[心得] QTS整機加密 打造固若金湯的私有雲

hope

一直以來,像Dropbox這類的免費雲端硬碟,都存在著資料外洩疑慮,事實上資安事件也屢傳不鮮,也因此本魯對公有雲沒有太多好感。不過,一旦嚐慣Dropbox、Google雲端硬碟的便利性,實在很難回頭在用隨身碟傳資料;幾經比較,像NAS這樣的私有雲,就成為了資安關注人士的首選。

然而,先前電腦雜誌爆料,台灣兩大NAS品牌之一的群暉科技(Synology),旗下產品若軔體沒有更新到DSM 4.3-3810以後版本,那麼會成為勒索軟體SynoLocker的綁架目標。據該報導表示,SynoLocker陸續在國內外引發災情,受害者的重要檔案文件皆因加密無法開啟,只得花錢消災、乖乖繳納贖金(約350美元)才能解密開鎖。

因此僅管本魯曾為Synology DiskStation的愛用者,但這次在選購新NAS時,還是直接跳槽、選購了威聯通(QNAP)旗下TurboNAS,型號為TS-653 Pro。


首先,到控制台下,點選儲存空間總管,即可著手設定磁區加密功能。


QTS的儲存空間總管在視覺設計上讓我覺得一目了然,相當挈合當前扁平化設計主流。

經過簡易輕鬆的無腦安裝後,本魯魔透過QTS內的儲存空間管理員,在建立磁區時,竟發現系統可設定為加密磁區!依照本魯先前的使用經驗,群暉DSM無法對磁區進行整機加密,只能在每次新增共用資料夾時選擇加密,而且像Photo、Video、Audio這類系統預設資料夾無法加密。兩相比較,QTS的磁區加密功能更嚴謹、也更加方便。

深入來看,QTS只要在初次建立磁區時勾選加密選項後,就不用像DSM每次在新增共用資料夾時還要再設一次,操作上比較有行雲流水的暢快感。

不過,要特別注意的部份,則是如果一開始所建立的磁區沒有加密,那麼之後也不能替該磁區加密;因此,建議使用者在劃分磁區之前,事先規劃好加密區容量大小。當然,如果你是購買4Bay以上機種,你也可以先裝兩顆硬碟看要不要加密都可以,之後若有加密需要、又或是加密空間不夠用,此時再加裝硬碟來建立加密磁區,也可以達到同樣目的。


本魯用過DiskStation,與這台QNAP TS-653 Pro相較之下,QTS對於硬碟資料的揭露更加完整、清晰。更重要的一點,則是從介面圖示,我可以清楚地知道NAS裡哪一BAY硬碟的資訊對應,若遇硬碟損壞時,不用一顆一顆抽出來交叉看是哪一顆該換掉。


從硬碟資訊裡看到最大速度支援6Gbps就可以知道,QNAP TS-653 Pro在晶片組上採用了INTEL最新解決方案,因此這是原生的SATAIII存取介面,相較第三方晶片來說,有更好的I/O速度及穩定度;更不用說打爆SATAII 3Gbps這種行之有年的慢速規格了。

事實上,磁區加密比起資料夾加密的安全性更高。磁區加密就算整台NAS被小偷搬走,破解的可能性幾乎是微乎其微,裡面的資料是較有保障的;相較之下,單純的資料夾加密可供破解的空間就較為彈性,市面上有不少質數演算法,就是專門找出key來破解這類資料夾加密,或是破解Ring 0權限,也能連帶取得資料夾存取權限,但磁區加密把這些路都封死了,安全性稱得上是固若金湯。

實務來看,磁區加密的最大問題在於使用者忘記密碼,如果真的忘了,這些資料就真的要跟你說掰掰了!本魯在次提醒,千萬別忘了你設定的密碼哦!


如果你怕硬碟壞掉,QTS裡面還提供了硬碟健康資訊,一有危險,建議就可以準備更換硬碟。


磁碟溫度其實很重要,如果你將NAS放在通風不良的地方,溫度一旦太高,會影響硬碟使用壽命。所以磁碟溫度這個選項,本魯偶爾都會點入觀察,即使到了夏天,我都會儘可能讓系統維持在攝氏50度C以下。

不可諱言,無論是檔案加密或是磁區加密,都必需透過處理器進行較為吃重的運算處理,而QNAP在高階機種上,已經導入Core i3/i5處理器,因此能享受到Intel進階加密指令集 (Intel Advanced Encryption Standard New Instructions,Intel AES-NI)的好處,比起傳統x86處理器的進階加密標準演算法 (Advanced Encryption Standard,AES)更加優異。

表現在實際使用上,就是速度更快,安全性也更加穩定可靠;此外,還能減輕傳統加密法造成應用程式執行效能降低的影響,還可藉由解決進階加密標準 (AES) 的 Side Channel 通道攻擊 (傳統軟體加密法在資料表查詢方面的漏洞) 來增強整體安全性。也因此,雖然ARM機種也支援磁區加密功能,但在效能表現上,還是以Core i3/i5機種會比較出色。


裡面一開始裝了兩顆WD紅標6TB硬碟,我組成了RAID 1模式。接下來,示範透過新加入的兩顆WD紅標4TB硬碟,組成RAID 1加密磁區,步驟非常簡單。

也因此,本魯這次選用了QNAP TS-653 Pro搭配四顆WD Red紅標硬碟作為工作平台,眾所週知紅標NASware硬碟是專為NAS量身打造而出,具有一週工作七天、每天運行24小時的可靠特性,相較於傳統硬碟主要一週工作五天、每天運行8小時的特性,WD紅標硬碟確實更加符合NAS運行上的需求;在噪音與抑震設計上,也都讓本魯相當滿意。

本魯一開始是先用兩顆紅標6TB硬碟建立Raid 1,主要放一些與好友共享的影片、檔案,同時作為某些app的預設儲存空間之用。後來,再以兩顆紅標4TB硬碟建立加密磁區建立Rahttp://t17.techbang.com/attached_images/batchid 1,專門存放工作上的機密資料及個人私密檔案。

在Raid 1的保護下,我覺得比將資料放在公有雲上安全許多,更何況本魯還可以透過內建多家第三方備份功能,讓我將資料的遺失損燬風險趨近於零。同時,在QTS「公私分明」的設計概念下,確實讓我在雲端佈署上更加具有彈性、更加便利、也更加安全。以下,就是我的實作步驟和大家分享,過程非常簡單,不妨一試。


首先,點選新增磁區。


點選你要進行建立磁區的實體硬碟。


新裝的兩顆硬碟,看你要用什麼組態,若要合併擴充成一顆就選JBOD。若想合併擴充成一顆、並享有近2倍加速存取就選RAID 0。如果你害怕資料損燬,想進行鏡像備份,那可以跟我一樣選擇進行RAID 1磁區建立。


特別在提醒各位,RAID 1等於有一顆硬碟在幫你作鏡像備份,所以兩顆4TB硬碟作RAID 1,並不會變8TB,還是一樣維持4TB。


在這個頁面中,如果你沒有建議加密的需要,那麼直接點擊下一步即可。


點選加密以後,必需輸入一組8至16位元的密碼,如紅框所示。比較要注意的綠框內的「儲存密碼」選項,勾選以後,當NAS啟動時會自動解鎖加密磁區並掛載,反之則必須自行手動解鎖磁區。


剛剛你選擇的設定資訊再看一遍,確定後再按完成,QTS的資料真的非常完整而且清楚,不怕手殘弄錯。


建立磁區的當下,會把硬碟裡所有資料予以清除,別忘了先把重要的資料摳出來再開始喔!


建立完成後,在磁碟區列表內可看到有兩個磁區,有一個鎖頭符號的就是我們剛剛建議的加密磁區;而單純硬碟圖示的則是無加密一般磁區。此外,點選右上角的「動作」選單,裡面可供使用者自行更改密碼及下載密碼等功能,建議也可備份一下,不然以後忘了密碼就真的沒救了。

原文網址:https://t17.techbang.com/topics/32509-qts-hardware-encryption-to-create-impenetrable-private-cloud?page=1