Upload
lydiep
View
215
Download
0
Embed Size (px)
Citation preview
WprowadzenieWycofywane z użytku dyski twarde opuszczają centra danych i trafiają do rąk osoacuteb trzecich co oznacza że dane znajdujące się na tych dyskach są narażane na znaczne ryzyko Niemniej jednak działy informatyczne nadal muszą rutynowo usuwać dyski oraz utylizować je z roacuteżnych powodoacutew takich jak
bull zmiana przeznaczenia dyskoacutew (inne zastosowania związane z pamięcią masową)
bull zwrot dyskoacutew zgodnie z umową gwarancyjną w celu dokonania naprawy lub po wygaśnięciu umoacutew dzierżawy
Prawie każdy dysk twardy trafia poza kontrolę właściciela po jego ostatecznym usunięciu z centrum danych w rzeczywistości firma Seagate szacuje że codziennie z centroacutew danych wycofuje się z użytkowania 50 000 dyskoacutew Dane firmowe i osobiste są przechowywane na tego typu dyskach a po ich usunięciu z centrum danych mogą zostać odczytane z większości dyskoacutew Nawet te dane ktoacutere zostały rozmieszczone na wielu dyskach w systemie pamięci konfigurowanym za pomocą ochrony danych w macierzy RAID nie są bezpieczne ponieważ jeden blok danych w obecnych macierzach o dużej pojemności jest wystarczająco duży aby przechowywać setki nazwisk numeroacutew ubezpieczenia społecznego oraz inne osobiste i niezwykle poufne dane
Problemy związane z kontrolą nad dyskami i kosztami likwidacjiAby uniknąć kradzieży danych i konieczności powiadamiania klientoacutew wymaganego zgodnie z przepisami dotyczącymi ochrony danych firmy korzystają z niezliczonej liczby metod wymazywania danych na dyskach wycofywanych z użytku przed przekazaniem ich do odbiorcoacutew zewnętrznych i ewentualnie osoacuteb nieupoważnionych Aktualne procedury wycofywania dysku z użytkowania nastawione na uniemożliwienie odczytu danych zmuszają do zatrudniania wielu pracownikoacutew powodując występowanie zagrożenia związanego z błędami technicznymi i ludzkimi
W aktualnych procedurach wycofania dyskoacutew z użytkowania Istnieje mnoacutestwo wad w aktualnych procedurach wycofania dyskoacutew z użytkowania o dalekosiężnych skutkach
bull Zastępowanie danych na dyskach jest kosztowne i wiąże się z wykorzystaniem cennych zasoboacutew systemowych przez wiele dni Żadne powiadomienie o zakończeniu nie jest generowane przez dysk a nadpisywanie nie zastępuje ponownie alokowanych sektoroacutew przez co dane pozostają narażone na niebezpieczeństwo
bull Rozmagnesowanie lub fizyczne zniszczenie dysku jest kosztowne Trudno jest zapewnić siłę rozmagnesowania optymalną dla danego typu dysku dlatego na dysku mogą nadal pozostać czytelne dane Fizyczne niszczenie dysku jest niebezpieczne dla środowiska a żadna z tych metod nie umożliwia zwrotu dysku na gwarancji lub w związku z wygaśnięciem dzierżawy
Informacje o technologii
Opcje wdrożenia Instant Secure Erase firmy Seagate
bull Niektoacutere firmy uznały że jedyną metodą bezpiecznego wycofania dyskoacutew z użytku jest zachowanie ich pod własną kontrolą tzn bezterminowe przechowywanie w magazynach Ta metoda nie zapewnia jednak pełnej ochrony ponieważ rosnąca liczba dyskoacutew oraz udział człowieka nieuchronnie stwarza ryzyko utraty lub kradzieży części z nich Przeprowadzone przez Ponemon Group Badanie kosztoacutew narażenia danych w 2014 roku wykazało że najczęstszą przyczyną naruszenia danych był sabotaż lub atak przestępczy
bull Inne firmy korzystają z profesjonalnych usług związanych z utylizacją dyskoacutew co stanowi drogie rozwiązanie obejmujące koszty wykonania usług i sporządzenie wewnętrznych protokołoacutew i koszty kontroli Jeszcze bardziej niepokoi fakt że transport napędu do usługodawcy stwarza kolejne ryzyko ponieważ może on zostać utracony lub skradziony Utrata zaledwie jednego dysku może być źroacutedłem strat na poziomie milionoacutew dolaroacutew związanych z naruszeniem przepisoacutew dotyczących ochrony danych
Problemy związane z wydajnością skalowaniem i złożonością doprowadziły jednak działy IT do odrzucania strategii wymagających szyfrowania Ponadto szyfrowanie uważane jest za ryzykowne przez firmy nie znające dobrze procesu zarządzania kluczami ktoacutery decyduje o zdolności firmy do odszyfrowania własnych danych Dyski samoszyfrujące (SED) umożliwiają rozwiązanie wszystkich powyższych problemoacutew zapewniając łatwe i oszczędne szyfrowanie danych i wycofywanie dyskoacutew z użytkowania
Funkcjonalność Seagate Instant Secure Erase [natychmiastowego usuwania danych] umożliwia bezpieczne szybkie i oszczędne wycofanie dysku z użytkowania lub zmianę jego przeznaczeniaDyski SED szyfrują wszystkie dane użytkownika w momencie wprowadzenia ich na dysk za pomocą klucza szyfrowania danych przechowywanego bezpiecznie w napędzie W związku z tym wszystkie dane zapisane na dysku SED są szyfrowane domyślnie W przypadku konieczności wycofania z użytku lub zmiany przeznaczenia dysku właściciel wysyła do dysku polecenie w celu realizacji funkcji natychmiastowego usuwania danych (Seagate Instant Secure Erase - ISE) Funkcjonalność Seagate ISE oparta jest o kryptograficzne wymazywanie SED w celu zmiany klucza szyfrowania danych Metody kryptograficznego kasowania danych takie jak Seagate ISE są obecnie uznane przez ISO (International Organization for Standardization) i NIST (National Institute of Standards and Technology) jako preferowana metoda czyszczenia danych ponieważ bdquomożna to realizować z zachowaniem wysokiej niezawodności znacznie szybciej w poroacutewnaniu z innymi technikami czyszczenia danychrdquo1 Funkcja kryptograficznego kasowania bezpiecznie zastępuje klucz szyfrowania na dysku SED tak jak pokazano na rysunku 1
Opcje wdrożenia funkcjonalności Instant Secure Erase firmy Seagate
Rysunek 1 Proces wdrożenia funkcji Seagate Instant Secure Erase
W przypadku zmiany klucza pierwotnie użytego do zaszyfrowania danych wszelkie dane zaszyfrowane tym kluczem stają się nieczytelne a ich odzyskanie w przyszłości będzie niemożliwe W ten sposoacuteb funkcjonalność Seagate ISE natychmiast bezpiecznie i skutecznie niszczy dane zapisane na urządzeniu umożliwiając wycofanie dysku z użytkowania bądź jego ponowne wykorzystanie lub odsprzedaż Niezależnie od zastosowanych metod wdrożenia dyski SED zmniejszają koszty operacyjne działu informatycznego uwalniając go od problemoacutew związanych z kontrolowaniem napędoacutew i kosztami utylizacji Opracowana przez Seagate technologia zabezpieczenia danych na poziomie wymaganym przez agencje rządowe zapewnia zachowanie zgodności z prawem bez ograniczania efektywności działań personelu IT
Ponadto dyski SED upraszczają wycofywanie sprzętu z eksploatacji i chronią jego wartość w przypadku zwrotoacutew i wykorzystania do innych celoacutew przez takie działania jak
bull eliminacja konieczności zastępowania danych lub niszczenia dysku
bull ochrona dyskoacutew zwracanych w związku z umową gwarancyjną lub wygaśnięciem dzierżawy
bull umożliwianie zmiany przeznaczenia napędoacutew lub ich sprzedaż z zachowaniem pewności że dane nie są zagrożone
Zapisywanie na dyskuProces szyfrowania
Zmiana klucza szyfrowania danych(Funkcja Seagate Instant Secure Erase)
Odczytywanie z dyskuProces odszyfrowywania
Dane na dyskuKlucz szyfrowaniadanych
Nowy kluczszyfrowania danych
Daneużytkownika
Dane na dyskuDane odczytanez dysku
Zwinny brązowy lis przeskakuje ponad leniwym psem
1 ISOIEC 27040 (technologia informatyczna ndash techniki zabezpieczeń ndash zabezpieczenie pamięci) NIST 800-88 (Wytyczne dotyczące czyszczenia nośnika)
Opcje wdrożenia funkcjonalności Instant Secure Erase firmy Seagate
Roacuteżne rozwiązania firmy Seagate dla roacuteżnych potrzeb w zakresie bezpieczeństwabull Dostępne są dwa rodzaje dyskoacutew Seagate Secure
Klienci mogą wybrać standardowe dyski SED lub modele z certyfikatem Federal Information Processing Standard (FIPS 140-2) dla zapewnienia dodatkowego bezpieczeństwa Oba są wyposażone w funkcję Seagate Instant Secure Erase ktoacutera umożliwia klientom szybko i bezpiecznie usuwać zawartość napędoacutew w ciągu kilku sekund co jest cenną funkcją ktoacutera jest niedostępna w dyskach nieszyfrujących
Rysunek 2 Rozwiązania Seagate Securetrade dla każdego poziomu wdrożenia bezpieczeństwa
Jak dyski samoszyfrujące Seagate realizują funkcjonalność Instant Secure EraseDyski SED firmy Seagate wykorzystują jedną lub więcej metod realizacji funkcjonalności Seagate ISE w zależności od zestawu poleceń interfejsu i konfiguracji napędu Najbezpieczniejszym sposobem jest użycie opcji kryptograficznego kasowania dostępnej poprzez protokoacuteł zabezpieczeń Trusted Computing Group (TCG) napędu SED Oproacutecz najwyższego poziomu bezpieczeństwa ta metoda jest szybka i łatwa Klienci mogą roacutewnież kasować dyski przy użyciu starszych metod nadpisywania danych lecz takie metody w dużej mierze są uznawane za mniej bezpieczne i mogą być bardzo czasochłonne W tabeli 1 wymieniono te i inne metody usuwania danych W każdych okolicznościach kontroler hosta musi implementować obsługę funkcjonalności Seagate ISE poprzez obsługiwane polecenie
1 Napędy skonfigurowane z funkcją ochrony danych w stanie spoczynku posiadające lub nieposiadające ochrony w postaci zamknięcia wskazującego na proacutebę otwarcia zgodnego z FIPS 140-2 są włączane za pomocą protokołoacutew bezpieczeństwa TCG
Dysk SED zarządzany protokołem specyfikacji TCG Storage obsługuje kryptograficzne kasowanie na poziomie pasma Oproacutecz ochrony danych użytkownika podczas użytkowania dysku funkcjonalność Seagate ISE na poziomie pasma pozwala wymazywać część lub wszystkie dane przechowywane na urządzeniu bez wpływu na inne pasma danych na dysku Ta metoda elektronicznego kasowania danych wymaga dostępności oprogramowania firm zewnętrznych od roacuteżnych partneroacutew Seagate
Dysk SED zarządzany protokołem specyfikacji TCG Storage można roacutewnież kasować w całości poprzez wywołanie polecenia RevertSP protokołu Tego rodzaju bezpieczne usuwanie danych wymaga posiadania urządzenia do odczytywania 32-znakowego identyfikatora PSID (Physical Secure ID) wydrukowanego na etykiecie i bezpiecznie wymazującego dysk przywracając go do oryginalnego stanu fabrycznego
2 Napędy nieskonfigurowane z pełną ochroną danych w stanie spoczynku można włączać za pomocą poleceń ATA Security
Dysk SED firmy Seagate realizujący zestaw poleceń ATA zostaje wymazany poprzez wywołanie poleceń ATA Security Erase Prepare i Security Erase Unit Należy pamiętać że jest to unikalne wdrożenie funkcjonalności Seagate ISE firmy Seagate
CERTYFIKAT FIPS 140-2
BEZPIECZEŃSTWOZGODNE
ZE STANDARDEM TCGPełne wdrożenie dzięki systemowi
zarządzania kluczami
FUNKCJA SEAGATE INSTANTSECURE ERASE
Funkcje szybkiego i prostego kryptograficznego kasowania danych i czyszczenia dysku
FUNDAMENT BEZPIECZEŃSTWA
POTRZEBY KLIENTA
ROZWIĄZANIASEAGATE SECUREtrade
Zabezpieczenia na poziomie wymaganym w agencjach rządowych
Ochrona danych w stanie spoczynku
Łatwa utylizacja i zmiana przeznaczenia
Dyski samoszyfrującez certyfikatem FIPS Seagate
Dyski samoszyfrujące
Seagate
Opcje wdrożenia funkcjonalności Instant Secure Erase firmy Seagate
Tabela 1 opisuje roacuteżne metody usuwania danych z dysku SED Patrz uwagi w poniższej tabeli
Tabela 1 Opcje funkcjonalności Seagate Instant Secure Erase
Wstępna konfiguracja Ochrona danych w stanie spoczynku z ochroną lub bez ochrony w postaci zamknięcia wskazującego na proacutebę otwarcia Włączone ograniczone zabezpieczenie Brak włączonego zabezpieczenia
Metoda wymazywania Protokoacuteł zabezpieczeń TCG Wymazywanie
Protokoacuteł zabezpieczeń TCG RevertSP
ATA Security Polecenia Security Erase Prepare i Security Erase Unit
Sanitize Zestaw funkcjipolecenie Sanitize
Obsługiwana konfiguracja
Dyski SED firmy Seagate z pamięcią masową zgodną ze specyfikacją TCG
Dyski SED firmy Seagate z pamięcią masową zgodną ze specyfikacją TCG
Dyski SED firmy Seagate z interfejsem SATA
Obsługiwane dyski SED firmy Seagate z interfejsami SATA i SAS
Zakres wymazywania Wymazywanie kryptograficzne na poziomie pasma
Cały dysk zostaje kryptograficznie wymazany
Cały dysk zostaje kryptograficznie wymazany
Cały dysk zostaje kryptograficznie wymazany
Efekt uboczny Odblokowuje pasmo i resetuje hasło pasma Dysk SED powraca do stanu fabrycznego Odblokowuje dysk i wyłącza funkcję trybu
ATA Security
Brak początkowego bezpieczeństwa zapobiegającego przypadkowemu wymazaniu
Kontrola dostępuWymagane jest uwierzytelnianie za pomocą hasła zarządzanego przez hosta lub domyślnego
Wymagane jest uwierzytelnianie za pomocą wydrukowanego hasła (w postaci kodu kreskowego) na etykiecie napędu
Wymagane jest uwierzytelnianie za pomocą hasła zarządzanego przez hosta
Nieuwierzytelnione przez konstrukcję (jeśli dysk jest zablokowany użytkownik musi odblokować dysk przed wykonaniem operacji)
Zalety
Ochrona danych w stanie spoczynku
Walidacja zgodna ze standardem FIPS 140-2 Level 2
W pełni funkcjonalny interfejs zarządzania bezpieczeństwem oparty o specyfikację pamięci masowej zgodnej ze specyfikacją TCG
Ochrona danych w stanie spoczynku
Walidacja zgodna ze standardem FIPS 140-2 Level 2
W pełni funkcjonalny interfejs zarządzania bezpieczeństwem oparty o specyfikację pamięci masowej zgodnej ze specyfikacją TCG
Zabezpieczenie na poziomie napędu
Zabezpieczenie wykorzystuje standardowe polecenia ATA Security
Zapewnia bezpieczne wymazywanie bez obciążenia związanego zarządzaniem (tj zarządzanie hasłem nie jest wymagane)
Uwagi Wymaga sprzętu lub oprogramowania zgodnego ze specyfikacją TCG
Wymaga fizycznego posiadanie dysku SED do odczytania kodu zabezpieczającego dysk
Wykorzystuje standardowe polecenia ATA Security
Możliwość błędnego lub umyślnego wymazania danych ze względu na polecenie o niezabezpieczonym charakterze
Uwagi1 W większości sytuacji metoda bezpiecznego wymazywania dysku w wyższych konfiguracjach zabezpieczeń będzie działać roacutewnież
w przypadku stosowania jej przy niższych ustawieniach bezpieczeństwa na przykład protokoacuteł RevertSP będzie działać na dysku skonfigurowanym w trybie ATA przy założeniu że napęd obsługuje roacutewnież zestaw poleceń TCG (obsługa zabezpieczeń może roacuteżnić się w zależności od modelu dysku)
2 Termin ochrona danych w stanie spoczynku odnosi się do zdolności zapewnienia przez dysk samoszyfrujący (SED) bardzo silnej ochrony przed ujawnieniem danych na dysku ktoacutery został skonfigurowany tak aby zablokować interfejs danych przed nieautoryzowanym dostępem w funkcjonującym otoczeniu komputerowym
3 Publikacja Federal Information Processing Standard (FIPS) 140-2 to ustanowiony przez rząd amerykański standard bezpieczeństwa komputerowego stosowany do akredytacji modułoacutew kryptograficznych Nosi tytuł Security Requirements for Cryptographic Modules (FIPS PUB 140-2) (Wymogi bezpieczeństwa dla modułoacutew kryptograficznych) i jest publikowany przez Narodowy Instytut Standardoacutew i Technologii (NIST) Ten standard określa wymogi bezpieczeństwa ktoacutere zostaną spełnione przez moduł kryptograficzny stosowany w ramach systemu bezpieczeństwa chroniącego dane klasy Sensitive but Unclassified oraz Protected (wrażliwe nieutajnione oraz chronione) Dyski Seagate FIPS posiadają certyfikat poziomu 2 (wskazanie proacuteby manipulacji przy napędzie) więcej informacji dostępnych jest pod adresem httpwwwseagatecomfileswww-contentsolutions-contentsecurity-and-encryptionen-usdocsfaq-fips-sed-mb605-3-1411uspdf
Opcje wdrożenia Instant Secure Erase firmy Seagate
seagatecom
AMERYKA PŁN I PŁD Seagate Technology LLC 10200 South De Anza Boulevard Cupertino California 95014 USA +1 408 658 1000 AZJAPACYFIK Seagate Singapore International Headquarters Pte Ltd 7000 Ang Mo Kio Avenue 5 Singapur 569877 +65 6485 3888 EUROPA BLISKI WSCHOacuteD I AFRYKA Seagate Technology SAS 16-18 rue du Docircme 92100 Boulogne-Billancourt Francja +33 1 41 86 10 00
copy 2015 Wszelkie prawa zastrzeżone Wydrukowano w USA Seagate Seagate Technology i logo Spiral są zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC w Stanach Zjednoczonych ilub innych krajach Seagate Secure i logo Seagate Secure są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC lub jednej z jej firm zależnych w Stanach Zjednoczonych ilub innych krajach Logo FIPS stanowi znak zgodności z normą instytutu NIST co nie oznacza że produkt jest zalecany przez instytut NIST oraz rządy Stanoacutew Zjednoczonych i Kanady Wszystkie pozostałe znaki towarowe i zastrzeżone znaki towarowe należą do odpowiednich właścicieli Eksport i reeksport sprzętu lub oprogramowania Seagate jest regulowany przez Biuro Przemysłu i Bezpieczeństwa Departamentu Handlu Stanoacutew Zjednoczonych (więcej informacji znajduje się w witrynie wwwbisdocgov) i może podlegać kontroli eksportu importu i zastosowania w innych krajach Firma Seagate zastrzega sobie prawo do wprowadzania zmian w ofercie produktoacutew lub w ich parametrach bez powiadomienia TP6272-1502PL luty 2015
Jak przeprowadzić procedurę Instant Secure Erase na dysku SED firmy SeagateW zależności od rodzaju dysku SED i opcji wybranej w celu bezpiecznego wymazania urządzenia dane rzeczywiście można usunąć na roacuteżne sposoby Dostępne są następujące rozwiązania
bull Oprogramowanie Seagate SeaToolstrade dla systemu operacyjnego Windows darmowe narzędzie dla komputeroacutew PC służące do diagnozowania zaroacutewno wewnętrznie jak i zewnętrznie podłączonych urządzeń pamięci masowej Oprogramowanie SeaTools obsługuje funkcjonalność Seagate ISE Oprogramowanie SeaTools znajduje się pod adresem wwwseagatecom w zakładce Support and Downloads (Wsparcie i Pobieranie) pod SeaTools ndash Diagnosis Software
bull Aplikacje do zarządzania kluczami firm zewnętrznych od partneroacutew Seagate takich jak IBM (Tivoli Key Lifecycle Manager) Wave Winmagic itp
bull Niestandardowewbudowane rozwiązanie do integracji możliwości Seagate ISE w systemach i aplikacjach hosta Aby uzyskać dodatkowe informacje skontaktuj się z przedstawicielem handlowym firmy Seagate
bull Użytkownicy systemu Linux mogą korzystać z programu HDPARM (narzędzie wiersza polecenia dla systemu operacyjnego Linux) jeśli chcą wydawać własne polecenia SATA
BibliografiaSpecyfikacje TCG Storage ndash wwwtrustedcomputinggrouporgdevelopersstoragespecifications
Specyfikacje ATA ndash wwwt13org
Specyfikacje SCSI ndash wwwt10org
Oprogramowanie Seagate SeaTools ndash wwwseagatecomwwwen-ussupportdownloadsseatools
bull Niektoacutere firmy uznały że jedyną metodą bezpiecznego wycofania dyskoacutew z użytku jest zachowanie ich pod własną kontrolą tzn bezterminowe przechowywanie w magazynach Ta metoda nie zapewnia jednak pełnej ochrony ponieważ rosnąca liczba dyskoacutew oraz udział człowieka nieuchronnie stwarza ryzyko utraty lub kradzieży części z nich Przeprowadzone przez Ponemon Group Badanie kosztoacutew narażenia danych w 2014 roku wykazało że najczęstszą przyczyną naruszenia danych był sabotaż lub atak przestępczy
bull Inne firmy korzystają z profesjonalnych usług związanych z utylizacją dyskoacutew co stanowi drogie rozwiązanie obejmujące koszty wykonania usług i sporządzenie wewnętrznych protokołoacutew i koszty kontroli Jeszcze bardziej niepokoi fakt że transport napędu do usługodawcy stwarza kolejne ryzyko ponieważ może on zostać utracony lub skradziony Utrata zaledwie jednego dysku może być źroacutedłem strat na poziomie milionoacutew dolaroacutew związanych z naruszeniem przepisoacutew dotyczących ochrony danych
Problemy związane z wydajnością skalowaniem i złożonością doprowadziły jednak działy IT do odrzucania strategii wymagających szyfrowania Ponadto szyfrowanie uważane jest za ryzykowne przez firmy nie znające dobrze procesu zarządzania kluczami ktoacutery decyduje o zdolności firmy do odszyfrowania własnych danych Dyski samoszyfrujące (SED) umożliwiają rozwiązanie wszystkich powyższych problemoacutew zapewniając łatwe i oszczędne szyfrowanie danych i wycofywanie dyskoacutew z użytkowania
Funkcjonalność Seagate Instant Secure Erase [natychmiastowego usuwania danych] umożliwia bezpieczne szybkie i oszczędne wycofanie dysku z użytkowania lub zmianę jego przeznaczeniaDyski SED szyfrują wszystkie dane użytkownika w momencie wprowadzenia ich na dysk za pomocą klucza szyfrowania danych przechowywanego bezpiecznie w napędzie W związku z tym wszystkie dane zapisane na dysku SED są szyfrowane domyślnie W przypadku konieczności wycofania z użytku lub zmiany przeznaczenia dysku właściciel wysyła do dysku polecenie w celu realizacji funkcji natychmiastowego usuwania danych (Seagate Instant Secure Erase - ISE) Funkcjonalność Seagate ISE oparta jest o kryptograficzne wymazywanie SED w celu zmiany klucza szyfrowania danych Metody kryptograficznego kasowania danych takie jak Seagate ISE są obecnie uznane przez ISO (International Organization for Standardization) i NIST (National Institute of Standards and Technology) jako preferowana metoda czyszczenia danych ponieważ bdquomożna to realizować z zachowaniem wysokiej niezawodności znacznie szybciej w poroacutewnaniu z innymi technikami czyszczenia danychrdquo1 Funkcja kryptograficznego kasowania bezpiecznie zastępuje klucz szyfrowania na dysku SED tak jak pokazano na rysunku 1
Opcje wdrożenia funkcjonalności Instant Secure Erase firmy Seagate
Rysunek 1 Proces wdrożenia funkcji Seagate Instant Secure Erase
W przypadku zmiany klucza pierwotnie użytego do zaszyfrowania danych wszelkie dane zaszyfrowane tym kluczem stają się nieczytelne a ich odzyskanie w przyszłości będzie niemożliwe W ten sposoacuteb funkcjonalność Seagate ISE natychmiast bezpiecznie i skutecznie niszczy dane zapisane na urządzeniu umożliwiając wycofanie dysku z użytkowania bądź jego ponowne wykorzystanie lub odsprzedaż Niezależnie od zastosowanych metod wdrożenia dyski SED zmniejszają koszty operacyjne działu informatycznego uwalniając go od problemoacutew związanych z kontrolowaniem napędoacutew i kosztami utylizacji Opracowana przez Seagate technologia zabezpieczenia danych na poziomie wymaganym przez agencje rządowe zapewnia zachowanie zgodności z prawem bez ograniczania efektywności działań personelu IT
Ponadto dyski SED upraszczają wycofywanie sprzętu z eksploatacji i chronią jego wartość w przypadku zwrotoacutew i wykorzystania do innych celoacutew przez takie działania jak
bull eliminacja konieczności zastępowania danych lub niszczenia dysku
bull ochrona dyskoacutew zwracanych w związku z umową gwarancyjną lub wygaśnięciem dzierżawy
bull umożliwianie zmiany przeznaczenia napędoacutew lub ich sprzedaż z zachowaniem pewności że dane nie są zagrożone
Zapisywanie na dyskuProces szyfrowania
Zmiana klucza szyfrowania danych(Funkcja Seagate Instant Secure Erase)
Odczytywanie z dyskuProces odszyfrowywania
Dane na dyskuKlucz szyfrowaniadanych
Nowy kluczszyfrowania danych
Daneużytkownika
Dane na dyskuDane odczytanez dysku
Zwinny brązowy lis przeskakuje ponad leniwym psem
1 ISOIEC 27040 (technologia informatyczna ndash techniki zabezpieczeń ndash zabezpieczenie pamięci) NIST 800-88 (Wytyczne dotyczące czyszczenia nośnika)
Opcje wdrożenia funkcjonalności Instant Secure Erase firmy Seagate
Roacuteżne rozwiązania firmy Seagate dla roacuteżnych potrzeb w zakresie bezpieczeństwabull Dostępne są dwa rodzaje dyskoacutew Seagate Secure
Klienci mogą wybrać standardowe dyski SED lub modele z certyfikatem Federal Information Processing Standard (FIPS 140-2) dla zapewnienia dodatkowego bezpieczeństwa Oba są wyposażone w funkcję Seagate Instant Secure Erase ktoacutera umożliwia klientom szybko i bezpiecznie usuwać zawartość napędoacutew w ciągu kilku sekund co jest cenną funkcją ktoacutera jest niedostępna w dyskach nieszyfrujących
Rysunek 2 Rozwiązania Seagate Securetrade dla każdego poziomu wdrożenia bezpieczeństwa
Jak dyski samoszyfrujące Seagate realizują funkcjonalność Instant Secure EraseDyski SED firmy Seagate wykorzystują jedną lub więcej metod realizacji funkcjonalności Seagate ISE w zależności od zestawu poleceń interfejsu i konfiguracji napędu Najbezpieczniejszym sposobem jest użycie opcji kryptograficznego kasowania dostępnej poprzez protokoacuteł zabezpieczeń Trusted Computing Group (TCG) napędu SED Oproacutecz najwyższego poziomu bezpieczeństwa ta metoda jest szybka i łatwa Klienci mogą roacutewnież kasować dyski przy użyciu starszych metod nadpisywania danych lecz takie metody w dużej mierze są uznawane za mniej bezpieczne i mogą być bardzo czasochłonne W tabeli 1 wymieniono te i inne metody usuwania danych W każdych okolicznościach kontroler hosta musi implementować obsługę funkcjonalności Seagate ISE poprzez obsługiwane polecenie
1 Napędy skonfigurowane z funkcją ochrony danych w stanie spoczynku posiadające lub nieposiadające ochrony w postaci zamknięcia wskazującego na proacutebę otwarcia zgodnego z FIPS 140-2 są włączane za pomocą protokołoacutew bezpieczeństwa TCG
Dysk SED zarządzany protokołem specyfikacji TCG Storage obsługuje kryptograficzne kasowanie na poziomie pasma Oproacutecz ochrony danych użytkownika podczas użytkowania dysku funkcjonalność Seagate ISE na poziomie pasma pozwala wymazywać część lub wszystkie dane przechowywane na urządzeniu bez wpływu na inne pasma danych na dysku Ta metoda elektronicznego kasowania danych wymaga dostępności oprogramowania firm zewnętrznych od roacuteżnych partneroacutew Seagate
Dysk SED zarządzany protokołem specyfikacji TCG Storage można roacutewnież kasować w całości poprzez wywołanie polecenia RevertSP protokołu Tego rodzaju bezpieczne usuwanie danych wymaga posiadania urządzenia do odczytywania 32-znakowego identyfikatora PSID (Physical Secure ID) wydrukowanego na etykiecie i bezpiecznie wymazującego dysk przywracając go do oryginalnego stanu fabrycznego
2 Napędy nieskonfigurowane z pełną ochroną danych w stanie spoczynku można włączać za pomocą poleceń ATA Security
Dysk SED firmy Seagate realizujący zestaw poleceń ATA zostaje wymazany poprzez wywołanie poleceń ATA Security Erase Prepare i Security Erase Unit Należy pamiętać że jest to unikalne wdrożenie funkcjonalności Seagate ISE firmy Seagate
CERTYFIKAT FIPS 140-2
BEZPIECZEŃSTWOZGODNE
ZE STANDARDEM TCGPełne wdrożenie dzięki systemowi
zarządzania kluczami
FUNKCJA SEAGATE INSTANTSECURE ERASE
Funkcje szybkiego i prostego kryptograficznego kasowania danych i czyszczenia dysku
FUNDAMENT BEZPIECZEŃSTWA
POTRZEBY KLIENTA
ROZWIĄZANIASEAGATE SECUREtrade
Zabezpieczenia na poziomie wymaganym w agencjach rządowych
Ochrona danych w stanie spoczynku
Łatwa utylizacja i zmiana przeznaczenia
Dyski samoszyfrującez certyfikatem FIPS Seagate
Dyski samoszyfrujące
Seagate
Opcje wdrożenia funkcjonalności Instant Secure Erase firmy Seagate
Tabela 1 opisuje roacuteżne metody usuwania danych z dysku SED Patrz uwagi w poniższej tabeli
Tabela 1 Opcje funkcjonalności Seagate Instant Secure Erase
Wstępna konfiguracja Ochrona danych w stanie spoczynku z ochroną lub bez ochrony w postaci zamknięcia wskazującego na proacutebę otwarcia Włączone ograniczone zabezpieczenie Brak włączonego zabezpieczenia
Metoda wymazywania Protokoacuteł zabezpieczeń TCG Wymazywanie
Protokoacuteł zabezpieczeń TCG RevertSP
ATA Security Polecenia Security Erase Prepare i Security Erase Unit
Sanitize Zestaw funkcjipolecenie Sanitize
Obsługiwana konfiguracja
Dyski SED firmy Seagate z pamięcią masową zgodną ze specyfikacją TCG
Dyski SED firmy Seagate z pamięcią masową zgodną ze specyfikacją TCG
Dyski SED firmy Seagate z interfejsem SATA
Obsługiwane dyski SED firmy Seagate z interfejsami SATA i SAS
Zakres wymazywania Wymazywanie kryptograficzne na poziomie pasma
Cały dysk zostaje kryptograficznie wymazany
Cały dysk zostaje kryptograficznie wymazany
Cały dysk zostaje kryptograficznie wymazany
Efekt uboczny Odblokowuje pasmo i resetuje hasło pasma Dysk SED powraca do stanu fabrycznego Odblokowuje dysk i wyłącza funkcję trybu
ATA Security
Brak początkowego bezpieczeństwa zapobiegającego przypadkowemu wymazaniu
Kontrola dostępuWymagane jest uwierzytelnianie za pomocą hasła zarządzanego przez hosta lub domyślnego
Wymagane jest uwierzytelnianie za pomocą wydrukowanego hasła (w postaci kodu kreskowego) na etykiecie napędu
Wymagane jest uwierzytelnianie za pomocą hasła zarządzanego przez hosta
Nieuwierzytelnione przez konstrukcję (jeśli dysk jest zablokowany użytkownik musi odblokować dysk przed wykonaniem operacji)
Zalety
Ochrona danych w stanie spoczynku
Walidacja zgodna ze standardem FIPS 140-2 Level 2
W pełni funkcjonalny interfejs zarządzania bezpieczeństwem oparty o specyfikację pamięci masowej zgodnej ze specyfikacją TCG
Ochrona danych w stanie spoczynku
Walidacja zgodna ze standardem FIPS 140-2 Level 2
W pełni funkcjonalny interfejs zarządzania bezpieczeństwem oparty o specyfikację pamięci masowej zgodnej ze specyfikacją TCG
Zabezpieczenie na poziomie napędu
Zabezpieczenie wykorzystuje standardowe polecenia ATA Security
Zapewnia bezpieczne wymazywanie bez obciążenia związanego zarządzaniem (tj zarządzanie hasłem nie jest wymagane)
Uwagi Wymaga sprzętu lub oprogramowania zgodnego ze specyfikacją TCG
Wymaga fizycznego posiadanie dysku SED do odczytania kodu zabezpieczającego dysk
Wykorzystuje standardowe polecenia ATA Security
Możliwość błędnego lub umyślnego wymazania danych ze względu na polecenie o niezabezpieczonym charakterze
Uwagi1 W większości sytuacji metoda bezpiecznego wymazywania dysku w wyższych konfiguracjach zabezpieczeń będzie działać roacutewnież
w przypadku stosowania jej przy niższych ustawieniach bezpieczeństwa na przykład protokoacuteł RevertSP będzie działać na dysku skonfigurowanym w trybie ATA przy założeniu że napęd obsługuje roacutewnież zestaw poleceń TCG (obsługa zabezpieczeń może roacuteżnić się w zależności od modelu dysku)
2 Termin ochrona danych w stanie spoczynku odnosi się do zdolności zapewnienia przez dysk samoszyfrujący (SED) bardzo silnej ochrony przed ujawnieniem danych na dysku ktoacutery został skonfigurowany tak aby zablokować interfejs danych przed nieautoryzowanym dostępem w funkcjonującym otoczeniu komputerowym
3 Publikacja Federal Information Processing Standard (FIPS) 140-2 to ustanowiony przez rząd amerykański standard bezpieczeństwa komputerowego stosowany do akredytacji modułoacutew kryptograficznych Nosi tytuł Security Requirements for Cryptographic Modules (FIPS PUB 140-2) (Wymogi bezpieczeństwa dla modułoacutew kryptograficznych) i jest publikowany przez Narodowy Instytut Standardoacutew i Technologii (NIST) Ten standard określa wymogi bezpieczeństwa ktoacutere zostaną spełnione przez moduł kryptograficzny stosowany w ramach systemu bezpieczeństwa chroniącego dane klasy Sensitive but Unclassified oraz Protected (wrażliwe nieutajnione oraz chronione) Dyski Seagate FIPS posiadają certyfikat poziomu 2 (wskazanie proacuteby manipulacji przy napędzie) więcej informacji dostępnych jest pod adresem httpwwwseagatecomfileswww-contentsolutions-contentsecurity-and-encryptionen-usdocsfaq-fips-sed-mb605-3-1411uspdf
Opcje wdrożenia Instant Secure Erase firmy Seagate
seagatecom
AMERYKA PŁN I PŁD Seagate Technology LLC 10200 South De Anza Boulevard Cupertino California 95014 USA +1 408 658 1000 AZJAPACYFIK Seagate Singapore International Headquarters Pte Ltd 7000 Ang Mo Kio Avenue 5 Singapur 569877 +65 6485 3888 EUROPA BLISKI WSCHOacuteD I AFRYKA Seagate Technology SAS 16-18 rue du Docircme 92100 Boulogne-Billancourt Francja +33 1 41 86 10 00
copy 2015 Wszelkie prawa zastrzeżone Wydrukowano w USA Seagate Seagate Technology i logo Spiral są zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC w Stanach Zjednoczonych ilub innych krajach Seagate Secure i logo Seagate Secure są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC lub jednej z jej firm zależnych w Stanach Zjednoczonych ilub innych krajach Logo FIPS stanowi znak zgodności z normą instytutu NIST co nie oznacza że produkt jest zalecany przez instytut NIST oraz rządy Stanoacutew Zjednoczonych i Kanady Wszystkie pozostałe znaki towarowe i zastrzeżone znaki towarowe należą do odpowiednich właścicieli Eksport i reeksport sprzętu lub oprogramowania Seagate jest regulowany przez Biuro Przemysłu i Bezpieczeństwa Departamentu Handlu Stanoacutew Zjednoczonych (więcej informacji znajduje się w witrynie wwwbisdocgov) i może podlegać kontroli eksportu importu i zastosowania w innych krajach Firma Seagate zastrzega sobie prawo do wprowadzania zmian w ofercie produktoacutew lub w ich parametrach bez powiadomienia TP6272-1502PL luty 2015
Jak przeprowadzić procedurę Instant Secure Erase na dysku SED firmy SeagateW zależności od rodzaju dysku SED i opcji wybranej w celu bezpiecznego wymazania urządzenia dane rzeczywiście można usunąć na roacuteżne sposoby Dostępne są następujące rozwiązania
bull Oprogramowanie Seagate SeaToolstrade dla systemu operacyjnego Windows darmowe narzędzie dla komputeroacutew PC służące do diagnozowania zaroacutewno wewnętrznie jak i zewnętrznie podłączonych urządzeń pamięci masowej Oprogramowanie SeaTools obsługuje funkcjonalność Seagate ISE Oprogramowanie SeaTools znajduje się pod adresem wwwseagatecom w zakładce Support and Downloads (Wsparcie i Pobieranie) pod SeaTools ndash Diagnosis Software
bull Aplikacje do zarządzania kluczami firm zewnętrznych od partneroacutew Seagate takich jak IBM (Tivoli Key Lifecycle Manager) Wave Winmagic itp
bull Niestandardowewbudowane rozwiązanie do integracji możliwości Seagate ISE w systemach i aplikacjach hosta Aby uzyskać dodatkowe informacje skontaktuj się z przedstawicielem handlowym firmy Seagate
bull Użytkownicy systemu Linux mogą korzystać z programu HDPARM (narzędzie wiersza polecenia dla systemu operacyjnego Linux) jeśli chcą wydawać własne polecenia SATA
BibliografiaSpecyfikacje TCG Storage ndash wwwtrustedcomputinggrouporgdevelopersstoragespecifications
Specyfikacje ATA ndash wwwt13org
Specyfikacje SCSI ndash wwwt10org
Oprogramowanie Seagate SeaTools ndash wwwseagatecomwwwen-ussupportdownloadsseatools
Opcje wdrożenia funkcjonalności Instant Secure Erase firmy Seagate
Roacuteżne rozwiązania firmy Seagate dla roacuteżnych potrzeb w zakresie bezpieczeństwabull Dostępne są dwa rodzaje dyskoacutew Seagate Secure
Klienci mogą wybrać standardowe dyski SED lub modele z certyfikatem Federal Information Processing Standard (FIPS 140-2) dla zapewnienia dodatkowego bezpieczeństwa Oba są wyposażone w funkcję Seagate Instant Secure Erase ktoacutera umożliwia klientom szybko i bezpiecznie usuwać zawartość napędoacutew w ciągu kilku sekund co jest cenną funkcją ktoacutera jest niedostępna w dyskach nieszyfrujących
Rysunek 2 Rozwiązania Seagate Securetrade dla każdego poziomu wdrożenia bezpieczeństwa
Jak dyski samoszyfrujące Seagate realizują funkcjonalność Instant Secure EraseDyski SED firmy Seagate wykorzystują jedną lub więcej metod realizacji funkcjonalności Seagate ISE w zależności od zestawu poleceń interfejsu i konfiguracji napędu Najbezpieczniejszym sposobem jest użycie opcji kryptograficznego kasowania dostępnej poprzez protokoacuteł zabezpieczeń Trusted Computing Group (TCG) napędu SED Oproacutecz najwyższego poziomu bezpieczeństwa ta metoda jest szybka i łatwa Klienci mogą roacutewnież kasować dyski przy użyciu starszych metod nadpisywania danych lecz takie metody w dużej mierze są uznawane za mniej bezpieczne i mogą być bardzo czasochłonne W tabeli 1 wymieniono te i inne metody usuwania danych W każdych okolicznościach kontroler hosta musi implementować obsługę funkcjonalności Seagate ISE poprzez obsługiwane polecenie
1 Napędy skonfigurowane z funkcją ochrony danych w stanie spoczynku posiadające lub nieposiadające ochrony w postaci zamknięcia wskazującego na proacutebę otwarcia zgodnego z FIPS 140-2 są włączane za pomocą protokołoacutew bezpieczeństwa TCG
Dysk SED zarządzany protokołem specyfikacji TCG Storage obsługuje kryptograficzne kasowanie na poziomie pasma Oproacutecz ochrony danych użytkownika podczas użytkowania dysku funkcjonalność Seagate ISE na poziomie pasma pozwala wymazywać część lub wszystkie dane przechowywane na urządzeniu bez wpływu na inne pasma danych na dysku Ta metoda elektronicznego kasowania danych wymaga dostępności oprogramowania firm zewnętrznych od roacuteżnych partneroacutew Seagate
Dysk SED zarządzany protokołem specyfikacji TCG Storage można roacutewnież kasować w całości poprzez wywołanie polecenia RevertSP protokołu Tego rodzaju bezpieczne usuwanie danych wymaga posiadania urządzenia do odczytywania 32-znakowego identyfikatora PSID (Physical Secure ID) wydrukowanego na etykiecie i bezpiecznie wymazującego dysk przywracając go do oryginalnego stanu fabrycznego
2 Napędy nieskonfigurowane z pełną ochroną danych w stanie spoczynku można włączać za pomocą poleceń ATA Security
Dysk SED firmy Seagate realizujący zestaw poleceń ATA zostaje wymazany poprzez wywołanie poleceń ATA Security Erase Prepare i Security Erase Unit Należy pamiętać że jest to unikalne wdrożenie funkcjonalności Seagate ISE firmy Seagate
CERTYFIKAT FIPS 140-2
BEZPIECZEŃSTWOZGODNE
ZE STANDARDEM TCGPełne wdrożenie dzięki systemowi
zarządzania kluczami
FUNKCJA SEAGATE INSTANTSECURE ERASE
Funkcje szybkiego i prostego kryptograficznego kasowania danych i czyszczenia dysku
FUNDAMENT BEZPIECZEŃSTWA
POTRZEBY KLIENTA
ROZWIĄZANIASEAGATE SECUREtrade
Zabezpieczenia na poziomie wymaganym w agencjach rządowych
Ochrona danych w stanie spoczynku
Łatwa utylizacja i zmiana przeznaczenia
Dyski samoszyfrującez certyfikatem FIPS Seagate
Dyski samoszyfrujące
Seagate
Opcje wdrożenia funkcjonalności Instant Secure Erase firmy Seagate
Tabela 1 opisuje roacuteżne metody usuwania danych z dysku SED Patrz uwagi w poniższej tabeli
Tabela 1 Opcje funkcjonalności Seagate Instant Secure Erase
Wstępna konfiguracja Ochrona danych w stanie spoczynku z ochroną lub bez ochrony w postaci zamknięcia wskazującego na proacutebę otwarcia Włączone ograniczone zabezpieczenie Brak włączonego zabezpieczenia
Metoda wymazywania Protokoacuteł zabezpieczeń TCG Wymazywanie
Protokoacuteł zabezpieczeń TCG RevertSP
ATA Security Polecenia Security Erase Prepare i Security Erase Unit
Sanitize Zestaw funkcjipolecenie Sanitize
Obsługiwana konfiguracja
Dyski SED firmy Seagate z pamięcią masową zgodną ze specyfikacją TCG
Dyski SED firmy Seagate z pamięcią masową zgodną ze specyfikacją TCG
Dyski SED firmy Seagate z interfejsem SATA
Obsługiwane dyski SED firmy Seagate z interfejsami SATA i SAS
Zakres wymazywania Wymazywanie kryptograficzne na poziomie pasma
Cały dysk zostaje kryptograficznie wymazany
Cały dysk zostaje kryptograficznie wymazany
Cały dysk zostaje kryptograficznie wymazany
Efekt uboczny Odblokowuje pasmo i resetuje hasło pasma Dysk SED powraca do stanu fabrycznego Odblokowuje dysk i wyłącza funkcję trybu
ATA Security
Brak początkowego bezpieczeństwa zapobiegającego przypadkowemu wymazaniu
Kontrola dostępuWymagane jest uwierzytelnianie za pomocą hasła zarządzanego przez hosta lub domyślnego
Wymagane jest uwierzytelnianie za pomocą wydrukowanego hasła (w postaci kodu kreskowego) na etykiecie napędu
Wymagane jest uwierzytelnianie za pomocą hasła zarządzanego przez hosta
Nieuwierzytelnione przez konstrukcję (jeśli dysk jest zablokowany użytkownik musi odblokować dysk przed wykonaniem operacji)
Zalety
Ochrona danych w stanie spoczynku
Walidacja zgodna ze standardem FIPS 140-2 Level 2
W pełni funkcjonalny interfejs zarządzania bezpieczeństwem oparty o specyfikację pamięci masowej zgodnej ze specyfikacją TCG
Ochrona danych w stanie spoczynku
Walidacja zgodna ze standardem FIPS 140-2 Level 2
W pełni funkcjonalny interfejs zarządzania bezpieczeństwem oparty o specyfikację pamięci masowej zgodnej ze specyfikacją TCG
Zabezpieczenie na poziomie napędu
Zabezpieczenie wykorzystuje standardowe polecenia ATA Security
Zapewnia bezpieczne wymazywanie bez obciążenia związanego zarządzaniem (tj zarządzanie hasłem nie jest wymagane)
Uwagi Wymaga sprzętu lub oprogramowania zgodnego ze specyfikacją TCG
Wymaga fizycznego posiadanie dysku SED do odczytania kodu zabezpieczającego dysk
Wykorzystuje standardowe polecenia ATA Security
Możliwość błędnego lub umyślnego wymazania danych ze względu na polecenie o niezabezpieczonym charakterze
Uwagi1 W większości sytuacji metoda bezpiecznego wymazywania dysku w wyższych konfiguracjach zabezpieczeń będzie działać roacutewnież
w przypadku stosowania jej przy niższych ustawieniach bezpieczeństwa na przykład protokoacuteł RevertSP będzie działać na dysku skonfigurowanym w trybie ATA przy założeniu że napęd obsługuje roacutewnież zestaw poleceń TCG (obsługa zabezpieczeń może roacuteżnić się w zależności od modelu dysku)
2 Termin ochrona danych w stanie spoczynku odnosi się do zdolności zapewnienia przez dysk samoszyfrujący (SED) bardzo silnej ochrony przed ujawnieniem danych na dysku ktoacutery został skonfigurowany tak aby zablokować interfejs danych przed nieautoryzowanym dostępem w funkcjonującym otoczeniu komputerowym
3 Publikacja Federal Information Processing Standard (FIPS) 140-2 to ustanowiony przez rząd amerykański standard bezpieczeństwa komputerowego stosowany do akredytacji modułoacutew kryptograficznych Nosi tytuł Security Requirements for Cryptographic Modules (FIPS PUB 140-2) (Wymogi bezpieczeństwa dla modułoacutew kryptograficznych) i jest publikowany przez Narodowy Instytut Standardoacutew i Technologii (NIST) Ten standard określa wymogi bezpieczeństwa ktoacutere zostaną spełnione przez moduł kryptograficzny stosowany w ramach systemu bezpieczeństwa chroniącego dane klasy Sensitive but Unclassified oraz Protected (wrażliwe nieutajnione oraz chronione) Dyski Seagate FIPS posiadają certyfikat poziomu 2 (wskazanie proacuteby manipulacji przy napędzie) więcej informacji dostępnych jest pod adresem httpwwwseagatecomfileswww-contentsolutions-contentsecurity-and-encryptionen-usdocsfaq-fips-sed-mb605-3-1411uspdf
Opcje wdrożenia Instant Secure Erase firmy Seagate
seagatecom
AMERYKA PŁN I PŁD Seagate Technology LLC 10200 South De Anza Boulevard Cupertino California 95014 USA +1 408 658 1000 AZJAPACYFIK Seagate Singapore International Headquarters Pte Ltd 7000 Ang Mo Kio Avenue 5 Singapur 569877 +65 6485 3888 EUROPA BLISKI WSCHOacuteD I AFRYKA Seagate Technology SAS 16-18 rue du Docircme 92100 Boulogne-Billancourt Francja +33 1 41 86 10 00
copy 2015 Wszelkie prawa zastrzeżone Wydrukowano w USA Seagate Seagate Technology i logo Spiral są zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC w Stanach Zjednoczonych ilub innych krajach Seagate Secure i logo Seagate Secure są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC lub jednej z jej firm zależnych w Stanach Zjednoczonych ilub innych krajach Logo FIPS stanowi znak zgodności z normą instytutu NIST co nie oznacza że produkt jest zalecany przez instytut NIST oraz rządy Stanoacutew Zjednoczonych i Kanady Wszystkie pozostałe znaki towarowe i zastrzeżone znaki towarowe należą do odpowiednich właścicieli Eksport i reeksport sprzętu lub oprogramowania Seagate jest regulowany przez Biuro Przemysłu i Bezpieczeństwa Departamentu Handlu Stanoacutew Zjednoczonych (więcej informacji znajduje się w witrynie wwwbisdocgov) i może podlegać kontroli eksportu importu i zastosowania w innych krajach Firma Seagate zastrzega sobie prawo do wprowadzania zmian w ofercie produktoacutew lub w ich parametrach bez powiadomienia TP6272-1502PL luty 2015
Jak przeprowadzić procedurę Instant Secure Erase na dysku SED firmy SeagateW zależności od rodzaju dysku SED i opcji wybranej w celu bezpiecznego wymazania urządzenia dane rzeczywiście można usunąć na roacuteżne sposoby Dostępne są następujące rozwiązania
bull Oprogramowanie Seagate SeaToolstrade dla systemu operacyjnego Windows darmowe narzędzie dla komputeroacutew PC służące do diagnozowania zaroacutewno wewnętrznie jak i zewnętrznie podłączonych urządzeń pamięci masowej Oprogramowanie SeaTools obsługuje funkcjonalność Seagate ISE Oprogramowanie SeaTools znajduje się pod adresem wwwseagatecom w zakładce Support and Downloads (Wsparcie i Pobieranie) pod SeaTools ndash Diagnosis Software
bull Aplikacje do zarządzania kluczami firm zewnętrznych od partneroacutew Seagate takich jak IBM (Tivoli Key Lifecycle Manager) Wave Winmagic itp
bull Niestandardowewbudowane rozwiązanie do integracji możliwości Seagate ISE w systemach i aplikacjach hosta Aby uzyskać dodatkowe informacje skontaktuj się z przedstawicielem handlowym firmy Seagate
bull Użytkownicy systemu Linux mogą korzystać z programu HDPARM (narzędzie wiersza polecenia dla systemu operacyjnego Linux) jeśli chcą wydawać własne polecenia SATA
BibliografiaSpecyfikacje TCG Storage ndash wwwtrustedcomputinggrouporgdevelopersstoragespecifications
Specyfikacje ATA ndash wwwt13org
Specyfikacje SCSI ndash wwwt10org
Oprogramowanie Seagate SeaTools ndash wwwseagatecomwwwen-ussupportdownloadsseatools
Opcje wdrożenia funkcjonalności Instant Secure Erase firmy Seagate
Tabela 1 opisuje roacuteżne metody usuwania danych z dysku SED Patrz uwagi w poniższej tabeli
Tabela 1 Opcje funkcjonalności Seagate Instant Secure Erase
Wstępna konfiguracja Ochrona danych w stanie spoczynku z ochroną lub bez ochrony w postaci zamknięcia wskazującego na proacutebę otwarcia Włączone ograniczone zabezpieczenie Brak włączonego zabezpieczenia
Metoda wymazywania Protokoacuteł zabezpieczeń TCG Wymazywanie
Protokoacuteł zabezpieczeń TCG RevertSP
ATA Security Polecenia Security Erase Prepare i Security Erase Unit
Sanitize Zestaw funkcjipolecenie Sanitize
Obsługiwana konfiguracja
Dyski SED firmy Seagate z pamięcią masową zgodną ze specyfikacją TCG
Dyski SED firmy Seagate z pamięcią masową zgodną ze specyfikacją TCG
Dyski SED firmy Seagate z interfejsem SATA
Obsługiwane dyski SED firmy Seagate z interfejsami SATA i SAS
Zakres wymazywania Wymazywanie kryptograficzne na poziomie pasma
Cały dysk zostaje kryptograficznie wymazany
Cały dysk zostaje kryptograficznie wymazany
Cały dysk zostaje kryptograficznie wymazany
Efekt uboczny Odblokowuje pasmo i resetuje hasło pasma Dysk SED powraca do stanu fabrycznego Odblokowuje dysk i wyłącza funkcję trybu
ATA Security
Brak początkowego bezpieczeństwa zapobiegającego przypadkowemu wymazaniu
Kontrola dostępuWymagane jest uwierzytelnianie za pomocą hasła zarządzanego przez hosta lub domyślnego
Wymagane jest uwierzytelnianie za pomocą wydrukowanego hasła (w postaci kodu kreskowego) na etykiecie napędu
Wymagane jest uwierzytelnianie za pomocą hasła zarządzanego przez hosta
Nieuwierzytelnione przez konstrukcję (jeśli dysk jest zablokowany użytkownik musi odblokować dysk przed wykonaniem operacji)
Zalety
Ochrona danych w stanie spoczynku
Walidacja zgodna ze standardem FIPS 140-2 Level 2
W pełni funkcjonalny interfejs zarządzania bezpieczeństwem oparty o specyfikację pamięci masowej zgodnej ze specyfikacją TCG
Ochrona danych w stanie spoczynku
Walidacja zgodna ze standardem FIPS 140-2 Level 2
W pełni funkcjonalny interfejs zarządzania bezpieczeństwem oparty o specyfikację pamięci masowej zgodnej ze specyfikacją TCG
Zabezpieczenie na poziomie napędu
Zabezpieczenie wykorzystuje standardowe polecenia ATA Security
Zapewnia bezpieczne wymazywanie bez obciążenia związanego zarządzaniem (tj zarządzanie hasłem nie jest wymagane)
Uwagi Wymaga sprzętu lub oprogramowania zgodnego ze specyfikacją TCG
Wymaga fizycznego posiadanie dysku SED do odczytania kodu zabezpieczającego dysk
Wykorzystuje standardowe polecenia ATA Security
Możliwość błędnego lub umyślnego wymazania danych ze względu na polecenie o niezabezpieczonym charakterze
Uwagi1 W większości sytuacji metoda bezpiecznego wymazywania dysku w wyższych konfiguracjach zabezpieczeń będzie działać roacutewnież
w przypadku stosowania jej przy niższych ustawieniach bezpieczeństwa na przykład protokoacuteł RevertSP będzie działać na dysku skonfigurowanym w trybie ATA przy założeniu że napęd obsługuje roacutewnież zestaw poleceń TCG (obsługa zabezpieczeń może roacuteżnić się w zależności od modelu dysku)
2 Termin ochrona danych w stanie spoczynku odnosi się do zdolności zapewnienia przez dysk samoszyfrujący (SED) bardzo silnej ochrony przed ujawnieniem danych na dysku ktoacutery został skonfigurowany tak aby zablokować interfejs danych przed nieautoryzowanym dostępem w funkcjonującym otoczeniu komputerowym
3 Publikacja Federal Information Processing Standard (FIPS) 140-2 to ustanowiony przez rząd amerykański standard bezpieczeństwa komputerowego stosowany do akredytacji modułoacutew kryptograficznych Nosi tytuł Security Requirements for Cryptographic Modules (FIPS PUB 140-2) (Wymogi bezpieczeństwa dla modułoacutew kryptograficznych) i jest publikowany przez Narodowy Instytut Standardoacutew i Technologii (NIST) Ten standard określa wymogi bezpieczeństwa ktoacutere zostaną spełnione przez moduł kryptograficzny stosowany w ramach systemu bezpieczeństwa chroniącego dane klasy Sensitive but Unclassified oraz Protected (wrażliwe nieutajnione oraz chronione) Dyski Seagate FIPS posiadają certyfikat poziomu 2 (wskazanie proacuteby manipulacji przy napędzie) więcej informacji dostępnych jest pod adresem httpwwwseagatecomfileswww-contentsolutions-contentsecurity-and-encryptionen-usdocsfaq-fips-sed-mb605-3-1411uspdf
Opcje wdrożenia Instant Secure Erase firmy Seagate
seagatecom
AMERYKA PŁN I PŁD Seagate Technology LLC 10200 South De Anza Boulevard Cupertino California 95014 USA +1 408 658 1000 AZJAPACYFIK Seagate Singapore International Headquarters Pte Ltd 7000 Ang Mo Kio Avenue 5 Singapur 569877 +65 6485 3888 EUROPA BLISKI WSCHOacuteD I AFRYKA Seagate Technology SAS 16-18 rue du Docircme 92100 Boulogne-Billancourt Francja +33 1 41 86 10 00
copy 2015 Wszelkie prawa zastrzeżone Wydrukowano w USA Seagate Seagate Technology i logo Spiral są zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC w Stanach Zjednoczonych ilub innych krajach Seagate Secure i logo Seagate Secure są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC lub jednej z jej firm zależnych w Stanach Zjednoczonych ilub innych krajach Logo FIPS stanowi znak zgodności z normą instytutu NIST co nie oznacza że produkt jest zalecany przez instytut NIST oraz rządy Stanoacutew Zjednoczonych i Kanady Wszystkie pozostałe znaki towarowe i zastrzeżone znaki towarowe należą do odpowiednich właścicieli Eksport i reeksport sprzętu lub oprogramowania Seagate jest regulowany przez Biuro Przemysłu i Bezpieczeństwa Departamentu Handlu Stanoacutew Zjednoczonych (więcej informacji znajduje się w witrynie wwwbisdocgov) i może podlegać kontroli eksportu importu i zastosowania w innych krajach Firma Seagate zastrzega sobie prawo do wprowadzania zmian w ofercie produktoacutew lub w ich parametrach bez powiadomienia TP6272-1502PL luty 2015
Jak przeprowadzić procedurę Instant Secure Erase na dysku SED firmy SeagateW zależności od rodzaju dysku SED i opcji wybranej w celu bezpiecznego wymazania urządzenia dane rzeczywiście można usunąć na roacuteżne sposoby Dostępne są następujące rozwiązania
bull Oprogramowanie Seagate SeaToolstrade dla systemu operacyjnego Windows darmowe narzędzie dla komputeroacutew PC służące do diagnozowania zaroacutewno wewnętrznie jak i zewnętrznie podłączonych urządzeń pamięci masowej Oprogramowanie SeaTools obsługuje funkcjonalność Seagate ISE Oprogramowanie SeaTools znajduje się pod adresem wwwseagatecom w zakładce Support and Downloads (Wsparcie i Pobieranie) pod SeaTools ndash Diagnosis Software
bull Aplikacje do zarządzania kluczami firm zewnętrznych od partneroacutew Seagate takich jak IBM (Tivoli Key Lifecycle Manager) Wave Winmagic itp
bull Niestandardowewbudowane rozwiązanie do integracji możliwości Seagate ISE w systemach i aplikacjach hosta Aby uzyskać dodatkowe informacje skontaktuj się z przedstawicielem handlowym firmy Seagate
bull Użytkownicy systemu Linux mogą korzystać z programu HDPARM (narzędzie wiersza polecenia dla systemu operacyjnego Linux) jeśli chcą wydawać własne polecenia SATA
BibliografiaSpecyfikacje TCG Storage ndash wwwtrustedcomputinggrouporgdevelopersstoragespecifications
Specyfikacje ATA ndash wwwt13org
Specyfikacje SCSI ndash wwwt10org
Oprogramowanie Seagate SeaTools ndash wwwseagatecomwwwen-ussupportdownloadsseatools
Opcje wdrożenia Instant Secure Erase firmy Seagate
seagatecom
AMERYKA PŁN I PŁD Seagate Technology LLC 10200 South De Anza Boulevard Cupertino California 95014 USA +1 408 658 1000 AZJAPACYFIK Seagate Singapore International Headquarters Pte Ltd 7000 Ang Mo Kio Avenue 5 Singapur 569877 +65 6485 3888 EUROPA BLISKI WSCHOacuteD I AFRYKA Seagate Technology SAS 16-18 rue du Docircme 92100 Boulogne-Billancourt Francja +33 1 41 86 10 00
copy 2015 Wszelkie prawa zastrzeżone Wydrukowano w USA Seagate Seagate Technology i logo Spiral są zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC w Stanach Zjednoczonych ilub innych krajach Seagate Secure i logo Seagate Secure są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Seagate Technology LLC lub jednej z jej firm zależnych w Stanach Zjednoczonych ilub innych krajach Logo FIPS stanowi znak zgodności z normą instytutu NIST co nie oznacza że produkt jest zalecany przez instytut NIST oraz rządy Stanoacutew Zjednoczonych i Kanady Wszystkie pozostałe znaki towarowe i zastrzeżone znaki towarowe należą do odpowiednich właścicieli Eksport i reeksport sprzętu lub oprogramowania Seagate jest regulowany przez Biuro Przemysłu i Bezpieczeństwa Departamentu Handlu Stanoacutew Zjednoczonych (więcej informacji znajduje się w witrynie wwwbisdocgov) i może podlegać kontroli eksportu importu i zastosowania w innych krajach Firma Seagate zastrzega sobie prawo do wprowadzania zmian w ofercie produktoacutew lub w ich parametrach bez powiadomienia TP6272-1502PL luty 2015
Jak przeprowadzić procedurę Instant Secure Erase na dysku SED firmy SeagateW zależności od rodzaju dysku SED i opcji wybranej w celu bezpiecznego wymazania urządzenia dane rzeczywiście można usunąć na roacuteżne sposoby Dostępne są następujące rozwiązania
bull Oprogramowanie Seagate SeaToolstrade dla systemu operacyjnego Windows darmowe narzędzie dla komputeroacutew PC służące do diagnozowania zaroacutewno wewnętrznie jak i zewnętrznie podłączonych urządzeń pamięci masowej Oprogramowanie SeaTools obsługuje funkcjonalność Seagate ISE Oprogramowanie SeaTools znajduje się pod adresem wwwseagatecom w zakładce Support and Downloads (Wsparcie i Pobieranie) pod SeaTools ndash Diagnosis Software
bull Aplikacje do zarządzania kluczami firm zewnętrznych od partneroacutew Seagate takich jak IBM (Tivoli Key Lifecycle Manager) Wave Winmagic itp
bull Niestandardowewbudowane rozwiązanie do integracji możliwości Seagate ISE w systemach i aplikacjach hosta Aby uzyskać dodatkowe informacje skontaktuj się z przedstawicielem handlowym firmy Seagate
bull Użytkownicy systemu Linux mogą korzystać z programu HDPARM (narzędzie wiersza polecenia dla systemu operacyjnego Linux) jeśli chcą wydawać własne polecenia SATA
BibliografiaSpecyfikacje TCG Storage ndash wwwtrustedcomputinggrouporgdevelopersstoragespecifications
Specyfikacje ATA ndash wwwt13org
Specyfikacje SCSI ndash wwwt10org
Oprogramowanie Seagate SeaTools ndash wwwseagatecomwwwen-ussupportdownloadsseatools