Devo criptografar um RAID5 de hardware no meu homeserver? Como? [fechadas]

0

Para meu homeserver, estou planejando adquirir um RAID 5 com quatro drives de 3 TB (espaço útil de 9 TB).

Agora estou querendo saber se devo criptografar esse RAID. O perigo de alguém ter acesso físico à máquina é bastante baixo. Assim, não haveria problema se a chave de decodificação pudesse ser facilmente lida da memória ou mesmo de outro disco rígido na máquina (o SO é armazenado em um SSD não criptografado).

O que mais me preocupa é o que acontece quando uma unidade falha e não consigo apagá-la com segurança antes de enviá-la ao fabricante / reciclagem. Minha ideia é que, com um armazenamento de dados criptografado, eu poderia simplesmente fazer um disco sem ter que me preocupar em expor qualquer informação.

O servidor deve ser capaz de inicializar sem supervisão. Portanto, uma solução que exige que alguém insira a senha em cada inicialização não é uma opção.

Existe a opção de comprar um controlador RAID que vem com criptografia AES embutida. No entanto, é um pouco mais caro.

Existe alguma solução de software gratuita para o Windows Server 2008 R2 para isso? Eu li sobre o BitLocker e o TrueCrypt - no entanto, não tenho certeza se eles realmente suportam inicialização não assistida e acesso à unidade sem que alguém insira a senha fisicamente.

Quais são suas idéias sobre isso?

    
por Matthias 13.07.2013 / 04:08

1 resposta

2

For my homeserver, I am planning on getting a RAID 5 with four 3TB drives (9 TB usable space).

Incrível, mas você já olhou para outros níveis de RAID? O RAID 5 tem apenas paridade única, portanto, se você tiver uma única unidade com falha e substituir essa unidade, uma das outras unidades terá um erro de leitura quando a matriz estiver sendo reconstruída e você perder todos os dados. As chances de isso acontecer são maiores do que você pensa. Eu pessoalmente nunca iria mais baixo do que o RAID 6 (paridade dupla), o que significa que você precisaria de outro disco rígido se quiser manter seus 9 TB de espaço utilizável.

Now I am wondering whether I should encrypt this RAID. The danger of someone getting physical access to the machine is rather low. Thus, it would be no problem if the decryption key could be easily read out of memory or even from another hard drive on the machine (the OS is stored on an unencrypted SSD).

A criptografia nunca é uma má ideia e não é difícil de fazer.

What I am more concerned about is what happens if a drive fails and I am not able to securely erase it before sending it to the manufacturer / recycling. My idea is, that with an encrypted data storage, I could simply take out one drive without having to worry about exposing any information.

Se o enviar de volta ao fabricante degauss primeiro, if reciclagem então Eu posso pensar de a número de ways to destruir o data .

The server should be able to boot up unattended. Therefore, a solution requiring someone to enter the password on each boot is not an option.

Tenho certeza de que há alguma maneira de fazer isso, mas por quê? Não faz sentido ter um volume criptografado se você quiser montá-lo automaticamente em formato não criptografado sem precisar digitar uma senha.

There is an option of purchasing a RAID controller which comes with built-in AES encryption. However, it's a bit more expensive.

Tem que pagar para jogar. Faça sua pesquisa antes de comprar. Por exemplo, não pense que você está comprando um controlador "hardware RAID" só porque você está comprando um pedaço de "hardware" que permite "RAID". A menos que você esteja gastando mais de US $ 250, provavelmente você não está obtendo um verdadeiro RAID de hardware. Uma maneira fácil de saber se você está obtendo um verdadeiro controlador RAID de hardware é comprar um com uma bateria de volta. Nenhum controlador RAID falso possui bateria de backup.

Are there any free, software-side solutions for Windows Server 2008 R2 for this? I read about BitLocker and TrueCrypt - however, I am not sure if they actually support unattended boot and access to the drive without someone physically entering the password.

O BitLocker e o TrueCrypt são as soluções gratuitas e já discutimos a inicialização automática. Há uma outra solução gratuita que corrigirá a maioria dos seus problemas se você estiver disposto a abandonar o Windows Server. Essa solução é FreeBSD ou um de seus disparos como FreeNAS . É software RAID (não é falso RAID). Os benefícios são numerosos, aqui estão alguns:

  1. Imagine que você compre uma boa placa RAID de hardware e 5 anos depois que a placa morrer. É melhor esperar que você consiga outro cartão que use os mesmos algoritmos de marcação que o seu cartão morto ou que seus dados estejam inacessíveis. Não é um problema com RAID de software porque os algoritmos de marcação estão embutidos no software, nenhum hardware especial é necessário.
  2. Você pode criptografar seus dados com o software RAID por muito mais barato (gratuito) do que o custo de uma boa placa RAID de hardware. Para ser justo, o RAID por hardware é mais rápido se as velocidades de super-gravação forem seu objetivo.

Leia em ZFS e, em seguida, pergunte-se se você realmente deseja armazenar os dados de seu interesse em um sistema de arquivos menor.

    
por 13.07.2013 / 05:31