[QNAP]Quản lý tính năng Tự mã hóa ổ cứng (Self-encrypting drives - SEDs) trên NAS

Thảo luận trong 'Lưu trữ - Storage' bắt đầu bởi vuthang, 18/10/22.

Tags:
  1. vuthang

    vuthang Member

    - Bài viết giới thiệu về tính năng tự mã hóa dữ liệu trên ổ cứng Self-encrypting drives (SEDs) và cách để tối ưu cũng như quản lý chúng trên thiết bị QNAP NAS.

    - SEDs được áp dụng cho Toàn bộ các sản phẩm NAS QNAP, và hệ điều hành QTS, QuTS hero.

    SELF-ENCRYPTING DRIVES (SEDS):
    - Một ổ cứng tự mã hóa (SED) là một ổ lưu trữ với phần cứng mã hóa được tích hợp vào drive controller. Các SED tự động mã hóa toàn bộ dữ liệu mà nó ghi vào ổ cứng và giải mã tất cả dữ liệu mà nó đọc từ drive. Dữ liệu được lưu trên SEDs luôn được mã hóa toàn bộ bởi một khóa mã hóa dữ liệu, nó được lưu trên thiết bị lưu trữ cứng và không thể được truy cập bởi host hoặc người dùng không xác định. Key mã hóa cũng có thể được mã hóa bởi một user được chỉ định mật khẩu mã hóa để cho phép SED được đóng hoặc mở khóa.
    [​IMG]
    - Vì nhiệm vụ mã hóa và giải mã được thực hiện bởi ổ cứng, việc truy cập dữ liệu trên SEDs không đổi hỏi thêm bất kỳ tài nguyên CPU này từ thiết bị host. Dữ liệu trên SEDs cũng trở thành bất khả xâm phạm nếu SEDs bị đánh cắp vật lý hoặc mất mát. Vì các lý do trên, SEDs được sử dụng rộng rãi để lưu trữ cho thông tin nhạy cảm.

    - Bạn có thể sử dụng SEDs để tạo các SED pool lưu trữ bảo mật trong QTS và QuTS hero, và SED bảo vệ các static volume trong QTS. Bạn cũng có thể sử dụng SEDs để tạo storage pools hoặc volumes như thông thường, nhưng tính năng tự mã hóa trên SEDs sẽ vẫn không được kích hoạt.

    VẬY TẠI SAO SỬ DỤNG SEDS?
    - Lưu trữ dữ liệu bảo mật là quan trong tối thượng dành cho nhiều doanh nghiệp và tổ chức, đặc biệt khi chúng lưu dữ liệu cá nhân như thông tin thẻ tín dụng và số thẻ căn cước, hoặc các bí mật công nghệ như bản thiết kế sản phẩm hoặc sở hữu trí tuệ.

    - Nếu để xảy ra rò rỉ dữ liệu, doanh nghiệp hoặc tổ chức có thể đối diện với hậu quả nghiêm trọng. Một phần thông tin nhạy cảm bị lộ ra, dữ liệu rò rỉ cũng có thể dẫn đến thiệt hại cho khách hàng và client, đánh mất doanh thu cũng như các hình phạt pháp lý.

    - Vì SEDs sử dụng hoàn toàn nền tảng phần cứng ổ đĩa, cả quá trình mã hóa và giải mã thực hiện trong phần cứng ổ cứng. Sự tách biệt khỏi hệ thống điều hành host làm việc mã hóa cứng báo mật hơn bảo mật mềm. Hơn thế nữa, không như mã hóa mềm, mã hóa cứng không yêu cầu thêm tài nguyên CPU.

    - Do đó, SEDs thường là yêu cầu bảo mật dữ liệu cụ thể trong quá trình đấu thầu cho các cơ quan chính phủ, các tổ chức chăm sóc sức khoa, và dịch vụ tài chính – ngân hàng.

    PHÂN LOẠI CÁC LOẠI SED:
    - QNAP phân loại các loại SED dựa vào các thông số tiêu chuẩn công nghiệp được xác định bởi tổ chức Trusted Computing Group (TCG). Những loại SED được hỗ trợ được liệt ke trong bảng sau.

    - Để kiểm tra các SED type của một SED đã lắp đặt, trên trang quản lý NAS > Storage & Snapshots > Storage > Disks/VJBOD và click SED.

    - Có 2 loại SED được hỗ trợ sau:
    • TCG Opal
    • TCG Enterprise: dành cho các bản firmware NAS tối thiểu QTS 5.0.1QuTS hero h5.0.1.
    QUẢN LÝ SED:
    Các hành động trên SED Storage Pool và Static Volume:
    - Để thực hiện các hành động sau vào Storage & Snapshots > Storage > Storage/Snapshots, chọn một SED pool hoặc volume, click Manage, sau đó chọn Actions > SED Settings.
    [​IMG]
    - Ý nghĩa các Action được cài đặt:
    • Change SED Pool Password & Change SED Volume Password:
      • Thay đổi mật khẩu mã hóa (Hãy lưu giữ mật khẩu này. Nếu bạn quên nó, pool hoặc volume lưu trữ sẽ không còn có thể truy cập vào được và tất cả dữ liệu trên đó sẽ cũng sẽ không thể phục hồi lại).
      • Bạn cũng có thể bật Auto unlock khi khởi động.
      • Cài đặt này bật lên để hệ thống tự động mở khóa và mount SED pool hoặc volume bất cứ khi nào NAS chạy, không yêu cầu user nhập thêm mật khẩu nữa. (Khi kích hoạt cài đặt này có thể dẫn đến không xác mình truy cập dữ liệu nên cá nhân không quyền hạn vẫn có thể truy cập vật lý vào NAS).
      • Ở các phiên bản trước QTS và QuTS hero, cài đặt này được biết đến là Save encryption key.
    • Lock: Khóa pool hoặc volume. Tất cả các volume/shared folder, LUNs, snapshots, và dữ liệu trong pool hoặc volume sẽ không thể truy cập được cho đến khi mở khóa.
    • Unlock: Mở khóa một SED pool hoặc volume. Tất cả các volume/shared folder, LUNs, snapshots, và dữ liệu trong pool hoặc volume có thể truy cập được.
    • Disable SED Security: Xóa mật khẩu mã hóa và vô hiệu khả năng khóa và mở khóa pool/volume.
    • Enable SED Security: Thêm mật khẩu mã hóa và bật khả năng khóa và mở khóa cho pool/volume.
    Xóa một SED Storage Pool hoặc Static Volume đã bị khóa:
    1. Vào Storage & Snapshots > Storage > Storage/Snapshots.

    2. Chọn một Locked SED storage pool hoặc static volume. (Static volume chỉ có trên QTS).

    3. Click Manage, và sau đó click Remove. Một của sổ hỗ trợ Removal Wizard mở ra.

    4. Chọn một trong các tùy chọn sau:
    • Unlock and remove pool, data, and saved key: tùy chọn này mở khóa các ổ SED trong storage pool hoặc static volume, và xóa toàn bộ dữ liệu. Storage pool hoặc static volume bị xóa khỏi hệ thống. Bạn phải nhập mật mã khóa vào.
    • Remove pool without unlocking it: tùy chọn xóa storage pool hoặc static volume mà không mở khóa các ổ cứng. Các ổ SED không thể sử dụng lại cho đến khi thực hiện một trong các hành động sau:
      • Mở khóa các ổ cứng. Vào Disks/VJBOD > click Recover > chọn Attach and Recover Storage Pool.
      • Xóa các ổ cứng sử dụng SED erase.
    5. Click Apply.

    - Hệ thống xóa SED storage pool hoặc static volume đã bị khóa.

    Di chuyển Storage Pool được bảo vệ SED đến NAS mới:
    - Áp dụng các yêu cầu sau khi di chuyển một storage pool đến một thiết bị NAS QNAP mới.
    • Hai thiết bị NAS phải cùng chạy QTS hoặc QuTS hero. Di chuyển giữa QTS và QuTS hero không thể được.
    • Phiên bản QTS hoặc QuTS hero đang chạy trên NAS mới phải giống hoặc mới hơn bản đang chạy trên NAS hiện tại.
    1. Trên NAS hiện tại, vào trang Storage & Snapshots > Storage > Storage/Snapshots.

    2. Chọn một storage pool bảo vệ SED.

    3. Click Manage. Cửa sổ Storage Pool Management mở lên.

    4. Click Action, sau đó chọn Safely Detach Pool. Một cửa sổ xác nhận sẽ xuất hiện.
    [​IMG]
    5. Click Yes. Trạng thái storage pool thay đổi thành 'Safely Detaching…' Sau khi hệ thống hoàn thành tách pool ra, nó sẽ biến mất khỏi Storage & Snapshots.

    6. Tháo rời các ổ cứng có trong storage pool khỏi NAS.

    7. Lắp đặt các ổ cứng này vào NAS mới.

    8. Trên NAS mới, vào trang Storage & Snapshots > Storage > Disks/VJBOD.

    9. Click Recover, sau đó chọn Attach and Recover Storage Pool. Một thông báo xác nhận sẽ xuất hiện.

    10. Nhập mật khẩu mã hóa. Bạn phải nhập mật khẩu vào nếu bạn đang sử dụng ổ cứng có SEDs với mã hóa đã được kích hoạt.

    11. Click Attach. Hệ thống quét các ổ cứng và tìm kiếm các storage pool.

    12. Click Apply.

    - Lúc này storage pool xuất hiện trong Storage & Snapshots trên NAS mới.

    Xóa bỏ một ổ Disk sử dụng SED Erase:
    - SED Erase xóa toàn bộ dữ liệu trên SED disk đã bị khóa hoặc không khóa và xóa bỏ mật khẩu mã hóa.

    1. Vào trang Storage & Snapshots > Storage > Disks/VJBOD.

    2. Chọn SED disk.

    3. Click Actions, và sau đó chọn SED Erase. Cửa sổ SED Erase mở lên.

    4. Nhập PSID (Physical Security ID). (PSID có thể thường được tìm thấy trên nhãn dán trên ổ cứng)
    [​IMG]
    5. Click Apply.

    - Hệ thống xóa toàn bộ dữ liệu trên SED.

    TRẠNG THÁI CỦA SED:
    - Để xem trạng của một SED, vào trang Storage & Snapshots > Storage > Disks/VJBOD và click vào SED đã lắp đặt vào.

    - Các trạng thái SED như sau:
    • Uninitialized: SED chưa được tạo. Drive mã hóa chưa hoạt động.
    • Unlocked: SED được khởi tạo và không bị khóa. Drive mã hóa đã hoạt đông. Dữ liệu trên SED được mã hóa và có thể truy cập.
    • Locked: SED được tạo và bị khóa. Drive mã hóa đã hoạt động. Dữ liệu trên SED bị mã hóa và không thể truy cập vào.
    • Blocked: SED bị khóa vì lý do bảo mật. Drive không thể được khởi tạo. (Để mở khóa SED, lắp đặt lại ổ cứng hoặc xóa ổ sử dụng SED Erase)
    MỘT SỐ LƯU Ý KHÁC:
    Auto unlock on startup: cài đặt cho phép hệ thống tự động mở khóa một storage pool / static volum được bảo vệ SED sau khi NAS QNAP khởi động lên.

    Encryption key: duy nhất một chuỗi mật mã ngẫu nhiên được lưu trữ vật lý trong phần cứng trong ổ cứng tự mã hóa (SEDs) để mã hóa dữ liệu được ghi vào ổ cứng và giải mã dữ liệu khi nó được đọc từ ổ đĩa.

    Encryption password: mật khẩu do người dùng xác định để khóa và mở khóa một storage pool / static volum được bảo vệ SED.

    PSID (Physical Secure ID): một key duy nhất thường được dán trên ổ SED để reset drive về mặc định.

    SED Erase: tính năng Storage & Snapshots dành để xóa toàn bộ dữ liệu trên một ổ SED và xóa mật khẩu mã hóa.

    ---o0o---
     
    vuthang, 18/10/22
    #1

trang này