幾乎所有的硬碟最終都會離開企業或資料中心。然而,企業的資料仍存儲在這些硬碟上,當大多數硬碟離開資料中心時,它們所包含的資料仍然可被讀取。即使資料在 RAID 保護下跨多個硬碟進行分散存儲,由於今天高容量數組中的典型單個分段足夠大,以至於有可能暴露敏感且受保護的資料,因此這些資料仍容易受到資料竊取的威脅。
資訊科技面臨退役硬碟的問題
當硬碟被退役並轉移到資料中心之外,移交給他人處理時,這些硬碟上的資料就會面臨相當大的風險。資訊科技管理員常常因各種原因將硬碟退役,其中包括:
- 歸還硬碟以進行保修、維修、維護或過期的租賃協議。
- 移除和處理硬碟。
- 將硬碟重新用於其他儲存用途。
硬碟控制挑戰與處理成本
為了避免資料外洩,企業已嘗試多種方法,在退役的硬碟離開機構之前抹除其上的資料,以免可能落入不良分子手中。目前的退役實踐都耗時費力,例如:
- 覆寫硬碟資料。
- 磁化處理或物理粉碎。
- 聘請專業的處理服務。
這些旨在使資料變得不可讀的設計依賴於過程中的重要人為參與,因此容易受到技術和人為失敗的影響。
SED 和 ISE 硬碟的發明
隨著舊系統的退役,每天有成千上萬的硬碟離開資料中心。但如果所有這些硬碟都自動且透明地將資料進行加密,使其可以立即且安全地被抹除,會是怎樣的情況呢?SED全面解決了這些問題,使硬碟退役時的加密變得簡單且負擔得起。
自加密硬碟(Self-Encrypting Drive,簡稱 SED)介紹
自加密硬碟(Self-Encrypting Drive,簡稱SED)具備內建的加密控制器和位於硬碟上的加密金鑰。它可以提供即時的安全抹除(密碼抹除,使資料不再可讀),並在硬碟在使用過程中遺失或被竊取時啟用自動鎖定,以保護活動資料。SED有兩個功能,分別是由驗證金鑰(AK)操作的驗證,以及由資料加密金鑰(DEK)操作的資料加密。
即時安全抹除(Instant Secure Erase,簡稱 ISE)介紹
即時安全抹除(Instant Secure Erase,簡稱ISE)硬碟僅提供即時安全抹除功能。當需要退役或重新用於其他用途時,擁有者會向硬碟發送指令,讓硬碟進行密碼抹除。密碼抹除僅僅是替換加密硬碟內部的加密金鑰,從而使以該已刪除金鑰進行加密的資料無法解密。ISE 硬碟僅通過資料加密金鑰(DEK)實現資料加密,不具備驗證功能。
SED 與 ISE 的優點及效益
使用 SED 和 ISE 可以減少資訊科技的運營費用,從而解放資訊科技部門免受硬碟控制的困擾和處理成本的壓力。通過使用 SED 和 ISE,不會阻礙資訊科技的效率。此外,SED和ISE通過以下方式簡化了退役流程,並保留了硬件價值以供回收和重新用途:
- 保障保固和租賃到期退回的安全性。
- 消除對於覆寫或銷毀硬碟的需求。
- 使硬碟能夠安全地重新用於其他用途。
此外,硬碟擁有者可以選擇將 SED 設置為自動鎖定模式,以幫助保護活動資料免受竊取。在自動鎖定模式下使用 SED 只需要在正常使用時通過驗證金鑰對硬碟進行安全設置。以此方式安全設置後,每當硬碟關機時,其資料加密金鑰將被鎖定。換句話說,一旦 SED 被關閉或拔掉電源,硬碟的資料將自動鎖定。
當 SED 重新開機時,需要進行身份驗證,然後才能解鎖其加密金鑰並讀取硬碟上的任何資料,從而防止硬碟遺失、內部或外部竊取。
我們的觀點
隨著資料安全變得更加受歡迎,儲存系統需要提供安全的資料,以確保企業能夠放心、遵循法規並處理各種安全使用案例。無論硬碟是否遺失、被竊取還是故障,未經授權的人都無法通過訪問任何敏感資料來危害組織的安全。
資料加密確保在資料寫入硬碟時,所有儲存在數組上的敏感用戶資料都會進行加密,以防止私人資料落入不良分子手中。在 SED 和 ISE 技術的支持下,這是一個簡單且有用的功能,用於保護您的資料。
