Verwendungsoptionen für „Instant Secure Erase“ von Seagate

Whitepaper
Verwendungsoptionen
für „Instant Secure Erase“
von Seagate
Einführung
Wenn Festplatten außer Dienst gestellt werden und den Schutz des Rechenzentrums
verlassen, sind sie in den Händen anderer Personen erheblichen Risiken ausgesetzt.
Dennoch müssen IT-Abteilungen routinemäßig Festplatten aus einer Vielzahl von
Gründen entfernen und entsorgen, z. B.:
• Verwendung der Festplatten für andere Speicheraufgaben
• Rückgabe von Festplatten im Rahmen von Garantieansprüchen, zur Reparatur
oder nach Ablauf von Leasing-Verträgen
Nahezu alle Festplatten verlassen die Kontrolle ihrer Eigentümer, sobald sie aus
dem Rechenzentrum entfernt werden. Seagate schätzt, dass tatsächlich 50.000
Festplatten täglich in Rechenzentren außer Betrieb gestellt werden. Auf diesen
Festplatten befinden sich Firmendaten, die beim Verlassen des Rechenzentrums
größtenteils noch gelesen werden können. Selbst Daten, die in einem RAID-Array
auf viele Festplatten verteilt waren, können gestohlen werden, da angesichts der
aktuellen Speicherkapazität von Arrays schon ein einziges typisches Stripe-Array
Hunderte von Namen und Sozialversicherungsnummern enthalten kann.
Verwendungsoptionen für „Instant
Secure Erase“ von Seagate
Probleme bei der Kontrolle und Entsorgung von Festplatten
Um Sicherheitsverletzungen und die damit verbundene Benachrichtigung der
Kunden, die gemäß geltenden Datenschutzgesetzen erforderlich ist, zu vermeiden,
haben Unternehmen bereits auf die verschiedenste Art und Weise versucht, die auf
außer Dienst genommenen Festplatten gespeicherten Daten zu löschen, bevor sie
das Firmengelände verlassen und möglicherweise in die falschen Hände geraten.
Das Vorgehen beim Unleserlichmachen von Daten umfasst derzeit ein hohes Maß
an Eingriffen, was leicht zu technischen und menschlichen Fehlern führen kann.
Die Nachteile dieser Vorgehensweise sind zahlreich und weitreichend:
• Das Überschreiben von Daten ist kostspielig, da wertvolle Systemressourcen
tagelang belegt werden. Es erfolgt keine Meldung seitens der Festplatte, dass
alle Daten erfolgreich gelöscht wurden, und das Überschreiben lässt umverteilte
Sektoren unberührt, sodass solche Daten dann weiterhin zugänglich sind.
• Sowohl die Entmagnetisierung als auch die Zerstörung einer Festplatte ist kostenintensiv. Zudem lässt sich schwer feststellen, ob die Stärke des Magnetfelds für
die Entmagnetisierung des jeweiligen Festplattentyps optimiert wurde, sodass
möglicherweise noch lesbare Daten auf der Festplatte verbleiben. Das Zerstören
der Festplatte schadet der Umwelt und keines dieser Verfahren ermöglicht die
Rücksendung der Festplatte gegen Garantie oder nach Ablauf des Leasing-Vertrags.
• Einige Unternehmen sind zu dem Schluss gekommen, dass die einzig sichere
Methode für das Außerdienststellen von Festplatten die Aufbewahrung in Lagerhäusern auf unbestimmte Zeit und unter firmeneigener Kontrolle ist. Diese Methode
ist jedoch insofern nicht wirklich sicher, als angesichts einer derart großen Anzahl
an Festplatten und des Risikofaktors Mensch nicht ausgeschlossen werden kann,
dass einige Festplatten verloren gehen oder gestohlen werden.
• Andere Unternehmen entscheiden sich für professionelle Entsorgungsdienste.
Hierbei handelt es sich um eine kostspielige Option, die außerdem Kosten für
die Abstimmung der Dienste sowie interner Berichte und Audits nach sich zieht.
Erschwerend kommt hinzu, dass der Transport der Festplatten mit den darauf
gespeicherten Daten zum Dienstleister ein hohes Risiko darstellt. Bereits eine
verlorene Festplatte und die damit verbundene Sicherheitsverletzung könnte
ein Unternehmen Millionen kosten.
Herausforderungen bei Leistung, Skalierbarkeit und Komplexität haben dazu geführt,
dass IT-Abteilungen keine Sicherheitsrichtlinien mehr verwenden, die den Einsatz von
Verschlüsselung erfordern. Des Weiteren wurde die Verschlüsselung durch Personen,
die nicht mit der Verwaltung von Schlüsseln vertraut sind, als riskant angesehen.
Die Schlüsselverwaltung stellt sicher, dass ein Unternehmen seine eigenen Daten
stets entschlüsseln kann. Festplatten mit Selbstverschlüsselung lösen dieses
Problem umfassend, indem sie die Verschlüsselung für die Außerdienststellung
von Festplatten vereinfachen und verbilligen.
Mit der Funktion „Instant Secure Erase“ von Seagate wird die
Außerdienststellung und Neuverwendung von Festplatten auf
sichere, schnelle und kostengünstige Weise ermöglicht.
SEDs verschlüsseln mithilfe eines Datenverschlüsselungscodes, der sicher auf der Festplatte selbst gespeichert ist, bereits alle Benutzerdaten, während sie auf die Festplatte
gelangen. Daher sind alle Daten, die auf einer SED gespeichert sind, standardmäßig
verschlüsselt. Wenn die Festplatte außer Dienst gestellt oder anderweitig verwendet werden soll, sendet der Eigentümer einen Befehl an die Festplatte, um einen kryptografischen
Löschvorgang durchzuführen. Seagate ISE verwendet die kryptografische Löschmöglichkeit der SED, um den Datenverschlüsselungscode zu ändern.1 Das kryptografische
1
eagate arbeitet mit mehreren Branchenführern und Regierungsbehörden zusammen, um die Standardisierung von
S
Datenzerstörung durch kryptografisches Löschen zu definieren. Dies erfolgt innerhalb der ISO (International Organization
for Standardization) unter ISO/IEC WD 27040.
Löschen ersetzt den Verschlüsselungscode auf der SED
auf sichere Weise, wie in Abbildung 1 gezeigt. Sobald der
ursprünglich verwendete Code zur Datenverschlüsselung
geändert wird, werden sämtliche Daten, die mit diesem
Code verschlüsselt wurden, unlesbar und können nicht
mehr wiederhergestellt werden. Auf diese Weise zerstört
Seagate ISE die auf dem Gerät gespeicherten Daten
sofort, sicher und wirksam, wodurch die Festplatte unmittelbar außer Betrieb genommen, wiederverwendet oder
verkauft werden kann. SEDs verringern (unabhängig von
der verwendeten Einsatzstrategie) die IT-Betriebskosten,
indem sie der IT-Abteilung das Problem der Festplattensteuerung und der Entsorgungskosten abnehmen. Die
enorme Datensicherheit dieser Festplatten ermöglicht die
Einhaltung der Safe-Harbor-Erklärung zum Datenschutz,
ohne dabei die IT-Effizienz zu beeinträchtigen. Außerdem
vereinfachen Festplatten mit Selbstverschlüsselung
die Außerbetriebnahme und bewahren den Wert der
Hardware für Rücksendungen und für anderweitige
Verwendung, indem sie Folgendes bieten:
• Wegfall der Erfordernis, die Festplatte zu
überschreiben bzw. zu zerstören
• Sicherung von Rücksendungen im Garantiefall
oder nach Ablauf von Leasing-Verträgen
• sichere anderweitige Verwendung der Festplatte
Schreiben auf Festplatte
Verschlüsselungsvorgang
Benutzerdaten
Datenverschlüsselungscode
Daten auf
der Festplatte
Datenverschlüsselungscode ändern
(Seagate Instant Secure Erase)
Lesen von der Festplatte
Entschlüsselungsvorgang
Von der
Festplatte
gelesene Daten
Neuer
Datenverschlüsselungscode
Daten auf
der Festplatte
Abbildung 1 – Der Prozess für „Instant Secure Erase“
von Seagate
Verwendungsoptionen für „Instant
Secure Erase“ von Seagate
Verschiedene Seagate-Lösungen für unterschiedliche
Sicherheitsanforderungen
Alle Enterprise-SEDs von Seagate umfassen die ISE-Funktionalität von Seagate. Die Art
und Weise, in der dies erreicht wird, variiert abhängig von der Sicherheitsstufe, die bei
der Inbetriebnahme der Festplatte implementiert wurde. Beachten Sie, dass jede Stufe
die Schutzfunktionen der vorherigen Stufen umfasst.
• Schutz für ruhende Daten und Manipulationsschutz (FIPS 140-2 Level 2)
• Schutz für ruhende Daten
• Nur Schutz für Neuverwendung (Seagate ISE)
SEAGATE SECURE™
LÖSUNGEN
KUNDENWÜNSCHE
Sicherheit auf
höchstem Niveau
FIPS 140-2
-ZERTIFIZIERT
FIPS-Festplatten
von Seagate mit
Selbstverschlüsselung
Seagate-SEDs unterstützen – abhängig von Befehlssatz und Konfiguration der Festplattenschnittstelle
– eine oder mehrere Methoden zur Ausführung eines
Seagate-ISE-Prozesses. Beispielsweise können sich
die Löschmöglichkeiten an einem Gerät mit SATASchnittstelle von denen eines Geräts mit SAS-Schnittstelle unterscheiden. Darüber hinaus stehen weitere
Sicherheits- und Löschmöglichkeiten über das TCGStorage-Sicherheitsprotokoll zur Verfügung, das von
der SED unterstützt wird. Beachten Sie, das in allen
Fällen der Hostcontroller Unterstützung für Seagate ISE
über einen unterstützten Befehl implementieren muss.
1. Festplatten, die mit einem Schutz für ruhende
Daten mit oder ohne Manipulationsschutz
konfiguriert wurden, werden über TCG-EnterpriseProtokolle aktiviert.
Ein Gerät, dass mithilfe des TCG-StorageSpezifikationsprotokolls verwaltet wird, unterstützt
Seagate ISE auf Bereichsebene. Zusätzlich zum
Schutz der Benutzerdaten während der Festplattennutzung ermöglicht Seagate ISE auf Bereichsebene,
dass die auf dem Gerät gespeicherten Daten ganz
oder teilweise gelöscht werden, ohne die anderen
Datenbereiche auf der Festplatte dabei zu beeinflussen. Diese Art der Datenlöschung erfolgt mithilfe
des TCG-Storage-Sicherheitsprotokolls (Methode
„Erase“) in jedem Bereich, wofür Software eines
anderen Herstellers erforderlich ist.
TCG-KONFORME
SICHERHEIT
Schutz für
ruhende Daten
Erfordert TCG Host Controller und
Schlüsselmanagementsystem
Problemlose
Entsorgung und
Wiederverwendung
So führen selbstverschlüsselnde
Festplatten von Segate den Prozess
„Instant Secure Erase“ aus:
Festplatten mit
Selbstverschlüsselung
von Seagate
SEAGATE INSTANT SECURE ERASE
Schnell und einfach
Löschung des Verschlüsselungscodes
Funktionen für kryptisches Löschen und Bereinigen
SICHERER SCHUTZ
Abbildung 2 – Seagate Secure -Lösungen zur Implementierung aller Sicherheitsstufen
™
Ein Gerät, das mit dem TCG-Storage-Sicherheitsprotokoll verwaltet wird, kann auch sofort durch
Aufruf der Methode „RevertSP“ des Sicherheitsprotokolls gelöscht werden. Diese Art des sicheren
Löschens erfordert den physischen Besitz des
Geräts, um die 32-stellige PSID (Physical Secure
ID) zu lesen, die auf dem Etikett aufgedruckt ist,
und die Festplatte wird dadurch so gelöscht, dass
sie wieder den ursprünglichen Zustand ab Werk
aufweist.
Die relevanten Löschmethoden für jede dieser Anfangskonfigurationen werden
in Tabelle 1 aufgeführt. Seagate-Kunden, die mit SCSI- oder ATA-Befehlen und
-Kodierung vertraut sind, können auch eine eigene Lösung für den Einsatz von SEDs
von Seagate mit den TCG-Storage-, T10- und T13-Befehlssätzen und -Spezifikationen
entwickeln. Wenden Sie sich an Ihren Seagate-Repräsentanten, um weitere
Informationen zu erhalten.
2. Festplatten, die mit Schutz für einfache Entsorgung
und erneute Verwendung konfiguriert sind, können
nur mithilfe von ATA-Security-Befehlen aktiviert
werden.
Eine SED von Seagate, die den ATA-Befehlssatz
implementiert, kann durch die Aufrufe der ATABefehle „Security Erase Prepare“ und „Security
Erase Unit“ gelöscht werden. Beachten Sie, dass
es sich hierbei um eine Seagate-spezifische
Implementierung von Seagate ISE handelt.
Verwendungsoptionen für „Instant
Secure Erase“ von Seagate
Tabelle 1 bietet einen Überblick über die verschiedenen Methoden zum Einsatz von Seagate ISE auf einem SED.
Siehe die Hinweise, die der Tabelle folgen.
Tabelle 1 – „Instant Secure Erase“ von Secure Erase von Seagate
Anfangskonfiguration
Schutz für ruhende Daten mit oder ohne Manipulationsschutz
Nur Schutz bei
Wiederverwendung
Kein Schutz aktiviert
ATA Security
Befehl „Sanitize“ (Bereinigen)
TCG-Sicherheitsprotokoll
TCG-Sicherheitsprotokoll
Löschen
RevertSP
Befehle „Security Erase Prepare“
(Sicherheitslöschung vorbereiten)
und „Security Erase Unit“
(Sicherheitslöschungseinheit)
Unterstützte
Konfiguration
SEDs von Seagate mit TCG Storage
SEDs von Seagate mit TCG Storage
SATA-SEDs von Seagate
Unterstützte SATA- und
SAS-SEDs von Seagate
Löschumfang
Kryptografisches Löschen
auf Bereichsebene
Ganze Festplatte wird
kryptografisch gelöscht
Ganze Festplatte wird
kryptografisch gelöscht
Ganze Festplatte wird
kryptografisch gelöscht
Nebenwirkung
Entriegelt Bereich und setzt
Bereichspasswort zurück
SED wird in den werksseitigen
Standardzustand zurückgesetzt
Festplatte wird entsperrt und
ATA-Sicherheit wird deaktiviert
Kein Anfangsschutz, um
versehentliches Löschen
zu verhindern
Zugriffskontrolle
Authentifizierung durch vom
Host verwaltetes Passwort oder
Standardpasswort des Geräts
erforderlich
Authentifizierung durch auf
Festplattenetikett gedrucktes
(und als Barcode dargestelltes)
Passwort erforderlich
Authentifizierung durch vom
Host verwaltete(s) Passwort bzw.
Passwörter erforderlich
Designmäßig unauthentifiziert
(wenn Festplatte gesperrt ist,
muss sie vor Ausführung durch
den Operator entsperrt werden)
Schutz für ruhende Daten
Schutz für ruhende Daten
Validierung gemäß FIPS 140-2
Level 2
Validierung gemäß FIPS 140-2
Level 2
ATA-Sicherheit auf
Festplattenebene
SicherheitsmanagementSchnittstelle mit vollem
Funktionsumfang auf der Basis
von TCG-Storage-Spezifikationen
SicherheitsmanagementSchnittstelle mit vollem
Funktionsumfang auf der Basis
von TCG-Storage-Spezifikationen
Nutzt standardmäßige
ATA-Security-Befehle
Mit TCG konforme Hardware
oder Software erforderlich
Physischer Besitz der SED
erforderlich, um den FestplattenSicherheitscode zu lesen
Löschmethode
Vorteile:
Kommentare
Nutzt standardmäßige
ATA-Security-Befehle
„Sanitize Feature Set“
(Funktionsset bereinigen)/
Bietet sicheres Löschen
ohne Verwaltungs-Overhead
(d. h. keine Passwortverwaltung
erforderlich)
Versehentliches oder
bösartiges Löschen von Daten
aufgrund ungeschützter Natur
des Befehls möglich
Hinweise
1.
2.
3.
In den meisten Situationen funktioniert das sichere Löschen einer Festplatte in Konfigurationen mit höherer Sicherheit auch bei niedrigeren Sicherheitseinstellungen.
Beispielsweise funktioniert das RevertSP-Protokoll auf einer Festplatte, die im ATA-Mdous konfiguriert ist, und geht davon aus, dass die Festplatte auch den
TCG-Befehlssatz unterstützt (die Sicherheitsunterstützung kann je nach Festplattenmodell variieren).
Der Begriff Schutz für ruhende Daten bezieht sich auf die Fähigkeit einer SED, einen sehr starken Schutz vor Datenmissbrauch auf einer Festplatte zu bieten, die so
konfiguriert wurde, dass sie die Datenschnittstelle gegenüber unautorisiertem Zugriff sperrt, während sie sich in einer funktionierenden Computerumgebung befindet.
Bei der Federal Information Processing Standard (FIPS) Publication 140-2 handelt es sich um eine Computersicherheitsnorm der US-Regierung in Bezug auf
Zertifizierung kryptografischer Module. Die genaue Bezeichnung dieser Publication ist Security Requirements for Cryptographic Modules (FIPS PUB 140-2) und sie
wird vom National Institute of Standards and Technology (NIST) herausgegeben. Diese Norm legt die Sicherheitsanforderungen fest, die durch ein kryptografisches
Modul erfüllt werden müssen, das in einem Sicherheitssystem zum Schutz von Daten genutzt wird, die als vertraulich, aber nicht geheim eingestuft sind und
zur Klasse Geschützt gehören. FIPS-Festplatten von Seagate sind gemäß Level 2 (manipulationssicher) zertifiziert. Weitere Informationen erhalten Sie unter:
www.seagate.com/docs/pdf/whitepaper/mb605_fips_140_2_faq.pdf
Verwendungsoptionen für „Instant
Secure Erase“ von Seagate
Ausführen des sicheren Löschvorgangs „Instant Secure
Erase“ von Seagate auf einer SED von Seagate
Basierend auf der Art von SED und der zum sicheren Löschen des Geräts
gewählten Option lässt sich die tatsächliche Datenlöschung auf unterschiedliche
Weise erreichen. Folgende Lösungen stehen zur Verfügung:
• Die Software SeaTools™ von Seagate für Windows: Kostenloses Tool für PCs
zur Diagnose intern und extern angeschlossener Speichergeräte. Die Software
SeaTools unterstützt Seagate ISE. Die Software SeaTools finden Sie unter
www.seagate.com auf der Registerkarte „Support und Downloads“ unter
„SeaTools – Diagnosesoftware“.
• Im Handel erhältliche Lösungen anderer Hersteller: Diese Lösungen verwenden
RAID-Controller von LSI und Intel oder eine SchlüsselmanagementKomplettlösung von IBM (Tivoli Key Lifecycle Manager), Wave, Winmagic usw.
• Benutzerspezifische/eingebettete Lösung: benutzerdefinierte, im System
oder der Hostanwendung integrierte Fähigkeit zur Unterstützung von
Seagate ISE. Wenden Sie sich an Ihren Seagate-Repräsentanten, um weitere
Informationen zu erhalten.
Referenzen
TCG-Storage-Spezifikationen
www.trustedcomputinggroup.org/developers/storage/specifications
ATA-Spezifikationen
www.t13.org/
SCSI-Spezifikationen
www.t10.org/
Die Software SeaTools von Seagate
http://www.seagate.com/de/de/support/downloads/seatools/
www.seagate.com
NORD- UND SÜDAMERIKA
ASIEN/PAZIFIK
EUROPA, NAHER OSTEN UND AFRIKA
Seagate Technology LLC 10200 South De Anza Boulevard, Cupertino, California 95014, United States, +1 408-658-1000
Seagate Singapore International Headquarters Pte. Ltd. 7000 Ang Mo Kio Avenue 5, Singapore 569877, +65 6485 3888
Seagate Technology SAS 16-18 rue du Dôme, 92100 Boulogne-Billancourt, France, +33 1 41 86 10 00
© 2012 Seagate Technology LLC. Alle Rechte vorbehalten. Gedruckt in den USA. Seagate, Seagate Technology und das Wave-Logo sind eingetragene Marken von Seagate Technology LLC in den USA und anderen
Ländern. Seagate Secure und das Unified-Storage-Logo sind Marken oder eingetragene Marken von Seagate Technology LLC oder einem seiner Tochterunternehmen in den USA und anderen Ländern. Das FIPSLogo ist ein Gütezeichen der NIST und stellt keine Produktwerbung durch NIST und die US-amerikanische bzw. kanadische Regierung dar. Alle anderen Marken und eingetragenen Marken sind Eigentum ihrer
jeweiligen Inhaber. Für das Exportieren oder Reexportieren von Hardware oder Software mit Verschlüsselung ist das Bureau of Industry and Security des US-Handelsministeriums zuständig (weitere Informationen
unter www.bis.doc.gov), ebenso für die Kontrolle beim Import und die Verwendung außerhalb der USA. Seagate behält sich das Recht vor, Produktangebote und -daten ohne vorherige Ankündigung zu ändern.
TP627.1-1203DE, März 2012