如何在 QNAP NAS 中使用自我加密硬碟 (SED)？

本篇教學將介紹自我加密硬碟 (SED)，並說明如何在 QNAP NAS 中利用及管理這類硬碟。

• 自我加密硬碟 (SED)
• 為何要使用 SED？
• SED 類型
• 建立 SED 儲存空間
  • 建立 SED 安全儲存池
  • 建立 SED 安全靜態磁碟區
• SED 管理
  • SED 儲存池和靜態磁碟區動作
  • 移除鎖住的 SED 儲存池或靜態磁碟區
  • 將 SED 安全儲存池遷移至新 NAS
  • 使用「SED 清除」功能來清除磁碟
• SED 狀態
• 詞彙

自我加密硬碟 (SED)

自我加密磁碟 (SED) 是指在磁碟控制器中內建了加密硬體的磁碟，SED 會自動加密寫入磁碟的所有資料，並在讀取磁碟資料時解密。儲存在 SED 的資料永遠由資料加密密鑰完全加密，該密鑰是儲存在硬碟機的硬體，並無法被主機作業系統或未經授權的使用者存取。加密金鑰也可以利用使用者指定的加密密碼予以加密，藉此鎖定和解鎖 SED。

由於加密與解密是由磁碟處理，存取 SED 的資料不需要來自主機裝置的任何額外 CPU 資源。如果 SED 實體遭偷竊或遺失，SED 的資料也將變為無法存取。因為這些原因，SED 廣泛適用於儲存敏感資訊。

您可以透過 SED 在 QTS 和 QuTS hero 中建立 SED 安全儲存池，以及在 QTS 中建立 SED 安全靜態磁碟區。您也可以使用 SED 建立一般儲存池或磁碟區，但 SED 的自我加密功能將會停用。

為何要使用 SED？

資料儲存的安全，對於許多企業和組織來說極其重要，尤其是儲存信用卡資訊、身分證號碼等個人資料或是產品藍圖、智慧財產權等產業機密。

如果資料發生外洩，企業或組織將可能面臨嚴重後果。除了暴露敏感資訊外，資料外洩還可能導致顧客及客戶的損害、收入損失和法律處罰。

由於 SED 使用以硬體為基礎的完整磁碟加密，因此加密和解密過程都在硬碟中進行。這項作業與主機作業系統隔開，讓硬體加密比軟體加密更安全。此外，有別於軟體加密，硬體加密不需要額外的 CPU 資源。如果 SED 本身遭盜或遺失，則幾乎不可能從 SED 之中獲得可理解的資訊。

基於這些原因，SED 通常是政府機構、醫療機構以及金融銀行服務在招標過程中指定的資料安全要求。

SED 類型

QNAP 根據 Trusted Computing Group (TCG) 定義的產業標準規格，對 SED 類型進行分類。支援的 SED 類型列在下表。

若要檢查已安裝 SED 的類型，請前往［儲存與快照總管］>［儲存空間］>［磁碟/VJBOD］>［磁碟］，然後按一下 SED。

建立 SED 儲存空間

您可以透過 SED 在 QTS 和 QuTS hero 中建立 SED 安全儲存池，以及在 QTS 中建立 SED 安全靜態磁碟區。

建立 SED 安全儲存池

1. 開啟［儲存與快照總管］。
2. 驗證 SED 磁碟是否尚未初始化。
   1. 前往［儲存空間］>［磁碟/VJBOD］。
   2. 選擇 SED 磁碟。
   3. 驗證 SED 狀態是否為「尚未初始化」。
   4. 重複前面的步驟來安裝每個 SED 磁碟。
3. 建立 SED 安全儲存池。
   備註

   本主題僅說明建立 SED 安全儲存池的最少步驟。
   如需完整指示和設定的詳細資料，請參閱以下任一使用手冊中的「建立 SED 安全儲存池」。

   • QTS 使用手冊
   • QuTS hero 使用手冊
   1. 前往［儲存空間］>［儲存空間/快照］。
   2. 按一下［建立］>［新儲存池］。
      ［儲存池建立精靈］隨即開啟。
   3. 按一下［下一步］。
   4. 選擇性步驟：從［儲存設備］清單中選擇一個擴充裝置。
   5. 選擇［建立 SED 安全儲存池］。
   6. 選擇一或多個 SED 磁碟。
   7. 選取 RAID 類型。
   8. 按一下［下一步］。
   9. 設定加密密碼。
   10. 按一下［下一步］。
   11. 按一下［建立］。
       系統即建立 SED 安全儲存池。

建立 SED 安全靜態磁碟區

1. 開啟［儲存與快照總管］。
2. 驗證 SED 磁碟是否尚未初始化。
   1. 前往［儲存空間］>［磁碟/VJBOD］>［磁碟］。
   2. 選擇 SED 磁碟。
   3. 驗證 SED 狀態是否為「尚未初始化」。
   4. 重複前面的步驟來安裝每個 SED 磁碟。
3. 建立 SED 安全靜態磁碟區。
   備註

   本主題僅說明建立 SED 安全靜態儲存區的最少步驟。
   如需完整指示和設定的詳細資料，請參閱《QTS 使用指南》中的「建立 SED 安全靜態磁碟區」。
   1. 前往［儲存空間］>［儲存空間/快照］。
   2. 按一下［建立］>［新磁碟區］。
      ［建立磁碟區精靈］隨即開啟。
   3. 選擇［靜態磁碟區］。
   4. 按一下［下一步］。
   5. 選擇性步驟：從［儲存設備］清單中選擇一個擴充裝置。
   6. 選擇［建立 SED 安全靜態磁碟區］。
   7. 選擇一或多個 SED 磁碟。
   8. 選擇 RAID 類型。
   9. 按一下［下一步］。
   10. 設定加密密碼。
   11. 按一下［下一步］。
   12. 按一下［完成］。
       系統即建立 SED 安全靜態磁碟區。

SED 管理

SED 儲存池和靜態磁碟區動作

若要執行以下動作，請前往［儲存與快照總管］>［儲存空間］>［儲存空間/快照］，選取 SED 儲存池或磁碟區後，按一下［管理］，接著按一下［動作］>［SED 設定］。

移除鎖住的 SED 儲存池或靜態磁碟區

1. 前往［儲存與快照總管］>［儲存空間］>［儲存空間/快照］。
2. 選擇鎖住的 SED 儲存池或靜態磁碟區。
   備註

   靜態磁碟區只適用於 QTS。
3. 按一下［管理］，然後按一下［移除］。
   ［移除精靈］視窗隨即開啟。
4. 選擇移除選項。

   選項	說明
   解鎖並移除儲存池、資料以及已儲存金鑰	此選項會將儲存池或靜態磁碟區中的 SED 磁碟解鎖，然後刪除所有資料。儲存池或靜態磁碟區便從系統中移除。 您必須輸入加密密碼。
   不解鎖就移除儲存池	此選項會直接移除儲存池或靜態磁碟區，而不解鎖磁碟。SED 磁碟將無法再次使用，除非執行下列其中一個動作： 解鎖磁碟。請前往［磁碟/VJBOD］，按一下［復原］，然後選擇［掛載並還原儲存池］。 使用「SED 清除」功能來清除磁碟。

5. 按一下［套用］。

系統就會移除已鎖定的 SED 儲存池或靜態磁碟區。

將 SED 安全儲存池遷移至新 NAS

以下需求僅適用於遷移儲存池至新 NAS 的情況。

• 兩台 NAS 裝置必須都執行 QTS 或 QuTS hero。您無法在 QTS 和 QuTS hero 之間進行移轉。
• 在新 NAS 上執行的 QTS 或 QuTS hero 版本必須相同或高於舊 NAS 上執行的版本。

1. 在舊 NAS 上，前往［儲存與快照總管］>［儲存空間］>［儲存空間/快照］。
2. 選取 SED 安全儲存池。
3. 按一下［管理］。
   ［儲存池管理］視窗隨即開啟。
4. 按一下［動作］，然後選取 ［安全卸載儲存池］ 。
   
   隨即顯示確認訊息。
5. 按一下［是］。
   儲存池狀態變為［正在安全卸載...］。
   系統完成儲存池卸載後，該儲存池就不會出現於［儲存與快照總管］中。
6. 從 NAS 中將包含該儲存池的硬碟移除。
7. 將硬碟安裝到新 NAS 裝置。
8. 在新 NAS 上，前往［儲存與快照總管］>［儲存空間］>［磁碟/VJBOD］。
9. 按一下［復原］，然後選擇［掛載並還原儲存池］。
   確認訊息隨即顯示。
10. 輸入加密密碼。
    如果您是使用自我加密硬碟 (SED) 並且啟用了加密功能，則必須輸入密碼。
11. 按一下［掛載］。
    系統隨即掃描磁碟並偵測儲存池。
12. 按一下［套用］。
    儲存池會顯示在新 NAS 的［儲存與快照總管］中。

使用「SED 清除」功能來清除磁碟

SED 清除功能會清除鎖定或未鎖定 SED 磁碟上的所有資料，然後移除加密密碼。

若要執行 SED 清除，該磁碟不得被系統使用或指派任何用途 (例如，磁碟不應作為儲存池或設定為備用磁碟)。在執行 SED 清除之前，請確保磁碟閒置。

1. 前往［儲存與快照總管］>［儲存空間］>［磁碟/VJBOD］>［磁碟］。
2. 選擇 SED 磁碟。
3. 按一下［動作］，然後選擇［SED 清除］。
   備註

   此功能僅在磁碟的使用類型狀態為「空閒」時才可用。若要檢查此狀態，請前往［儲存與快照總管］>［儲存空間］>［磁碟/VJBOD］>［磁碟］，在表格找到磁碟，然後在「使用類型」欄位查看。如需詳細資訊，請參閱《QTS 使用手冊》或《QuTS hero 使用手冊》的「磁碟狀態」。

   ［SED 清除］視窗隨即開啟。
4. 輸入磁碟的實體安全 ID (PSID)。
   提示

   PSID 通常位於磁碟標籤正面。
   
   如果找不到 PSID，請聯絡磁碟製造商。
5. 按一下［套用］。
   系統將清除 SED 上的所有資料。

SED 狀態

若要檢視 SED 的狀態，請前往［儲存與快照總管］>［儲存空間］>［磁碟/VJBOD］>［磁碟］，然後按一下已安裝的 SED。

詞彙