QNAP Turbo NAS Software User Manual

Шифрование файловой системы

Шифрование файловой системы

Previous topic Next topic  

Шифрование файловой системы

Previous topic Next topic  

На этой странице можно управлять дисковыми томами накопителя, на которых включено шифрование файловой системы. Каждый зашифрованный дисковый том блокируется определенным ключом. Зашифрованный том может быть разблокирован следующими способами:

Пароль шифрования: Введите пароль шифрования для разблокирования дискового тома. По умолчанию используется пароль "admin". Пароль должен иметь длину 8-16 символов. Допускается использование символов (! @ # $ % ^ & * ( )_+ = ?).
Ключевой файл шифрования: Для разблокирования дискового тома на сетевой накопитель можно выгрузить файл шифрования. После успешного разблокирования дискового тома ключ можно загрузить со страницы "Управление ключом шифрования".

 

Из-за ограничений, накладываемых местным законодательством, в некоторых странах (например, России, Беларуси, Украине, Казахстане и Узбекистане) функции шифрования могут быть недоступны.

 

Шифрование данных на устройствах Turbo NAS от QNAP

 

В целях защиты данных дисковые тома сетевого накопителя могут быть зашифрованы с использованием 256-разрядного шифрования AES. Зашифрованные дисковые тома можно смонтировать для нормального доступа на чтение/запись только по паролю для авторизованных пользователей. Функция шифрования защищает конфиденциальные данные от несанкционированного использования даже в случае кражи жестких дисков или всего сетевого накопителя.

 

О шифровании AES:

В криптографии Advanced Encryption Standard (AES) – это стандарт шифрования, который принят на вооружение правительством США. Этот стандарт включает в себя три блочных шифра, AES-128, AES-192 и AES-256 […]. Каждый шифр AES имеет блок размером 128 разрядов. Шифры используют ключи длиной 128, 192 и 256 разрядов соответственно. Шифры AES были тщательно проанализированы и теперь используются повсеместно. (Источник:http://en.wikipedia.org/wiki/Advanced_Encryption_Standard)

 

Шифрование на уровне томов с использованием алгоритма AES поддерживается только в некоторых моделях сетевых накопителей QNAP.

Сравнительную таблицу для разных моделей можно посмотреть на странице: http://www.qnap.com/images/products/comparison/Comparison_NAS.html

 

До начала работы

 

Перед тем, как начать пользоваться функцией шифрования данных на сетевом накопителе, необходимо учесть следующие моменты.

Функция шифрования сетевого накопителя работает на уровне томов. В качестве тома может выступать один диск, конфигурация JBOD или массив RAID.
Решение о необходимости шифрования данных тома необходимо принять до его создания. Иными словами, включить шифрование для уже созданного тома нельзя без выполнения процедуры инициализации. Учтите, что при инициализации дискового тома все существующие на диске данные будут стерты.
Отключить функцию шифрования дискового тома без инициализации нельзя. Чтобы отключить шифрование дискового тома, необходимо инициализировать его, что приведет к уничтожению всех данных на томе.
Храните пароль шифрования или ключ в безопасном месте. Если забыт пароль шифрования или утерян ключ шифрования, восстановить доступ к данным будет невозможно.
Перед началом работы внимательно прочитайте указания и строго следуйте инструкциям.

 

Создание нового зашифрованного дискового тома

 

Если сетевой накопитель уже установлен, и требуется создать новый зашифрованный дисковый том при установке новых жестких дисков на сетевой накопитель, выполните следующие действия:

1.Установите на сетевой накопитель новый жесткий диск (или несколько дисков).
2.Войдите на сетевой накопитель с правами администратора. Перейдите на страницу "Менеджер хранения" > "Управление томами".
3.Нажмите на "Создать".
4.Выберите дисковый том, который необходимо настроить (в зависимости от количества новых установленных жестких дисков).
5.Проверьте диски для нового тома.
6.Выберите "Да" для опции "Шифрование" и введите настройки шифрования. Затем нажмите на "Создать" для создания нового зашифрованного тома.

 

Учтите, что все данные на выбранных дисках будут УНИЧТОЖЕНЫ. Перед созданием зашифрованного тома сохраните все данные с дисков.

 

Процедура создания нового зашифрованного тома на сетевом накопителе завершена.

 

Проверка шифрования

 

Чтобы проверить, что нужный дисковый том действительно зашифрован, выполните вход на сетевой накопитель под именем администратора. Перейдите на страницу "Менеджер хранения" > "Управление томами". Зашифрованный дисковый том должен быть виден, однако в столбце "Состояние" будет отображаться значок блокировки. Блокировка будет снята после разблокирования зашифрованного тома. Дисковые тома, для которых в столбце "Состояние" значок блокировки не отображается, является незашифрованными.

 

Поведение зашифрованного тома при перезагрузке системы

 

В рассматриваемом примере на сетевом накопителе имеется два зашифрованных дисковых тома.

При создании первого тома (однодискового тома 1) не была выбрана опция "Сохранить ключ шифрования".
При создании второго тома (однодискового тома 4) опция "Сохранить ключ шифрования" была включена.

 

Проверьте статус томов после перезагрузки сетевого накопителя. Первый том был разблокирован и смонтирован, второй том остается в заблокированном состоянии. В силу того, что ключ шифрования не был сохранен на втором дисковом томе, потребуется вручную ввести пароль шифрования, чтобы разблокировать данный том.

Сохранение ключа на сетевом накопителе защитит только в случае кражи жестких дисков. Однако в этом случае существует риск компрометации данных в случае кражи сетевого накопителя целиком, поскольку данные станут доступны злоумышленнику после перезапуска накопителя.
Если не сохранять ключ шифрования на сетевом накопителе, то накопитель будет защищен от компрометации данных даже в случае кражи устройства целиком. Недостаток этого варианта состоит в необходимости вручную разблокировать дисковый том при каждом перезапуске системы.

 

Управление ключом шифрования

 

Для управления параметрами ключа шифрования выполните вход на сетевой накопитель в качестве администратора и перейдите на страницу "Менеджер хранения"" > "Шифрование файловой системы".

Для управления ключом шифрования предлагаются четыре действия:

Изменение ключа шифрования: Введите старый пароль шифрования и затем новый пароль. (После изменения пароля любые ранее экспортированные ключи больше не будут работать. Необходимо будет загрузить новый ключ шифрования, как это описано ниже).
Загрузка файла ключа шифрования: Введите пароль шифрования, чтобы загрузить файл ключа шифрования. Загрузка файла ключа шифрования позволит сохранить ключ шифрования в файле. Этот файл также будет зашифрован и может использоваться для разблокирования тома без знания фактического пароля (см. "Разблокирование дискового тома вручную" ниже). Храните файл ключа шифрования в надежном месте!
Удаление сохраненного ключа: С помощью данной опции можно удалить сохраненные ключи.
Сохранение ключа шифрования: Сохранение ключа шифрования на сетевом накопителе для автоматической разблокировки и монтирования зашифрованного дискового тома при загрузке сетевого накопителя.

 

Разблокирование дискового тома вручную

 

Чтобы разблокировать том, выполните вход на сетевой накопитель под именем администратора. Перейдите на страницу "Менеджер хранения" > "Шифрование файловой системы". Появится список зашифрованных томов и их статус: заблокирован или разблокирован. Чтобы разблокировать том, нажмите на "Разблокировать устройство". Выберите один из вариантов: ввести пароль шифрования или воспользоваться ранее экспортированным файлом ключа шифрования. Если пароль шифрования указан правильно или файл ключа верен, том будет разблокирован и станет доступным.

 


© 2015 QNAP Systems, Inc.