如何在 QNAP NAS 上使用自加密硬盘 (SED)？

本教程介绍自加密硬盘 (SED) 以及如何在 QNAP NAS 上使用和管理自加密硬盘。

• 自加密硬盘 (SED)
• 为何使用 SED？
• SED 类型
• 创建 SED 存储
  • 创建 SED 安全存储池
  • 创建 SED 安全静态卷
• SED 管理
  • SED 存储池和静态卷操作
  • 移除已锁定的 SED 存储池或静态卷
  • 将 SED 安全存储池迁移到新 NAS
  • 使用 SED 擦除来擦除磁盘
• SED 状态
• 术语表

自加密硬盘 (SED)

自加密硬盘 (SED) 是在硬盘控制器中内置加密硬件的硬盘。SED 会在数据写入硬盘时自动对所有数据进行加密，从硬盘中读取数据时自动对所有数据解密。存储在 SED 上的数据始终被数据加密密钥完全加密，数据加密密钥存储在硬盘硬件上，主机操作系统或未经授权的用户无法访问。加密密钥也可以使用用户指定的加密密码进行加密，通过该加密密码，可以对 SED 进行锁定和解锁。

由于加密和解密由硬盘处理，因此访问 SED 上的数据无需使用主机设备上任何额外的 CPU 资源。如果 SED 被盗或丢失，SED 上的数据也将无法访问。出于以上原因，SED 被广泛用于存储敏感信息。

您可以使用 SED 在 QTS 和 QuTS hero 中创建 SED 安全存储池，在 QTS 中创建 SED 安全静态卷。您还可以使用 SED 创建常规存储池或卷，但 SED 上的自加密功能仍保持停用状态。

为何使用 SED？

对于很多企业和组织而言，数据存储安全极为重要，尤其在存储个人数据（如信用卡信息和身份证号码）或行业机密（如产品蓝图和知识产权）时更是如此。

如果发生数据泄漏，企业或组织会面临严重的后果。除了敏感信息被泄漏之外，数据泄漏还会导致客户受损、收入损失以及法律处罚。

由于 SED 使用基于硬件的全磁盘加密，因此加密和解密过程都在磁盘硬件中进行。与软件加密相比，硬件加密的加密过程与主机操作系统分开，因此更安全。此外，与软件加密不同的是，硬件加密无需额外的 CPU 资源。如果 SED 被盗或丢失，则几乎不可能从 SED 获取易懂的信息。

鉴于以上原因，政府机构、医疗保健机构以及金融和银行服务机构的投标过程通常指定 SED 作为数据安全要求。

SED 类型

QNAP 根据可信计算组织 (TCG) 定义的行业标准规范对 SED 类型进行分类。下表中列出了受支持的 SED 类型。

要查看已安装 SED 的 SED 类型，请转到存储与快照总管 > 存储 > 磁盘/VJBOD > 磁盘，然后单击 SED。

创建 SED 存储

您可以使用 SED 在 QTS 和 QuTS hero 中创建 SED 安全存储池，在 QTS 中创建 SED 安全静态卷。

创建 SED 安全存储池

1. 打开“存储与快照总管”。
2. 验证 SED 磁盘是否未初始化。
   1. 转到存储 > 磁盘/VJBOD。
   2. 选择 SED 磁盘。
   3. 验证 SED 状态为“尚未初始化”。
   4. 对每个 SED 磁盘重复以上步骤。
3. 创建 SED 安全存储池。
   注意

   本主题仅介绍创建 SED 安全存储池所需的必要步骤。
   有关完整的说明和配置详细信息，请参见以下用户指南中的“创建 SED 安全存储池”：

   • QTS 用户指南
   • QuTS hero 用户指南
   1. 转到存储 > 存储/快照。
   2. 单击创建 > 新存储池。
      此时会打开创建存储池向导。
   3. 单击下一步。
   4. 可选：从存储设备列表中选择一个扩展单元。
   5. 选择创建 SED 安全存储池。
   6. 选择一个或多个 SED 磁盘。
   7. 选择 RAID 类型。
   8. 单击下一步。
   9. 指定加密密码。
   10. 单击下一步。
   11. 单击创建。
       系统即会创建 SED 安全存储池。

创建 SED 安全静态卷

1. 打开“存储与快照总管”。
2. 验证 SED 磁盘是否未初始化。
   1. 转到存储 > 磁盘/VJBOD > 磁盘。
   2. 选择 SED 磁盘。
   3. 验证 SED 状态为“尚未初始化”。
   4. 对每个 SED 磁盘重复以上步骤。
3. 创建 SED 安全静态卷
   注意

   本主题仅介绍创建 SED 安全静态卷所需的必要步骤。
   有关完整的说明和配置详细信息，请参见 QTS 用户指南中的“创建 SED 安全静态卷”。
   1. 转到存储 > 存储/快照。
   2. 单击创建 > 新卷。
      此时会打开创建卷向导。
   3. 选择静态卷。
   4. 单击下一步。
   5. 可选：从存储设备列表中选择一个扩展单元。
   6. 选择创建 SED 安全静态卷。
   7. 选择一个或多个 SED 磁盘。
   8. 选择 RAID 类型。
   9. 单击下一步。
   10. 指定加密密码。
   11. 单击下一步。
   12. 单击完成。
       系统即会创建 SED 安全静态卷。

SED 管理

SED 存储池和静态卷操作

要执行以下操作，请转到存储与快照总管 > 存储 > 存储/快照，选择 SED 池或卷，单击管理，然后选择操作 > SED 设置。

移除已锁定的 SED 存储池或静态卷

1. 转到存储与快照总管 > 存储 > 存储/快照。
2. 选择锁定的 SED 存储池或静态卷。
   注意

   静态卷仅在 QTS 中提供。
3. 单击管理，然后单击移除。
   此时会打开移除向导窗口。
4. 选择移除选项。

   选项	描述
   解锁并移除池、数据和保存的密钥	此选项将解锁存储池或静态卷中的 SED 磁盘，然后删除所有数据。此时即可从系统中移除存储池或静态卷。 必须输入加密密码。
   移除池而不将其解锁	此选项无需解锁磁盘即可移除存储池或静态卷。在您执行以下操作之一以前，不能再使用 SED 磁盘： 解锁磁盘。转到磁盘/VJBOD，单击恢复，然后选择连接并恢复存储池。 使用 SED 擦除来擦除磁盘。

5. 单击应用。

系统将移除锁定的 SED 存储池或静态卷。

将 SED 安全存储池迁移到新 NAS

将存储池迁移到新 NAS 时，适用以下要求。

• 两台 NAS 设备必须同时运行 QTS，或者同时运行 QuTS hero。不能在 QTS 和 QuTS hero 之间迁移。
• 新 NAS 上运行的 QTS 或 QuTS hero 版本必须与原 NAS 上运行的版本相同或更新。

1. 在原 NAS 上，转到存储与快照总管 > 存储 > 存储/快照。
2. 选择 SED 安全存储池。
3. 单击管理。
   此时会打开存储池管理窗口。
4. 单击操作，然后选择安全卸载存储池。
   
   此时会出现确认消息。
5. 单击是。
   存储池状态更改为“安全卸载中...”。
   系统卸载完存储池后，存储池将从“存储与快照总管”中消失。
6. 从 NAS 中删除包含存储池的硬盘。
7. 在新 NAS 上安装硬盘。
8. 在新 NAS 上，转到 存储与快照总管 > 存储 > 磁盘/VJBOD。
9. 单击恢复，然后选择连接并恢复存储池。
   此时会出现一条确认消息。
10. 输入加密密码。
    如果您使用的是自加密硬盘 (SED) 并已激活加密，则必须输入此密码。
11. 单击连接。
    系统将扫描磁盘并检测存储池。
12. 单击应用。
    存储池会显示在新 NAS 的“存储与快照总管”中。

使用 SED 擦除来擦除磁盘

SED 擦除将擦除锁定或未锁定 SED 磁盘上的所有数据，并移除加密密码。

要执行 SED 擦除，磁盘不得被系统使用或分配用于任何用途（例如，磁盘不得在存储池中或配置为备用磁盘）。在执行 SED 擦除之前，确保磁盘可用。

1. 转到存储与快照总管 > 存储 > 磁盘/VJBOD > 磁盘。
2. 选择 SED 磁盘。
3. 单击操作，然后选择 SED 擦除。
   注意

   仅当磁盘的使用类型状态为“闲置”时，此功能才可用。要检查此状态，请转到存储与快照总管 > 存储 > 磁盘/VJBOD > 磁盘，在表中找到磁盘，并查看“使用类型”列。有关详细信息，请参见《QTS 用户指南》或《QuTS hero 用户指南》中的“磁盘状态”。

   此时会打开 SED 擦除窗口。
4. 输入磁盘的物理安全 ID (PSID)。
   提示

   PSID 通常可在磁盘标签上找到。
   
   如果找不到 PSID，请联系磁盘制造商。
5. 单击应用。
   系统将擦除 SED 上的所有数据。

SED 状态

要查看 SED 状态，请转到存储与快照总管 > 存储 > 磁盘/VJBOD > 磁盘，然后单击已安装的 SED。

术语表