Crie um pool de armazenamento seguro SED.NotaEste tópico abrange apenas os passos mínimos para criar um pool de armazenamento seguro SED.
Para obter instruções completas e detalhes de configuração, consulte "Criação de um Pool de Armazenamento seguro SED" num dos seguintes guias de utilizador:- Aceda a Armazenamento > Armazenamento/Instantâneos.
- Clique em Criar > Novo pool de armazenamento .
É exibido o Assistente para Criar Pool de Armazenamento. - Clique em Seguinte.
- Opcional: Selecione uma unidade de expansão na lista Unidade do Gabinete.
- Selecione Criar pool de armazenamento seguro SED.
- Selecione um ou mais discos SED.
- Selecione um tipo de RAID.
- Clique em Seguinte.
- Especifique a palavra-passe de encriptação.
- Clique em Seguinte.
- Clique em Criar.
O sistema cria o pool de armazenamento seguro SED.
Criação de um Volume Estático seguro SED
- Abra Armazenamento e Instantâneos.
- Verifique se os discos SED estão "não inicializados".
- Aceda a Armazenamento > Discos/VJBOD > Discos.
- Selecione um disco SED.
- Verifique se o Estado SED é "Não inicializado".
- Repita os passos acima para cada disco SED.
- Crie um volume estático seguro SEDNotaEste tópico abrange apenas os passos mínimos para criar um volume estático seguro SED.
Para obter instruções completas e detalhes de configuração, consulte "Criação de um Volume Estático seguro SED" no Guia do Utilizador do QTS.- Aceda a Armazenamento >Armazenamento/Instantâneos.
- Clique em Criar > Novo Volume.
É exibido o Assistente para Criar Volume. - Selecione Volume estático.
- Clique em Seguinte.
- Opcional: Selecione uma unidade de expansão na lista Unidade do Gabinete.
- Selecione Criar um volume estático seguro SED.
- Selecione um ou mais discos SED.
- Selecione um tipo de RAID.
- Clique em Seguinte.
- Especifique a palavra-passe de encriptação.
- Clique em Seguinte.
- Clique em Concluir.
O sistema cria o volume estático seguro SED.
Gestão de SED
Pool de armazenamento SED e Ações de Volume Estático
Para executar as seguintes ações, aceda a Armazenamento e Instantâneos > Armazenamento > Armazenamento/Instantâneos, selecione um pool ou volume SED, clique em Gerir e selecione Ações > Definições SED.
| Ação | Descrição |
|---|---|
| Alterar Palavra-passe do Pool da SED Alterar Palavra-passe do Volume da SED | Altere a palavra-passe de encriptação. Aviso Recorde esta palavra-passe. Se esquecer a palavra-chave, o pool ou volume ficam inacessíveis e todos os dados serão irrecuperáveis. Esta configuração permite ao sistema desbloquear e instalar automaticamente o pool ou volume SED sempre que o NAS inicia, sem exigir que o utilizador introduza a palavra-passe de encriptação. Aviso A ativação desta definição pode resultar no acesso não autorizado a dados se for possível que pessoal não autorizado aceda fisicamente ao NAS. Sugestão Em algumas versões anteriores do QTS e do QuTS hero, a definição Desbloqueio automático no arranque é conhecida como Guardar chave de encriptação. |
| Bloquear | Bloqueie o pool ou volume. Todos os volumes/pastas partilhadas, LUNs, instantâneos e dados no pool ou volume estarão inacessíveis até serem desbloqueados. |
| Desbloquear | Desbloqueie um pool ou volume SED bloqueado. Todos os volumes/pastas partilhadas, LUNs, instantâneos e dados no pool ou volume ficarão acessíveis. |
| Desativar Segurança SED | Remova a palavra-passe de encriptação e desative a capacidade de bloquear e desbloquear o pool ou o volume. |
| Ativar Segurança SED | Adicione uma palavra-passe de encriptação e ative a capacidade de bloquear e desbloquear o pool ou o volume. |
Remoção de um Pool de armazenamento SED Bloqueado ou Volume Estático
- Aceda a Armazenamento e Instantâneos > Armazenamento > Armazenamento/Instantâneos.
- Selecione um pool de armazenamento SED bloqueado ou volume estático.NotaOs volumes estáticos só estão disponíveis no QTS.
- Clique em Gerir e depois em Remover.
Abre-se a janela Assistente de Remoção. - Selecione uma opção de remoção.
Opção Descrição Desbloquear e remover pool, dados e chave guardada Esta opção desbloqueia os discos SED no pool de armazenamento ou volume estático e depois elimina todos os dados. O pool de armazenamento ou volume estático é removido do sistema.
Deve introduzir a palavra-passe de encriptação.Remover o pool sem o desbloquear Esta opção remove o pool de armazenamento ou volume estático sem desbloquear os discos. Os discos SED não podem ser utilizados novamente enquanto não realizar uma das seguintes ações: - Desbloqueie os discos. Aceda a Discos/VJBOD, clique em Recuperar e selecione Anexar e Recuperar Pool de Armazenamento.
- Apagar um disco usando Apagar SED.
- Clique em Aplicar.
O sistema remove o pool de armazenamento SED bloqueado ou volume estático.
Migração de um Pool de armazenamento seguro SED para um novo NAS
Os seguintes requisitos aplicam-se na migração de um pool de armazenamento para um novo NAS.
- Os dois dispositivos NAS devem estar ambos a executar o QTS ou ambos a executar o QuTS hero. A migração entre o QTS e o QuTS hero não é possível.
- A versão do QTS ou QuTS hero em execução no novo NAS deve ser a mesma ou mais recente do que a versão em execução no NAS original.
- No NAS original, aceda a Armazenamento e Instantâneos > Armazenamento > Armazenamento/Instantâneos.
- Selecione um pool de armazenamento seguro SED.
- Clique em Gerir.
Abre-se a janela Gestão do pool de armazenamento. - Clique em Ação e selecione Desanexar Pool com Segurança.É apresentada uma mensagem de confirmação.
- Clique em Sim.
O estado do pool de armazenamento muda para "A Desanexar em segurança...".
Depois do sistema terminar a desanexação do pool, desaparece de Armazenamento e Instantâneos. - Remova as unidades que contêm o pool de armazenamento do NAS.
- Instale as unidades no novo NAS.
- No novo NAS, aceda a
Armazenamento e Instantâneos > Armazenamento > Discos/VJBOD. - Clique em Recuperar e selecione Anexar e Recuperar Pool de Armazenamento.
É exibida uma mensagem de confirmação. - Introduza a palavra-passe de encriptação.
Deve introduzir esta palavra-passe se estiver a utilizar unidades de encriptação automática (SEDs) com encriptação ativada. - Clique em Anexar.
O sistema pesquisa os discos e detecta o pool de armazenamento. - Clique em Aplicar.
O pool de armazenamento aparece em Armazenamento e Instantâneos no novo NAS.
Apagar um disco usando Apagar SED
Apagar SED apaga todos os dados num disco SED bloqueado ou desbloqueado e remove a palavra-passe de encriptação.
Para executar a Apagar SED, o disco não deve estar a ser utilizado pelo sistema ou atribuído a qualquer finalidade (por exemplo, não deve estar num pool de armazenamento ou configurado como disco de reserva). Certifique-se de que o disco está livre antes de executar a Apagar SED.
- Aceda a Armazenamento e Instantâneos > Armazenamento > Discos/VJBOD > Discos.
- Selecione um disco SED.
- Clique em Ação e selecione Apagar SED.
Esta função só está disponível quando o estado do tipo de disco utilizado é "Livre". Para verificar este estado, aceda a Armazenamento e Instantâneos > Armazenamento > Discos/VJBOD > Discos, localize o disco na tabela e procure na coluna "Tipo utilizado". Para obter mais detalhes, consulte "Estado dos discos" no Guia do Utilizador do QTS ou Guia do Utilizador do QuTS hero.
- Introduza o ID de Segurança Física do disco (PSID - Physical Security).SugestãoO PSID pode ser normalmente encontrado na etiqueta do disco.
Se não encontrar o PSID, contacte o fabricante do disco. - Clique em Aplicar.
O sistema apaga todos os dados na SED.
Estado da SED
Para verificar o estado de uma SED, aceda a Armazenamento e Instantâneos > Armazenamento > Discos/VJBOD > Discos e clique numa SED instalada.
| Estado da SED | Descrição |
|---|---|
| Não Inicializado | A SED está "não inicializada". A encriptação da unidade está desativada. |
| Desbloqueado | A SED está inicializada e desbloqueada. A encriptação da unidade está ativada. Os dados na SED estão encriptados e acessíveis. |
| Bloqueado | A SED está inicializada e bloqueada. A encriptação da unidade está ativada. Os dados na SED estão encriptados e inacessíveis. |
| Bloqueado | A SED está bloqueada por motivos de segurança. A unidade não pode ser inicializada. Nota Para desbloquear a SED, reintroduza o disco ou apague o disco usando Apagar SED. Para obter detalhes, consulte Apagar um disco usando Apagar SED. |
Glossário
| Texto no glossário | Definição |
|---|---|
| Desbloqueio automático no arranque | Definição que permite ao sistema desbloquear automaticamente um pool de armazenamento seguro SED ou volume estático seguro SED depois do NAS reiniciar. |
| Chave de encriptação | Um segmento encriptado único e aleatório fisicamente armazenado no hardware em unidades de encriptação automática (SEDs) para encriptação de dados escritos na unidade e desencriptação de dados à medida que são lidos na unidade. |
| Palavra-passe de encriptação | Uma palavra-passe definida pelo utilizador para bloquear e desbloquear um Pool de armazenamento seguro SED ou volume estático. |
| PSID (Physical Secure ID - ID de Segurança Física) | Uma chave única normalmente rotulada numa unidade de encriptação automática (SED) para redefinir a unidade para as predefinições de origem. |
| SED Erase | Função de Armazenamento e Instantâneos para apagar todos os dados numa unidade de encriptação automática (SED) e remover a palavra-passe de encriptação. |
