Verwendungsoptionen für „Instant Secure Erase“ von Seagate
Transcrição
Verwendungsoptionen für „Instant Secure Erase“ von Seagate
Whitepaper Verwendungsoptionen für „Instant Secure Erase“ von Seagate Einführung Wenn Festplatten außer Dienst gestellt werden und den Schutz des Rechenzentrums verlassen, sind sie in den Händen anderer Personen erheblichen Risiken ausgesetzt. Dennoch müssen IT-Abteilungen routinemäßig Festplatten aus einer Vielzahl von Gründen entfernen und entsorgen, z. B.: • Verwendung der Festplatten für andere Speicheraufgaben • Rückgabe von Festplatten im Rahmen von Garantieansprüchen, zur Reparatur oder nach Ablauf von Leasing-Verträgen Nahezu alle Festplatten verlassen die Kontrolle ihrer Eigentümer, sobald sie aus dem Rechenzentrum entfernt werden. Seagate schätzt, dass tatsächlich 50.000 Festplatten täglich in Rechenzentren außer Betrieb gestellt werden. Auf diesen Festplatten befinden sich Firmendaten, die beim Verlassen des Rechenzentrums größtenteils noch gelesen werden können. Selbst Daten, die in einem RAID-Array auf viele Festplatten verteilt waren, können gestohlen werden, da angesichts der aktuellen Speicherkapazität von Arrays schon ein einziges typisches Stripe-Array Hunderte von Namen und Sozialversicherungsnummern enthalten kann. Verwendungsoptionen für „Instant Secure Erase“ von Seagate Probleme bei der Kontrolle und Entsorgung von Festplatten Um Sicherheitsverletzungen und die damit verbundene Benachrichtigung der Kunden, die gemäß geltenden Datenschutzgesetzen erforderlich ist, zu vermeiden, haben Unternehmen bereits auf die verschiedenste Art und Weise versucht, die auf außer Dienst genommenen Festplatten gespeicherten Daten zu löschen, bevor sie das Firmengelände verlassen und möglicherweise in die falschen Hände geraten. Das Vorgehen beim Unleserlichmachen von Daten umfasst derzeit ein hohes Maß an Eingriffen, was leicht zu technischen und menschlichen Fehlern führen kann. Die Nachteile dieser Vorgehensweise sind zahlreich und weitreichend: • Das Überschreiben von Daten ist kostspielig, da wertvolle Systemressourcen tagelang belegt werden. Es erfolgt keine Meldung seitens der Festplatte, dass alle Daten erfolgreich gelöscht wurden, und das Überschreiben lässt umverteilte Sektoren unberührt, sodass solche Daten dann weiterhin zugänglich sind. • Sowohl die Entmagnetisierung als auch die Zerstörung einer Festplatte ist kostenintensiv. Zudem lässt sich schwer feststellen, ob die Stärke des Magnetfelds für die Entmagnetisierung des jeweiligen Festplattentyps optimiert wurde, sodass möglicherweise noch lesbare Daten auf der Festplatte verbleiben. Das Zerstören der Festplatte schadet der Umwelt und keines dieser Verfahren ermöglicht die Rücksendung der Festplatte gegen Garantie oder nach Ablauf des Leasing-Vertrags. • Einige Unternehmen sind zu dem Schluss gekommen, dass die einzig sichere Methode für das Außerdienststellen von Festplatten die Aufbewahrung in Lagerhäusern auf unbestimmte Zeit und unter firmeneigener Kontrolle ist. Diese Methode ist jedoch insofern nicht wirklich sicher, als angesichts einer derart großen Anzahl an Festplatten und des Risikofaktors Mensch nicht ausgeschlossen werden kann, dass einige Festplatten verloren gehen oder gestohlen werden. • Andere Unternehmen entscheiden sich für professionelle Entsorgungsdienste. Hierbei handelt es sich um eine kostspielige Option, die außerdem Kosten für die Abstimmung der Dienste sowie interner Berichte und Audits nach sich zieht. Erschwerend kommt hinzu, dass der Transport der Festplatten mit den darauf gespeicherten Daten zum Dienstleister ein hohes Risiko darstellt. Bereits eine verlorene Festplatte und die damit verbundene Sicherheitsverletzung könnte ein Unternehmen Millionen kosten. Herausforderungen bei Leistung, Skalierbarkeit und Komplexität haben dazu geführt, dass IT-Abteilungen keine Sicherheitsrichtlinien mehr verwenden, die den Einsatz von Verschlüsselung erfordern. Des Weiteren wurde die Verschlüsselung durch Personen, die nicht mit der Verwaltung von Schlüsseln vertraut sind, als riskant angesehen. Die Schlüsselverwaltung stellt sicher, dass ein Unternehmen seine eigenen Daten stets entschlüsseln kann. Festplatten mit Selbstverschlüsselung lösen dieses Problem umfassend, indem sie die Verschlüsselung für die Außerdienststellung von Festplatten vereinfachen und verbilligen. Mit der Funktion „Instant Secure Erase“ von Seagate wird die Außerdienststellung und Neuverwendung von Festplatten auf sichere, schnelle und kostengünstige Weise ermöglicht. SEDs verschlüsseln mithilfe eines Datenverschlüsselungscodes, der sicher auf der Festplatte selbst gespeichert ist, bereits alle Benutzerdaten, während sie auf die Festplatte gelangen. Daher sind alle Daten, die auf einer SED gespeichert sind, standardmäßig verschlüsselt. Wenn die Festplatte außer Dienst gestellt oder anderweitig verwendet werden soll, sendet der Eigentümer einen Befehl an die Festplatte, um einen kryptografischen Löschvorgang durchzuführen. Seagate ISE verwendet die kryptografische Löschmöglichkeit der SED, um den Datenverschlüsselungscode zu ändern.1 Das kryptografische 1 eagate arbeitet mit mehreren Branchenführern und Regierungsbehörden zusammen, um die Standardisierung von S Datenzerstörung durch kryptografisches Löschen zu definieren. Dies erfolgt innerhalb der ISO (International Organization for Standardization) unter ISO/IEC WD 27040. Löschen ersetzt den Verschlüsselungscode auf der SED auf sichere Weise, wie in Abbildung 1 gezeigt. Sobald der ursprünglich verwendete Code zur Datenverschlüsselung geändert wird, werden sämtliche Daten, die mit diesem Code verschlüsselt wurden, unlesbar und können nicht mehr wiederhergestellt werden. Auf diese Weise zerstört Seagate ISE die auf dem Gerät gespeicherten Daten sofort, sicher und wirksam, wodurch die Festplatte unmittelbar außer Betrieb genommen, wiederverwendet oder verkauft werden kann. SEDs verringern (unabhängig von der verwendeten Einsatzstrategie) die IT-Betriebskosten, indem sie der IT-Abteilung das Problem der Festplattensteuerung und der Entsorgungskosten abnehmen. Die enorme Datensicherheit dieser Festplatten ermöglicht die Einhaltung der Safe-Harbor-Erklärung zum Datenschutz, ohne dabei die IT-Effizienz zu beeinträchtigen. Außerdem vereinfachen Festplatten mit Selbstverschlüsselung die Außerbetriebnahme und bewahren den Wert der Hardware für Rücksendungen und für anderweitige Verwendung, indem sie Folgendes bieten: • Wegfall der Erfordernis, die Festplatte zu überschreiben bzw. zu zerstören • Sicherung von Rücksendungen im Garantiefall oder nach Ablauf von Leasing-Verträgen • sichere anderweitige Verwendung der Festplatte Schreiben auf Festplatte Verschlüsselungsvorgang Benutzerdaten Datenverschlüsselungscode Daten auf der Festplatte Datenverschlüsselungscode ändern (Seagate Instant Secure Erase) Lesen von der Festplatte Entschlüsselungsvorgang Von der Festplatte gelesene Daten Neuer Datenverschlüsselungscode Daten auf der Festplatte Abbildung 1 – Der Prozess für „Instant Secure Erase“ von Seagate Verwendungsoptionen für „Instant Secure Erase“ von Seagate Verschiedene Seagate-Lösungen für unterschiedliche Sicherheitsanforderungen Alle Enterprise-SEDs von Seagate umfassen die ISE-Funktionalität von Seagate. Die Art und Weise, in der dies erreicht wird, variiert abhängig von der Sicherheitsstufe, die bei der Inbetriebnahme der Festplatte implementiert wurde. Beachten Sie, dass jede Stufe die Schutzfunktionen der vorherigen Stufen umfasst. • Schutz für ruhende Daten und Manipulationsschutz (FIPS 140-2 Level 2) • Schutz für ruhende Daten • Nur Schutz für Neuverwendung (Seagate ISE) SEAGATE SECURE™ LÖSUNGEN KUNDENWÜNSCHE Sicherheit auf höchstem Niveau FIPS 140-2 -ZERTIFIZIERT FIPS-Festplatten von Seagate mit Selbstverschlüsselung Seagate-SEDs unterstützen – abhängig von Befehlssatz und Konfiguration der Festplattenschnittstelle – eine oder mehrere Methoden zur Ausführung eines Seagate-ISE-Prozesses. Beispielsweise können sich die Löschmöglichkeiten an einem Gerät mit SATASchnittstelle von denen eines Geräts mit SAS-Schnittstelle unterscheiden. Darüber hinaus stehen weitere Sicherheits- und Löschmöglichkeiten über das TCGStorage-Sicherheitsprotokoll zur Verfügung, das von der SED unterstützt wird. Beachten Sie, das in allen Fällen der Hostcontroller Unterstützung für Seagate ISE über einen unterstützten Befehl implementieren muss. 1. Festplatten, die mit einem Schutz für ruhende Daten mit oder ohne Manipulationsschutz konfiguriert wurden, werden über TCG-EnterpriseProtokolle aktiviert. Ein Gerät, dass mithilfe des TCG-StorageSpezifikationsprotokolls verwaltet wird, unterstützt Seagate ISE auf Bereichsebene. Zusätzlich zum Schutz der Benutzerdaten während der Festplattennutzung ermöglicht Seagate ISE auf Bereichsebene, dass die auf dem Gerät gespeicherten Daten ganz oder teilweise gelöscht werden, ohne die anderen Datenbereiche auf der Festplatte dabei zu beeinflussen. Diese Art der Datenlöschung erfolgt mithilfe des TCG-Storage-Sicherheitsprotokolls (Methode „Erase“) in jedem Bereich, wofür Software eines anderen Herstellers erforderlich ist. TCG-KONFORME SICHERHEIT Schutz für ruhende Daten Erfordert TCG Host Controller und Schlüsselmanagementsystem Problemlose Entsorgung und Wiederverwendung So führen selbstverschlüsselnde Festplatten von Segate den Prozess „Instant Secure Erase“ aus: Festplatten mit Selbstverschlüsselung von Seagate SEAGATE INSTANT SECURE ERASE Schnell und einfach Löschung des Verschlüsselungscodes Funktionen für kryptisches Löschen und Bereinigen SICHERER SCHUTZ Abbildung 2 – Seagate Secure -Lösungen zur Implementierung aller Sicherheitsstufen ™ Ein Gerät, das mit dem TCG-Storage-Sicherheitsprotokoll verwaltet wird, kann auch sofort durch Aufruf der Methode „RevertSP“ des Sicherheitsprotokolls gelöscht werden. Diese Art des sicheren Löschens erfordert den physischen Besitz des Geräts, um die 32-stellige PSID (Physical Secure ID) zu lesen, die auf dem Etikett aufgedruckt ist, und die Festplatte wird dadurch so gelöscht, dass sie wieder den ursprünglichen Zustand ab Werk aufweist. Die relevanten Löschmethoden für jede dieser Anfangskonfigurationen werden in Tabelle 1 aufgeführt. Seagate-Kunden, die mit SCSI- oder ATA-Befehlen und -Kodierung vertraut sind, können auch eine eigene Lösung für den Einsatz von SEDs von Seagate mit den TCG-Storage-, T10- und T13-Befehlssätzen und -Spezifikationen entwickeln. Wenden Sie sich an Ihren Seagate-Repräsentanten, um weitere Informationen zu erhalten. 2. Festplatten, die mit Schutz für einfache Entsorgung und erneute Verwendung konfiguriert sind, können nur mithilfe von ATA-Security-Befehlen aktiviert werden. Eine SED von Seagate, die den ATA-Befehlssatz implementiert, kann durch die Aufrufe der ATABefehle „Security Erase Prepare“ und „Security Erase Unit“ gelöscht werden. Beachten Sie, dass es sich hierbei um eine Seagate-spezifische Implementierung von Seagate ISE handelt. Verwendungsoptionen für „Instant Secure Erase“ von Seagate Tabelle 1 bietet einen Überblick über die verschiedenen Methoden zum Einsatz von Seagate ISE auf einem SED. Siehe die Hinweise, die der Tabelle folgen. Tabelle 1 – „Instant Secure Erase“ von Secure Erase von Seagate Anfangskonfiguration Schutz für ruhende Daten mit oder ohne Manipulationsschutz Nur Schutz bei Wiederverwendung Kein Schutz aktiviert ATA Security Befehl „Sanitize“ (Bereinigen) TCG-Sicherheitsprotokoll TCG-Sicherheitsprotokoll Löschen RevertSP Befehle „Security Erase Prepare“ (Sicherheitslöschung vorbereiten) und „Security Erase Unit“ (Sicherheitslöschungseinheit) Unterstützte Konfiguration SEDs von Seagate mit TCG Storage SEDs von Seagate mit TCG Storage SATA-SEDs von Seagate Unterstützte SATA- und SAS-SEDs von Seagate Löschumfang Kryptografisches Löschen auf Bereichsebene Ganze Festplatte wird kryptografisch gelöscht Ganze Festplatte wird kryptografisch gelöscht Ganze Festplatte wird kryptografisch gelöscht Nebenwirkung Entriegelt Bereich und setzt Bereichspasswort zurück SED wird in den werksseitigen Standardzustand zurückgesetzt Festplatte wird entsperrt und ATA-Sicherheit wird deaktiviert Kein Anfangsschutz, um versehentliches Löschen zu verhindern Zugriffskontrolle Authentifizierung durch vom Host verwaltetes Passwort oder Standardpasswort des Geräts erforderlich Authentifizierung durch auf Festplattenetikett gedrucktes (und als Barcode dargestelltes) Passwort erforderlich Authentifizierung durch vom Host verwaltete(s) Passwort bzw. Passwörter erforderlich Designmäßig unauthentifiziert (wenn Festplatte gesperrt ist, muss sie vor Ausführung durch den Operator entsperrt werden) Schutz für ruhende Daten Schutz für ruhende Daten Validierung gemäß FIPS 140-2 Level 2 Validierung gemäß FIPS 140-2 Level 2 ATA-Sicherheit auf Festplattenebene SicherheitsmanagementSchnittstelle mit vollem Funktionsumfang auf der Basis von TCG-Storage-Spezifikationen SicherheitsmanagementSchnittstelle mit vollem Funktionsumfang auf der Basis von TCG-Storage-Spezifikationen Nutzt standardmäßige ATA-Security-Befehle Mit TCG konforme Hardware oder Software erforderlich Physischer Besitz der SED erforderlich, um den FestplattenSicherheitscode zu lesen Löschmethode Vorteile: Kommentare Nutzt standardmäßige ATA-Security-Befehle „Sanitize Feature Set“ (Funktionsset bereinigen)/ Bietet sicheres Löschen ohne Verwaltungs-Overhead (d. h. keine Passwortverwaltung erforderlich) Versehentliches oder bösartiges Löschen von Daten aufgrund ungeschützter Natur des Befehls möglich Hinweise 1. 2. 3. In den meisten Situationen funktioniert das sichere Löschen einer Festplatte in Konfigurationen mit höherer Sicherheit auch bei niedrigeren Sicherheitseinstellungen. Beispielsweise funktioniert das RevertSP-Protokoll auf einer Festplatte, die im ATA-Mdous konfiguriert ist, und geht davon aus, dass die Festplatte auch den TCG-Befehlssatz unterstützt (die Sicherheitsunterstützung kann je nach Festplattenmodell variieren). Der Begriff Schutz für ruhende Daten bezieht sich auf die Fähigkeit einer SED, einen sehr starken Schutz vor Datenmissbrauch auf einer Festplatte zu bieten, die so konfiguriert wurde, dass sie die Datenschnittstelle gegenüber unautorisiertem Zugriff sperrt, während sie sich in einer funktionierenden Computerumgebung befindet. Bei der Federal Information Processing Standard (FIPS) Publication 140-2 handelt es sich um eine Computersicherheitsnorm der US-Regierung in Bezug auf Zertifizierung kryptografischer Module. Die genaue Bezeichnung dieser Publication ist Security Requirements for Cryptographic Modules (FIPS PUB 140-2) und sie wird vom National Institute of Standards and Technology (NIST) herausgegeben. Diese Norm legt die Sicherheitsanforderungen fest, die durch ein kryptografisches Modul erfüllt werden müssen, das in einem Sicherheitssystem zum Schutz von Daten genutzt wird, die als vertraulich, aber nicht geheim eingestuft sind und zur Klasse Geschützt gehören. FIPS-Festplatten von Seagate sind gemäß Level 2 (manipulationssicher) zertifiziert. Weitere Informationen erhalten Sie unter: www.seagate.com/docs/pdf/whitepaper/mb605_fips_140_2_faq.pdf Verwendungsoptionen für „Instant Secure Erase“ von Seagate Ausführen des sicheren Löschvorgangs „Instant Secure Erase“ von Seagate auf einer SED von Seagate Basierend auf der Art von SED und der zum sicheren Löschen des Geräts gewählten Option lässt sich die tatsächliche Datenlöschung auf unterschiedliche Weise erreichen. Folgende Lösungen stehen zur Verfügung: • Die Software SeaTools™ von Seagate für Windows: Kostenloses Tool für PCs zur Diagnose intern und extern angeschlossener Speichergeräte. Die Software SeaTools unterstützt Seagate ISE. Die Software SeaTools finden Sie unter www.seagate.com auf der Registerkarte „Support und Downloads“ unter „SeaTools – Diagnosesoftware“. • Im Handel erhältliche Lösungen anderer Hersteller: Diese Lösungen verwenden RAID-Controller von LSI und Intel oder eine SchlüsselmanagementKomplettlösung von IBM (Tivoli Key Lifecycle Manager), Wave, Winmagic usw. • Benutzerspezifische/eingebettete Lösung: benutzerdefinierte, im System oder der Hostanwendung integrierte Fähigkeit zur Unterstützung von Seagate ISE. Wenden Sie sich an Ihren Seagate-Repräsentanten, um weitere Informationen zu erhalten. Referenzen TCG-Storage-Spezifikationen www.trustedcomputinggroup.org/developers/storage/specifications ATA-Spezifikationen www.t13.org/ SCSI-Spezifikationen www.t10.org/ Die Software SeaTools von Seagate http://www.seagate.com/de/de/support/downloads/seatools/ www.seagate.com NORD- UND SÜDAMERIKA ASIEN/PAZIFIK EUROPA, NAHER OSTEN UND AFRIKA Seagate Technology LLC 10200 South De Anza Boulevard, Cupertino, California 95014, United States, +1 408-658-1000 Seagate Singapore International Headquarters Pte. Ltd. 7000 Ang Mo Kio Avenue 5, Singapore 569877, +65 6485 3888 Seagate Technology SAS 16-18 rue du Dôme, 92100 Boulogne-Billancourt, France, +33 1 41 86 10 00 © 2012 Seagate Technology LLC. Alle Rechte vorbehalten. Gedruckt in den USA. Seagate, Seagate Technology und das Wave-Logo sind eingetragene Marken von Seagate Technology LLC in den USA und anderen Ländern. Seagate Secure und das Unified-Storage-Logo sind Marken oder eingetragene Marken von Seagate Technology LLC oder einem seiner Tochterunternehmen in den USA und anderen Ländern. Das FIPSLogo ist ein Gütezeichen der NIST und stellt keine Produktwerbung durch NIST und die US-amerikanische bzw. kanadische Regierung dar. Alle anderen Marken und eingetragenen Marken sind Eigentum ihrer jeweiligen Inhaber. Für das Exportieren oder Reexportieren von Hardware oder Software mit Verschlüsselung ist das Bureau of Industry and Security des US-Handelsministeriums zuständig (weitere Informationen unter www.bis.doc.gov), ebenso für die Kontrolle beim Import und die Verwendung außerhalb der USA. Seagate behält sich das Recht vor, Produktangebote und -daten ohne vorherige Ankündigung zu ändern. TP627.1-1203DE, März 2012