DS923+ Bestücken - Empfehlungen

[Ponti]

Könntest Du evtl. kurz erläutern wie Du die Verschlüsselung mangest? Also Entschlüsselung per USB-Stick etc? Wie garantierst Du, dass der Schlüssel nicht mal abhanden kommt.

Ok, also was die Volumes angeht, dass die Festplatten nach Ausbau nicht auslesbar sind - ist nachvollziehbar.

 

[maxblank]

Entschlüsselung der Ordner erfolgt manuell über ein entsprechend starkes Kennwort mit händischer Eingabe.
Dieser liegt in einem Passwort-Manager und ist für insgesamt 3 Leute im Notfall erreichbar. Im Tagesgeschäft nur für mich. Klingt nach mehr Aufwand wie es tatsächlich ist, da die 24/7/365 laufen.

Der berechtigte User ist per 2FA abgesichert. Zur Sicherheit und als Backup liegen die entsprechenden Entschlüsselungskeys auf einem Datenträger in einem Bankschließfach.

Key für die Volumenverschlüsselung liegen zentral auf dem NAS und entschlüsseln dieses momentan automatisch beim Start. Test mit KMIP-Server laufen derzeit und sind mein nahes Ziel in der Zukunft.

https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/connection_security_kmip?version=7

 

[Ponti]

Danke Dir! Meine Sorge ist halt bei Verschlüsselung dann irgendwann mal ausversehen selbstverschuldet oder aufgrund von einer Datenträgerpanne selbst keinen Zugriff mehr drauf zu haben.

Der berechtigte User ist per 2FA abgesichert. Zur Sicherheit und als Backup liegen die entsprechenden Entschlüsselungskeys auf einem Datenträger in einem Bankschließfach.

Um welchen Key geht es an dieser Stelle?

Muss/sollte der Volumen-Key auch anderweitig (außerhalb der NAS) gesichert werden?

 

[maxblank]

Bei der Verschlüsselung erzeugt das NAS bzw. DSM immer automatisch eine Datei mit Verschlüsselungs-Key und diese wird heruntergeladen. Bei der Volumenverschlüsselung kann dieser nur intern im Tresor des Filesystems zur automatischen Entschlüsselung auf dem NAS abgelegt werden.
Ansonsten nur auf einem separaten Synology NAS, welches erreichbar sein muss.

Zum Thema Backup: Wiederherstellung des verschlüsselten Backups testen. Da reicht ja zu Testzwecken eine einfache Datei aus dem Backup aus.

 

[Ponti]

Danke für die Rückmeldung. Aber ich verstehe den zitierten Teil immer noch nicht im Kontext. Welchen Key ist hast du in einem Bankschließfach? Die Keys für die verschlüsselten Ordner?

 

[maxblank]

Für die verschlüsselten Ordner…

 

[Ponti]

Danke - ja, für bestimmte Ordner werde ich es wohl auch anwenden. Aber beim ganzen Volume bin ich noch nicht so richtig überzeugt...

 

[Ponti]

Macht es Sinn, erst mal alle HDDs und SSDs auf Fehler zu testen?
Was für ein Tool würdet ihr da empfehlen?

 

[ctrlaltdelete]

Ja und nein, ich habe es ganz früher mal gemacht, DSM bietet das bei der Installation auch an. Mittlerweile verzichte ich darauf.

 

[Thonav]

Schließe mich dem an...

 

[Ponti]

So, fast alles soweit drin und läuft. Danke euch.
Habe viele Themenspezifische Fragen. Würde dazu dann in den jeweiligen Board-Bereichen Beiträge eröffnen. Sonst zu sehr Offtoppic hier.