Hur används självkrypterande hårddiskar (SEDs) på din QNAP NAS?
I den här självstudien introduceras självkrypterande hårddiskar (SEDs) och hur de används och hanteras på din QNAP NAS.
| Berörda produkter | Information |
|---|---|
| Hårdvara |
|
| Operativsystem |
|
- Självkrypterande diskar (SEDs)
- Varför använda SEDs?
- SED-typer
- Skapa SED-lagring
- SED-hantering
- SED-status
- Ordlista
Självkrypterande diskar (SEDs)
En självkrypterande disk (SED) är en disk med krypteringshårdvara som är inbyggd i diskens kontrollant. SEDs krypterar automatiskt alla data i samband med att de skrivs till disken och dekrypterar alla data i samband med att de blir lästa från disken. Data som lagras på SEDs är alltid fullständigt krypterade av en datakrypteringsnyckel som lagras på diskens hårdvara och värdoperativsystemet eller obehöriga användare kan inte komma åt dem. Krypteringsnyckeln kan också krypteras med ett användarspecificerat krypteringslösenord som används till att låsa och låsa upp SED.
Eftersom kryptering och dekryptering hanteras av disken kräver åtkomst till data på SEDs inte några extra CPU-resurser från värdenheten. Data på SEDs blir dessutom oåtkomliga om fysiska SEDs stjäls eller går förlorade. Av dessa anledningar är SEDs i stor omfattning föredragna för lagring av känslig information.
Du kan använda SEDs för att skapa säkra SED-lagringspooler i QTS och QuTS hero och säkra statiska SED-volymer i QTS. Du kan även använda SEDs till att skapa vanliga lagringspooler eller volymer, dock förblir den självkrypterande funktionen på SEDs avaktiverad.
Varför använda SEDs?
Datalagringssäkerhet är en extremt viktig fråga för många företag och organisationer, särskilt när de lagrar personuppgifter som exempelvis kreditkortsinformation och ID-kortnummer eller branschhemligheter som exempelvis produktritningar och immateriella rättigheter.
Om det inträffar ett dataläckage kan det få allvarliga konsekvenser för företaget eller organisationen. Utöver exponering av känslig information kan ett dataläckage även resultera i kund- och klientskador, intäktsförluster och rättsliga påföljder.
Eftersom SEDs använder hårdvarubaserad fullständig diskkryptering sker både krypterings- och dekrypteringsprocesserna i diskhårdvaran. Denna avgränsning från värdoperativsystemet gör hårdvarukryptering säkrare än programvarukryptering. Dessutom, till skillnad från programvarukryptering, kräver hårdvarukryptering inte extra CPU-resurser. Om en fysisk SED blir stulen eller går förlorad är det i praktiken omöjligt att utvinna begriplig information från SED-disken.
Av dessa skäl är SEDs ofta ett specificerat datasäkerhetskrav i anbudsprocesser för statliga byråer, vårdinstitutioner och finansiella och banktjänster.
SED-typer
QNAP kategoriserar SED-typer enligt de branschstandardspecifikationer som definierats av TCG (Trusted Computing Group). SED-typer som stöds räknas upp i följande tabell.
För att se vilken SED-typ en installerad SED har; gå till Lagring och snapshots > Lagring > Diskar/VJBOD > Diskar och klicka på en SED.
| SED-typ | Stöds |
|---|---|
| TCG Opal | Ja |
| TCG Enterprise | Ja, på QTS 5.0.1 (eller senare) och QuTS hero h5.0.1 (eller senare) |
Skapa SED-lagring
Du kan använda SEDs för att skapa säkra SED-lagringspooler i QTS och QuTS hero och säkra statiska SED-volymer i QTS.
Skapa en säker SED-lagringspool
- Öppna Lagring och snapshots.
- Kontrollera att SED-diskarna är oinitierade.
- Gå till Lagring > Diskar/VJBOD.
- Välj en SED-disk.
- Verifiera att SED-status är ”Oinitierad”.
- Upprepa ovanstående steg för varje SED-disk.
- Skapa en säker SED-lagringspool.Obs!Det här avsnittet omfattar endast de grundläggande stegen som behövs för att skapa en säker SED-lagringspool.
Fullständiga instruktioner och konfigurationsinformation finns i ”Skapa en säker SED-lagringspool” i någon av följande bruksanvisningar:- Gå till Lagring > Lagring/snapshots.
- Klicka på Skapa > Ny lagringspool.
Guiden skapa lagringspool öppnas. - Klicka på Nästa.
- Valfritt: Välj en expansionsenhet från listan Inneslutningsenhet-lista.
- Välj Skapa säker SED-lagringspool.
- Välj en eller flera SED-diskar.
- Välj en RAID-typ.
- Klicka på Nästa.
- Ange ett krypteringslösenord.
- Klicka på Nästa.
- Klicka på Skapa.
Systemet skapar en säker SED-lagringspool.
Skapa en säker statisk SED-volym
- Öppna Lagring och snapshots.
- Kontrollera att SED-diskarna är oinitierade.
- Gå till Lagring > Diskar/VJBOD > Diskar.
- Välj en SED-disk.
- Verifiera att SED-status är ”Oinitierad”.
- Upprepa ovanstående steg för varje SED-disk.
- Skapa en säker statisk SED-volym.Obs!Det här avsnittet omfattar endast de grundläggande stegen som behövs för att skapa en säker statisk SED-volym.
Fullständiga instruktioner och konfigurationsinformation finns i ”Skapa en säker statisk SED-volym” i Bruksanvisningen för QTS.- Gå till Lagring > Lagring/snapshots.
- Klicka på Skapa > Ny volym.
Guiden skapa volym öppnas. - Välj Statisk volym.
- Klicka på Nästa.
- Valfritt: Välj en expansionsenhet från listan Inneslutningsenhet-lista.
- Välj Skapa en säker statisk SED-volym.
- Välj en eller flera SED-diskar.
- Välj en RAID-typ.
- Klicka på Nästa.
- Ange ett krypteringslösenord.
- Klicka på Nästa.
- Klicka på Slutför.
Systemet skapar en säker statisk SED-volym.
SED-hantering
Åtgärder för SED-lagringspool och statiska SED-volymer
Utför följande åtgärder genom att gå till Lagring och snapshots > Lagring > Lagring/snapshots och välja en SED-pool eller SED-volym och klicka på Hantera för att sedan välja Åtgärder > SED-inställningar.
| Åtgärd | Beskrivning |
|---|---|
| Ändra lösenord för SED-pool Ändra lösenord för SED-volym | Ändra krypteringslösenordet. Varning Kom ihåg det här lösenordet. Om du glömmer krypteringslösenordet blir lagringspoolen eller volymen oåtkomlig utan möjlighet att återställa några data. Med den här inställningen kan systemet automatiskt låsa upp och montera SED-poolen eller SED-volymen närhelst NAS:en startar, utan krav på att användaren anger krypteringslösenordet. Varning Att aktivera den här inställningen kan leda till obehörig dataåtkomst om obehörig personal kan komma åt NAS:en fysiskt. Tips I vissa tidigare versioner av QTS och QuTS hero har Lås upp automatiskt vid start benämningen Spara krypteringsnyckel. |
| Lås | Lås poolen eller volymen. Alla volymer/delade mappar, LUN:er, snapshots och data i poolen eller volymen går inte att komma åt förrän de låses upp. |
| Lås upp | Lås upp en låst pool eller volym som har SED-diskar. Alla volymer/delade mappar, LUN:er, snapshots och data i poolen eller volymen blir oåtkomliga. |
| Inaktivera SED-säkerhet | Ta bort krypteringslösenordet och inaktivera möjligheten att låsa och låsa upp poolen eller volymen. |
| Aktivera SED-säkerhet | Lägg till ett krypteringslösenord och aktivera möjligheten att låsa och låsa upp poolen eller volymen. |
Ta bort en låst SED-lagringspool eller statisk SED-volym
- Öppna Lagring och snapshots > Lagring > Lagring/snapshots.
- Välj en låst SED-lagringspool eller statisk SED-volym.Obs!Statiska volymer är endast tillgängliga i QTS.
- Klicka på Hantera och klicka sedan på Ta bort.
Fönstret Guiden borttagning öppnas. - Välj ett borttagningsalternativ.
Alternativ Beskrivning Lås upp och ta bort pool, data och sparad nyckel Det här alternativet låser upp SED-diskarna i lagringspoolen eller den statiska volymen och raderar sedan alla data. Lagringspoolen eller den statiska volymen tas bort från systemet.
Du måste ange krypteringslösenordet.Ta bort pool utan att låsa den Det här alternativet tar bort lagringspoolen eller den statiska volymen utan att låsa upp diskarna. SED-diskarna kan inte användas igen förrän du utför någon av följande åtgärder: - Lås upp diskarna. Gå till Diskar/VJBOD och klicka på Återhämta och välj sedan Bifoga och återhämta lagringspool.
- Radera diskarna med SED-radering.
- Klicka på Tillämpa.
Systemet tar bort den låsta SED-lagringspoolen eller den statiska SED-volymen.
Migrera en säker SED-lagringspool till en ny NAS
Följande krav gäller vid migrering av en lagringspool till en ny NAS.
- De två NAS:arna måste båda köra QTS eller så måste båda köra QuTS hero. Migrering mellan QTS och QuTS hero är inte möjligt.
- Versionen på QTS eller QuTS hero som körs på den nya NAS:en måste vara samma eller nyare än den version som körs på den ursprungliga NAS:en.
- På den ursprungliga NAS:en; gå till Lagring och snapshots > Lagring > Lagring/snapshots.
- Välj en säker SED-lagringspool.
- Klicka på Hantera.
Fönstret Lagringspoolshantering öppnas. - Klicka på Åtgärd och välj sedan Säker frånkoppling av pool.Ett bekräftelsemeddelande visas.
- Klicka på Ja.
Lagringspoolens status ändras till ”Säker frånkoppling ...”.
När systemet har lossat poolen försvinner poolen från Lagring och snapshots. - Ta bort diskarna som innehåller lagringspoolen från NAS:en.
- Installera diskarna på den nya NAS:en.
- På den nya NAS:en; gå till
Lagring och snapshots > Lagring > Diskar/VJBOD. - Klicka på Återhämta och välj sedan Bifoga och återhämta lagringspool.
Ett bekräftelsemeddelande visas. - Mata in krypteringslösenordet.
Du måste ange det här lösenordet om du använder självkrypterade hårddiskar (SEDs) med kryptering aktiverad. - Klicka på Bifoga.
Systemet läser av diskarna och identifierar lagringspoolen. - Klicka på Tillämpa.
Lagringspoolen visas i Lagring och snapshots på den nya NAS:en.
Radera en disk med SED-radering
SED-radering raderar alla data på en låst eller olåst SED-disk och tar bort krypteringslösenordet.
För att utföra SED-radering får disken inte användas av systemet eller vara tilldelad till något syfte (till exempel får den inte vara i en lagringspool eller konfigurerad som en ersättningsdisk). Kontrollera att disken är ledig innan du utför SED-radering.
- Gå till Lagring och snapshots > Lagring > Diskar/VJBOD > Diskar.
- Välj en SED-disk.
- Klicka på Åtgärd och välj sedan SED-radering.
Den här funktionen är endast tillgänglig när diskens status för använd typ är ”Ledig”. Kontrollera den här statusen genom att gå till Lagring och snapshots > Lagring > Diskar/VJBOD > Diskar, lokalisera disken i tabellen och se efter i kolumnen ”Använd typ.” Mer information finns i ”Diskstatusar” i bruksanvisningen för QTS eller i bruksanvisningen för QuTS hero.
- Ange diskens fysiska säkerhets-ID (PSID).TipsPSID återfinns vanligtvis på diskens etikett.
Om du inte hittar PSID kontaktar du disktillverkaren. - Klicka på Tillämpa.
Systemet raderar alla data på SED.
SED-status
För att se vilken status en SED har; gå till Lagring och snapshots > Lagring > Diskar/VJBOD > Diskar och klicka på en installerad SED.
| SED-status | Beskrivning |
|---|---|
| Oinitierad | SED-disken är oinitierad. Diskkryptering är avaktiverad. |
| Upplåst | SED är initierad och upplåst. Diskkryptering är aktiverad. Data på SED är krypterade och tillgängliga. |
| Låst | SED är initierad och låst. Diskkryptering är aktiverad. Data på SED är krypterade och otillgängliga. |
| Blockerad | SED blockeras av säkerhetsskäl. Disken kan inte initieras. Obs! Ta bort blockeringen av SED genom att sätta i disken igen eller radera disken med SED-radering. Mer information finns i Radera en disk med SED-radering. |
Ordlista
| Ord | Definition |
|---|---|
| Lås upp automatiskt vid start | Inställning som gör att systemet automatiskt kan låsa upp en säker SED-lagringspool eller säker statisk SED-volym efter att NAS.en har startats om |
| Krypteringsnyckel | En unik, randomiserad kryptografisk sträng som lagras fysiskt i hårdvaran i självkrypterande hårddiskar (SEDs) och krypterar data som skrivs till disken och dekrypterar data som blir lästa från disken |
| Krypteringslösenord | Ett användardefinierat lösenord för låsning och upplåsning av en SED-lagringspool eller statisk SED-volym |
| PSID (fysiskt säkert ID) | En unik nyckel som vanligtvis återfinns på etiketten till en självkrypterande disk (SED) som används till att återställa disken till fabriksinställningar |
| SED-radering | Lagring och snapshots är en funktion för att radera alla data på en självkrypterande disk (SED) och ta bort krypteringslösenordet |
