主页 > 业界成果 >[心得] QTS整机加密 打造固若金汤的私有云 >

[心得] QTS整机加密 打造固若金汤的私有云

2020-05-26来源:业界成果
点赞:908

[心得] QTS整机加密 打造固若金汤的私有云

一直以来,像Dropbox这类的免费云端硬碟,都存在着资料外洩疑虑,事实上资安事件也屡传不鲜,也因此本鲁对公有云没有太多好感。不过,一旦嚐惯Dropbox、Google云端硬碟的便利性,实在很难回头在用随身碟传资料;几经比较,像NAS这样的私有云,就成为了资安关注人士的首选。

然而,先前电脑杂誌爆料,台湾两大NAS品牌之一的群晖科技(Synology),旗下产品若轫体没有更新到DSM 4.3-3810以后版本,那幺会成为勒索软体SynoLocker的绑架目标。据该报导表示,SynoLocker陆续在国内外引发灾情,受害者的重要档案文件皆因加密无法开启,只得花钱消灾、乖乖缴纳赎金(约350美元)才能解密开锁。

因此仅管本鲁曾为Synology DiskStation的爱用者,但这次在选购新NAS时,还是直接跳槽、选购了威联通(QNAP)旗下TurboNAS,型号为TS-653 Pro。

[心得] QTS整机加密 打造固若金汤的私有云
首先,到控制台下,点选储存空间总管,即可着手设定磁区加密功能。

[心得] QTS整机加密 打造固若金汤的私有云
QTS的储存空间总管在视觉设计上让我觉得一目了然,相当挈合当前扁平化设计主流。

经过简易轻鬆的无脑安装后,本鲁魔透过QTS内的储存空间管理员,在建立磁区时,竟发现系统可设定为加密磁区!依照本鲁先前的使用经验,群晖DSM无法对磁区进行整机加密,只能在每次新增共用资料夹时选择加密,而且像Photo、Video、Audio这类系统预设资料夹无法加密。两相比较,QTS的磁区加密功能更严谨、也更加方便。

深入来看,QTS只要在初次建立磁区时勾选加密选项后,就不用像DSM每次在新增共用资料夹时还要再设一次,操作上比较有行云流水的畅快感。

不过,要特别注意的部份,则是如果一开始所建立的磁区没有加密,那幺之后也不能替该磁区加密;因此,建议使用者在划分磁区之前,事先规划好加密区容量大小。当然,如果你是购买4Bay以上机种,你也可以先装两颗硬碟看要不要加密都可以,之后若有加密需要、又或是加密空间不够用,此时再加装硬碟来建立加密磁区,也可以达到同样目的。

[心得] QTS整机加密 打造固若金汤的私有云
本鲁用过DiskStation,与这台QNAP TS-653 Pro相较之下,QTS对于硬碟资料的揭露更加完整、清晰。更重要的一点,则是从介面图示,我可以清楚地知道NAS里哪一BAY硬碟的资讯对应,若遇硬碟损坏时,不用一颗一颗抽出来交叉看是哪一颗该换掉。

[心得] QTS整机加密 打造固若金汤的私有云
从硬碟资讯里看到最大速度支援6Gbps就可以知道,QNAP TS-653 Pro在晶片组上採用了INTEL最新解决方案,因此这是原生的SATAIII存取介面,相较第三方晶片来说,有更好的I/O速度及稳定度;更不用说打爆SATAII 3Gbps这种行之有年的慢速规格了。

事实上,磁区加密比起资料夹加密的安全性更高。磁区加密就算整台NAS被小偷搬走,破解的可能性几乎是微乎其微,里面的资料是较有保障的;相较之下,单纯的资料夹加密可供破解的空间就较为弹性,市面上有不少质数演算法,就是专门找出key来破解这类资料夹加密,或是破解Ring 0权限,也能连带取得资料夹存取权限,但磁区加密把这些路都封死了,安全性称得上是固若金汤。

实务来看,磁区加密的最大问题在于使用者忘记密码,如果真的忘了,这些资料就真的要跟你说掰掰了!本鲁在次提醒,千万别忘了你设定的密码哦!

[心得] QTS整机加密 打造固若金汤的私有云
如果你怕硬碟坏掉,QTS里面还提供了硬碟健康资讯,一有危险,建议就可以準备更换硬碟。

[心得] QTS整机加密 打造固若金汤的私有云
磁碟温度其实很重要,如果你将NAS放在通风不良的地方,温度一旦太高,会影响硬碟使用寿命。所以磁碟温度这个选项,本鲁偶尔都会点入观察,即使到了夏天,我都会儘可能让系统维持在摄氏50度C以下。

不可讳言,无论是档案加密或是磁区加密,都必需透过处理器进行较为吃重的运算处理,而QNAP在高阶机种上,已经导入Core i3/i5处理器,因此能享受到Intel进阶加密指令集 (Intel Advanced Encryption Standard New Instructions,Intel AES-NI)的好处,比起传统x86处理器的进阶加密标準演算法 (Advanced Encryption Standard,AES)更加优异。

表现在实际使用上,就是速度更快,安全性也更加稳定可靠;此外,还能减轻传统加密法造成应用程式执行效能降低的影响,还可藉由解决进阶加密标準 (AES) 的 Side Channel 通道攻击 (传统软体加密法在资料表查询方面的漏洞) 来增强整体安全性。也因此,虽然ARM机种也支援磁区加密功能,但在效能表现上,还是以Core i3/i5机种会比较出色。

[心得] QTS整机加密 打造固若金汤的私有云
里面一开始装了两颗WD红标6TB硬碟,我组成了RAID 1模式。接下来,示範透过新加入的两颗WD红标4TB硬碟,组成RAID 1加密磁区,步骤非常简单。

也因此,本鲁这次选用了QNAP TS-653 Pro搭配四颗WD Red红标硬碟作为工作平台,众所週知红标NASware硬碟是专为NAS量身打造而出,具有一週工作七天、每天运行24小时的可靠特性,相较于传统硬碟主要一週工作五天、每天运行8小时的特性,WD红标硬碟确实更加符合NAS运行上的需求;在噪音与抑震设计上,也都让本鲁相当满意。

本鲁一开始是先用两颗红标6TB硬碟建立Raid 1,主要放一些与好友共享的影片、档案,同时作为某些app的预设储存空间之用。后来,再以两颗红标4TB硬碟建立加密磁区建立Rahttp://t17.techbang.com/attached_images/batchid 1,专门存放工作上的机密资料及个人私密档案。

在Raid 1的保护下,我觉得比将资料放在公有云上安全许多,更何况本鲁还可以透过内建多家第三方备份功能,让我将资料的遗失损燬风险趋近于零。同时,在QTS「公私分明」的设计概念下,确实让我在云端布署上更加具有弹性、更加便利、也更加安全。以下,就是我的实作步骤和大家分享,过程非常简单,不妨一试。

[心得] QTS整机加密 打造固若金汤的私有云
首先,点选新增磁区。

[心得] QTS整机加密 打造固若金汤的私有云
点选你要进行建立磁区的实体硬碟。

[心得] QTS整机加密 打造固若金汤的私有云
新装的两颗硬碟,看你要用什幺组态,若要合併扩充成一颗就选JBOD。若想合併扩充成一颗、并享有近2倍加速存取就选RAID 0。如果你害怕资料损燬,想进行镜像备份,那可以跟我一样选择进行RAID 1磁区建立。

[心得] QTS整机加密 打造固若金汤的私有云
特别在提醒各位,RAID 1等于有一颗硬碟在帮你作镜像备份,所以两颗4TB硬碟作RAID 1,并不会变8TB,还是一样维持4TB。

[心得] QTS整机加密 打造固若金汤的私有云
在这个页面中,如果你没有建议加密的需要,那幺直接点击下一步即可。

[心得] QTS整机加密 打造固若金汤的私有云
点选加密以后,必需输入一组8至16位元的密码,如红框所示。比较要注意的绿框内的「储存密码」选项,勾选以后,当NAS启动时会自动解锁加密磁区并挂载,反之则必须自行手动解锁磁区。

[心得] QTS整机加密 打造固若金汤的私有云
刚刚你选择的设定资讯再看一遍,确定后再按完成,QTS的资料真的非常完整而且清楚,不怕手残弄错。

[心得] QTS整机加密 打造固若金汤的私有云
建立磁区的当下,会把硬碟里所有资料予以清除,别忘了先把重要的资料抠出来再开始喔!

[心得] QTS整机加密 打造固若金汤的私有云
建立完成后,在磁碟区列表内可看到有两个磁区,有一个锁头符号的就是我们刚刚建议的加密磁区;而单纯硬碟图示的则是无加密一般磁区。此外,点选右上角的「动作」选单,里面可供使用者自行更改密码及下载密码等功能,建议也可备份一下,不然以后忘了密码就真的没救了。

相关阅读

随便看看