🚀 TrueNAS – P19: ZFS Encryption Explained – Bảo Vệ Dữ Liệu Đúng Cách

Bảo vệ dữ liệu là yêu cầu bắt buộc trong mọi hệ thống lưu trữ hiện đại. Dù bạn đang vận hành homelab hay hệ thống NAS production, mã hóa luôn là một lớp bảo mật quan trọng.

Trong bài viết này, chúng ta sẽ giải thích cách Mã Hóa Dữ Liệu ZFS hoạt động trên TrueNAS và cách cấu hình đúng chuẩn.

Bạn sẽ hiểu rõ:

• Sự khác nhau giữa mã hóa dataset và quản lý key

• Khi nào encryption thực sự bảo vệ dữ liệu

• Passphrase và Key khác nhau ra sao

• Cách lock / unlock dataset

• Những sai lầm có thể khiến mất dữ liệu vĩnh viễn

Hiểu đúng về Mã Hóa Dữ Liệu ZFS là yếu tố then chốt trong triển khai NAS an toàn.

🔐 1️⃣ Tổng Quan Nhanh Về ZFS Encryption Trên TrueNAS SCALE

Trước khi cấu hình, cần hiểu rõ cơ chế hoạt động.

• ZFS Encryption only applies when CREATING a new dataset.
• Encryption cannot be enabled for datasets that already contain data.
• There are two types of key management:
Passphrase (enter password to unlock)
Key file (file key, can auto-unlock)

Điều này có nghĩa: bạn phải quyết định mã hóa ngay khi tạo dataset.

1.1. Mã Hóa Dữ Liệu ZFS Chủ Yếu Bảo Vệ Khi:

• Hard drive is removed
• Pool is moved to another machine
• NAS is stolen

ZFS Encryption bảo vệ data at rest, không phải bảo vệ khi hệ thống đang bị chiếm quyền root.

1.2. Lock / Unlock Dataset

Used to:

o Hide dataset from the system
o Prevent SMB/App/User access when unnecessary

• NOT a protection mechanism when the server is running and has been compromised (root access)

Điểm này rất quan trọng trong thiết kế bảo mật hệ thống.

🗂️ 2️⃣ Tạo Dataset Với Encryption (Chuẩn Nhất)

Đây là phương pháp tiêu chuẩn khi triển khai Mã Hóa Dữ Liệu ZFS.

Step 1: Go to Create Dataset

Storage → Pools → select Pool → Add Dataset

Step 2: Configure Encryption

In the Encryption Options section:

Encryption → ON

Encryption Type:
Passphrase (recommended for users) or Key

Algorithm:
Leave as default: AES-256-GCM (standard, secure, fast)

AES-256-GCM là tiêu chuẩn bảo mật cao, hiệu năng tốt và được khuyến nghị sử dụng.

Step 3: If You Choose Passphrase

• Enter Passphrase
• Confirm
SAVE PASSWORD EXTERNALLY
→ Losing passphrase = permanent data loss
Dataset auto-lock when TrueNAS reboot

Demo user login

Khi sử dụng passphrase:

• Dataset tự lock sau khi reboot

• Cần nhập mật khẩu để unlock

• Phù hợp môi trường yêu cầu bảo mật cao

🔓 3️⃣ Unlock / Lock Dataset Sau Khi Tạo

Sau khi bật encryption, bạn cần hiểu cách quản lý trạng thái dataset.

3.1. Unlock

Gui → Dataset → Unlock

• Enter passphrase or upload key

Sau khi nhập đúng thông tin, dataset sẽ được mở khóa.

3.2. Lock

By default, after creating a dataset with encryption enabled, the dataset will be unlocked. You can access it at this time.

To lock the dataset:

Gui → Dataset → Lock

• The dataset will disappear from SMB/NFS/Apps

Dataset sẽ không còn truy cập được cho đến khi unlock lại.

🔑 4️⃣ Nếu Chọn Key Cho ZFS Encrypt (Không Có Nút Unlock Thủ Công)

Key-based encryption hoạt động khác với passphrase.

Key is used for 2 main purposes:

Auto-unlock dataset on THAT server (Never locks even after TrueNAS reboot)
Unlock dataset when importing pool to ANOTHER server

Case 1: Trên Server Gốc

• Dataset: Encryption = Key
• The key is stored in the system by TrueNAS

Result:

• Boot NAS → dataset automatically unlocks
• NO manual locking
• SMB / Apps run normally

Phù hợp hệ thống production cần uptime liên tục.

Case 2: Chuyển Ổ Đĩa Sang Server Khác

Step 1: Connect the drive to another server

• Pool detected
• Dataset:

o In LOCK state
o Cannot be mounted

Because:

• The new server DOES NOT have the key

Step 2: Import Pool

Storage → Import Pool

• TrueNAS asks:

Upload encryption key

Step 3: Upload the key (the file you exported earlier)

• After uploading the correct key:

o Dataset UNLOCKED
o Data can be read normally

NO key = data is lost

Đây là điểm quan trọng nhất khi triển khai Mã Hóa Dữ Liệu ZFS.

⚠️ Những Sai Lầm Nghiêm Trọng Cần Tránh

1️⃣ Quên Passphrase
→ Mất dữ liệu vĩnh viễn

2️⃣ Không Export Key File
→ Không unlock được trên server mới

3️⃣ Bật Encryption Sau Khi Đã Có Dữ Liệu
→ Không thể áp dụng

4️⃣ Nghĩ Encryption Bảo Vệ Khi Root Bị Chiếm
→ Encryption chỉ bảo vệ khi data at rest

🏁 Kết Luận

Sau khi cấu hình đúng Mã Hóa Dữ Liệu ZFS:

• ✔️ Dữ liệu được bảo vệ khi ổ đĩa bị tháo

• ✔️ Pool di chuyển an toàn

• ✔️ NAS bị đánh cắp vẫn không đọc được dữ liệu

• ✔️ Linh hoạt giữa Passphrase và Key

• ✔️ Phù hợp triển khai doanh nghiệp

Mã Hóa Dữ Liệu ZFS là tính năng cực kỳ mạnh mẽ – nhưng chỉ an toàn khi quản lý key đúng cách.

Encryption mà không backup key còn nguy hiểm hơn không mã hóa.