本文对三家网络附加存储(NAS)供应商Qnap、Synology和Thecus公司的Atom-based NAS设备受数据加密的影响程度进行了测试。

　　当你为中小企业选择更高端的网络存储设备时，你会发现有一些增值功能，例如加密存储数据来提高安全性的功能。根据供应商的不同，实现数据加密的方式也有所不同，有些供应商在分区级部署加密，而另一些则在文件级加密。

　　由于很多关注敏感信息保护的专业用户对这些功能很感兴趣，我们决定对几个NAS设备的加密功能进行测试，这包括：Qnap公司的TS-459 Pro、Synology公司的DS1010+以及Thcus的N4200。

　　通过专用加密单元加速?

　　这三个NAS设备都使用了对称密钥加密AES(高级加密标准)，密钥长度为256位。这种加密标准被普遍认为是很安全的，并被运用于各行各业，包括政府职能部门(美国政府批准使用这种加密标准来加密文件)。对于USB闪存驱动器或者硬盘驱动器，则很少使用AES，由于数据加密的计算成本很高，经常要配合专用加密/解密处理器，来加速加密过程。

　　英特尔公司为其产品32 nm Clarkdale-based Core i5台式机CPU、六核Gulftown处理器和第二代Core i5以及Core i7芯片加入AES-NI后，我们看到了专用加速硬件的确能够显著提高加密/解密处理速度。

　　不可避免的性能损失

　　不幸的是，来自三家供应商的测试设备都没有专用硬件加密单元，也就是说，数据加密将直接影响这些网络存储设备的性能。因此，如果你计划使用加密功能，该功能必须由NAS设备的主机处理器来处理。在我们的测试产品中，都是采用英特尔Atom D510,并没有能够加速数据加密的AES-NI的支持。

　　双核Atom处理器还需要为NAS设备的RAID阵列处理XOR操作，这占了100MB/s或更高的(在千兆以太网中)数据传输率。当你部署计算密集型加密计算时，网络性能必然会受到影响。那么为了保护数据安全，你究竟需要牺牲多少网络性能呢?让我们看看!

　　Thecus N4200

　　这些NAS产品的性能和配置都不相同：

　　Thecus公司将N4200定位为中小型企业解决方案，售价约为660美元。用户可以为这个NAS产品配备多达4个硬盘驱动器，适用RAID 0、1、5、6或10。你还可以将N4200与iSCSI整合。N4200配备为英特尔双核Atom D510处理器和1GB DDR2 SDRAM。

　　加密设置

　　可以简单通过Thecus的web界面找到加密设置，与另外两个测试产品类似。当创建一个RAID阵列时，你可以启用加密功能。在阵列建立后，其存储空间将通过分区级的方法被全面加密。加密密码可以是由1到16个字符组成的任何字符串。

　　这里还有一个有趣的细节：当你在Thecus的NAS创建一个加密分区时，你需要将外部驱动器连接到N4200的USB端口。当然，这只是小问题。在实际操作中，你可能需要使用一个U盘来存储解密密钥。

　　使用USB驱动器进行重启

　　加密过程完成后，USB驱动器可以移除。Thecus建议你备份一份密钥副本，将USB驱动器和副本文件都放在安全的地方。

　　当你迁移或者扩展RAID配置时，也需要这个USB驱动器，用完后，记得将它放回安全位置。

　　在创建RAID配置时，你必须选择“加密”选项，并输入一个密码才能使用这个功能。

　　当创建加密分区时，Thecus会弹出对话框提醒你需要使用USB驱动器，并且该驱动器需保管在安全的位置。但对话框不会提及加密可能会减缓数据吞吐量，PDF手册中才能看到。

　　选择加密模式后，必须输入一个密码，并且根据你输入的内容将会生成一个加密/解密密钥文件。

　　挂锁图标表明，加密操作已经成功完成。

　　请注意：如果没有使用这个USB驱动器启动NAS，它并不会显示有任何可用的RAID配置。

　　用于加密/解密的密钥文件存储在外部驱动器中，请将驱动器保管在安全的位置，防止未经授权访问。

　　Qnap TS-459 Pro

　　Qnap TS-459 Pro也是英特尔双核Atom D510处理器和1GB DDR2 SDRAM、iSCSI功能，以及四个硬盘驱动器托架，可用于RAID 0、1、5和6。NAS设备在正常操作下提供约100MB/s的连续数据传输率，这个传输率在不同RAID模式也略有不同。

　　加密：密码或者密钥文件

　　与Thecus设备一样，Qnap也使用分区级加密，通过标准工具(如Linux dm-crpt和cryptsetup)来实现。你不需要依赖于命令提示符来设置加密，也可以通过web界面来完成。你不能为现有RAID分区启用加密，只有在创建分区时才能启用加密。

　　设置过程与Thecus NAS的激活加密相当类似。

　　你需要激活加密功能，然后在创建已启用加密功能的RAID阵列时选择一个密码。“Save Encryption Key(保存加密密钥)”选项可以将密码保存在NAS设备上，这意味着在重新启动后，加密分区将自动被打开并整合到系统配置。认为这里存在潜在漏洞的用户也可以禁用这个选项，并在重启NAS后，在web管理界面通过手动输入密码来解开加密分区。

　　Qnap NAS设备的密码要求为8到16个字符。

　　我们也收到警告提示，确定操作后将清除硬盘驱动器上的所有数据。

　　在加密RAID阵列创建后，可以通过菜单选项“Encrypted File System(加密文件系统)”对加密设置进行修改，例如从设置中删除保存的密码或者修改加密RAID阵列的密码。

　　有保存，必须通过web界面进行手动输入，或者你可以使用密钥文件。

　　Synology DS1010+

　　Synology DS1010+也是英特尔双核Atom D510处理器和1GB DDR2 SDRAM。但是与Qnap和Thecus的设备不同，它是在文件级进行数据加密，而不是分区级，并且是通过eCryptfs，这与流行的TrueCrypt软件很类似。这种加密方法创建了一个可以根据动态需求调整尺寸的容器，保存在这些容器文件中的数据是单独加密的，不过，用于解密这些文件的信息被保存在未加密的文件头中。在下面的截图中，我们可以看到如何创建一个容器，以及加密文件的哪些信息会直接显示在Linux控制台中。

　　由于Synology使用eCryptfs，在启用加密之前，RAID阵列必须进行配置才能进行下一步操作。而设置加密可以在配置文件或者文件夹共享时完成。

　　在共享文件夹时，web界面有一个菜单栏“Encrypt this shared folder(加密此共享文件夹)”，这也需要用户输入一个密码字符串，至少8个字符。

　　如果选择了菜单栏“Mount automatically on startup(启动时自动安装)”，密码将被存储在NAS设备中。该选项可以让你在重启设备后自动安装加密文件夹，但与Qnap NAS一样，如果你担心安全问题，就不要使用该功能。

　　同样的，这里也有弹出一个对话框警告用户将密钥放在安全位置，还有加密可能对性能造成损失，以及文件夹不可通过NFS访问。

　　确认操作后，加密文件夹在几秒钟内就可以使用了，从你输入的密码生成的密钥文件也可以自动访问了。

　　如果你没有选择将加密密码存储在NAS中，你仍然可以在重启后访问加密文件夹，通过在web界面输入密码或者通过使用下载的密钥文件。

　　如果加密文件不是通过eCryptfs安装的，当在Linux控制台显示驱动器内容时，你会看到一串看不懂的字母。当使用密码安装后，显示就正常了。

　　这三个测试产品的NAS服务器都配备了相同的英特尔双核Atom D510处理器和1GB DDR2 SDRAM，而Synology DS1010+有五个驱动托架，有点与众不同。

　　在看到第一批测试结果后，我们决定不在所有可用的RAID模式进行测试，理由在下文中将谈到。

　　测试配置

　　英特尔NAS性能工具包

　　我们使用英特尔NAS性能工具包来测试NAS设备。

　　测试中使用的NAS固件版本如下：

　　• Thecus N4200: 3.00.12

　　• Qnap TS-459 Pro: 323 (0209T)

　　• Synology DS1010+: 2.3-1161

　　• 当配置标准、非加密分区/文件夹时，这些NAS服务器在数据传输率测试中都表现不错。Qnap和Synology在录制视频文件时，数据传输率甚至超过了100MB/s。

　　• 启用加密后的性能基本一致，然而关闭加密后的性能差别非常大，尤其是对比Synology和Qnap的设备。

　　• 总体来说，加密NAS设备造成的性能损失是巨大的，只剩下正常数据传输率的五分之一，分区级和文件级加密基本没差别。

　　• 在“高清视频播放”测试中也可以看到相同的结果，虽然驱动器没有加密时，数据传输率有所不同，而在开启加密后，性能几乎一样。

　　• 当从NAS传输小文件时，差别并不大，而当启用加密时，性能下降了50%以上。

　　• 备份测试的测试结果与“高清视频播放”的结果一样让人失望，性能损失达到80%，开启加密后，这些NAS设备的性能还是基本一致。

　　• 在其他测试中情况都很类似，尽管Thecus N200比其竞争对手略快。在已启用加密的RAID 1“办公生产力”测试中，第一名竟然只有29.6MB/s，我们不知道为什么会这样。我们甚至怀疑是不是测试设置有问题，但在仔细检查测试设置和设备，并多次运行测试后，我们排除了这个可能。

　　结语

　　本测试中的NAS服务器都是为商业环境或者半专业环境设计的，这从它们的价格中可以反映出来。Thecus N4200售价约为460美元，而Synology DS1010+和Qnap TS-459 Pro售价略高一点。

　　在很多情况下，这种售价也提高了人们的期望，他们通常认为存储在NAS服务器的数据确实是安全的，并认为即使服务器阵列的硬盘驱动器出现鼓掌，仍然能够重建配置，并保持数据的可用性。这三个NAS服务器提供多种RAID模式和备份功能，当配置得当时，它们的确可以防止数据丢失。

　　盗窃造成的数据丢失

　　很多情况都可能造成数据丢失。如果RAID 1阵列的磁盘被偷?整个NAS被偷?这些都可能发生，特别是当你的网络存储安装在零售商店或者医生办公室时。最好将这些NAS服务器锁起来。

　　Thecus和Qnap的产品还配备了可锁定驱动器托架，这意味着，最高明的盗贼都无法在不破坏建筑结构的情况下偷走硬盘驱动器。

　　加密，防止窥视的眼睛

　　防止数据被窥视的最好方法就是加密磁盘内容，Thecus和Qnap将加密运用到整个分区，而Synology只允许用户加密指定文件夹。

　　性能作为代价

　　性能方面，这些测试的产品并没有太大区别。缺乏加密加速手段使加密对性能造成巨大影响。

　　这三个产品的磨人数据传输率在很多测试中都旗鼓相当，虽然Thecus N4200略胜一筹。不过，必须指出的是，加密性能仍然有很大的改进空间。配备专用硬件加密但愿将对数据传输率带来非常积极的影响。英特尔的双核Atom D510在日常使用中提供了不错的性能，但是对于加密功能，对数据传输率的影响让人震惊。希望英特尔公司在这方面能有新的产品推出。

　　可用性和灵活性

　　在使用加密功能方面，Thecus采用了最复杂的部署方法。为了解开加密分区，N4200需要连接一个外部驱动器，随后在操作过程中将被移除，并需要保存在安全的位置。

　　Qnap处理加密分区的方法也很复杂，Synology提供了最灵活的单文件加密解决方案。在Thecus和Qnap产品中，加密必须进行提前配置，Synology的设备可以动态调整尺寸。这里的优点就是，可以对最敏感的文件夹进行选择性加密，其他共享文件或者文件夹则不会受到加密造成的性能损失的影响。此外，现有文件或文件夹可以稍后进行加密，而不用在创建的时候加密。

　　如果你担心安全问题，那么你绝对不应该做的事情就是，将解密分区或者文件的密码串保存在NAS本身。安全通常需要付出一定代价，但是毫无疑问你应该选择重启NAS后通过手动输入密码来访问加密的分区或者文件。