Entdecken Sie, wie die Emulex Secure HBA-Verschlüsselung Daten während der Übertragung mit hardwareausgelagerter Sicherheit für Fibre Channel-SANs schützt.
Die zunehmende Komplexität und Häufigkeit von Cyberangriffen auf Unternehmensrechenzentren erfordern robuste und umfassende Sicherheitsmaßnahmen. Herkömmliche Firewall-basierte Ansätze reichen immer weniger aus, um vertrauliche Informationen zu schützen, insbesondere wenn Angreifer Schwachstellen in internen Datenströmen ausnutzen. Die Gewährleistung der Sicherheit von Daten während der Übertragung ist zu einem kritischen Schwerpunkt geworden, und die Verschlüsselung während der Übertragung bietet eine leistungsstarke Lösung, um Datenlecks und unbefugten Zugriff innerhalb von Storage Area Networks (SANs) zu verhindern.
Geben Sie die Sichere Fibre-Channel-Hostbusadapter von Emulex (HBAs), ein Durchbruch in Sachen Rechenzentrumssicherheit. Diese HBAs bieten eine robuste, sitzungsbasierte Verschlüsselung für Fibre Channel SANs und ermöglichen Unternehmen, einen Zero-Trust-Ansatz für den internen Datenverkehr zu verfolgen. Durch die Einhaltung strenger Standards wie dem kommenden Fibre Channel Security Protocol (FC-SP-3) und der Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) bieten Emulex Secure HBAs quantenresistente Verschlüsselung, die nahtlos in bestehende Infrastrukturen funktioniert. Insbesondere sind diese Lösungen hardwareentlastet, wodurch sichergestellt wird, dass Sicherheitsverbesserungen die Leistung nicht beeinträchtigen.
Kunden zögern aus verschiedenen Gründen, In-Flight-Verschlüsselungslösungen (EDIF) einzusetzen, darunter hohe Kosten, Komplexität und erhebliche Leistungseinbußen bei Anwendungen. Das Storagereview Lab-Team hat beim Vergleich von Software- und Hardware-Verschlüsselung dieselben Ergebnisse festgestellt und dokumentiert. Der Emulex Secure HBA widerlegt diese Theorien und setzt In-Flight-Verschlüsselung an die Spitze der Liste für die Verschlüsselung von Daten während der Übertragung, ohne die Serverleistung zu beeinträchtigen und gleichzeitig den Durchsatz ohne Kompromisse beizubehalten.
Ein weiterer großer Vorteil von Emulex Secure HBAs ist die nahtlose Integration, insbesondere für Anbieter von Speicherarrays. Da die Verschlüsselung vollständig auf die HBA-Hardware ausgelagert ist, können sich Speicheranbieter auf Leistung und arrayspezifische Funktionen konzentrieren, ohne sich mit einer umfangreichen Software-Reentwicklung herumschlagen zu müssen.
Diese einfache Einführung dürfte zu einer breiten Akzeptanz in der gesamten Branche führen. Das neueste Update der technischen Sicherheitsspezifikation für Fibre-Channel-Produkte der Fibre-Channel-Branche, INCITS Fibre Channel Security Protocol 3 (FC-SP-3), legt einen Standard für interoperable Fibre-Channel-Produkte fest. Dieses neueste Update umfasst die Definition von Protokollen zur Authentifizierung von Fibre-Channel-Einheiten, Protokolle zum Einrichten von Sitzungsschlüsseln und Protokolle zum Aushandeln der Parameter, die zur Gewährleistung der Frame-für-Frame-Integrität und Vertraulichkeit erforderlich sind.
Die Ingenieure von Emulex haben sich aktiv an der Entwicklung von Standards beteiligt, um sicherzustellen, dass Fibre Channel bei der Bewältigung der Sicherheitsherausforderungen moderner Rechenzentren eine Vorreiterrolle einnimmt. Angesichts des zunehmenden regulatorischen Drucks und der Entwicklung von Cyberbedrohungen stellt die Einführung von Emulex Secure HBAs sicher, dass SAN-Anbieter mit minimalem Aufwand robuste, zukunftssichere Sicherheitslösungen bereitstellen können. Für Unternehmen, die Fibre Channel verwenden, ist der aktuelle SP3-Standard ein entscheidender Schritt zur zukunftssicheren Datensicherheit.
In einer praktischen Demonstration veranschaulichen wir die Vorteile der Bereitstellung von Emulex Secure HBAs und zeigen, wie sie eine hohe Leistung bei kompromissloser Sicherheit bieten. Von der Verhinderung von Datenlecks bis hin zur Echtzeit-Anomalieerkennung stellen diese HBAs einen bedeutenden Fortschritt bei der Absicherung des Unternehmensrechenzentrums gegen moderne Bedrohungen dar.
Grundlegendes zur sicheren HBA-Technologie von Emulex
Übersicht über sitzungsbasierte Verschlüsselung und Zero-Trust-Prinzipien.
Sitzungsbasierte Verschlüsselung
Der Emulex Secure HBA ist eine einfache, sitzungsbasierte Verschlüsselungslösung. Die sitzungsbasierte Schlüsselverwaltungslösung, die auf dem neuen ANSI/INCITS FC-SP-3-Standard basiert, erfordert keine komplexe und unerschwinglich teure Schlüsselverwaltungssoftware. Das Einrichten einer Verschlüsselungssitzung zwischen einem Secure HBA und einem Speicherarray-Port ist einfach, funktioniert mit aktuellen SAN-Switches und erfordert keine Änderungen an der Fabric-Verwaltung. Die Einrichtung erfolgt vollständig in der Hardware. Beim Port-Login validieren beide Endpunkte die Sicherheitsfunktion, beginnen mit der Authentifizierung und Zuordnung und beginnen mit der Verschlüsselung von Fibre Channel-Frames. Die Aktualisierung des Sicherheitssitzungsschlüssels erfolgt automatisch ohne Verkehrsunterbrechung. Da dies alles in der Hardware erfolgt, sind keine Softwareänderungen erforderlich und die Multipath-Software bleibt unberührt. Die Lösung unterstützt die Abwärtskompatibilität durch automatische Aushandlung mit älteren Arrays, die möglicherweise nicht EDIF-fähig sind.
Zero-Trust
Zero-Trust-Sicherheit basiert auf dem Prinzip „Niemals vertrauen, immer überprüfen“ und stellt sicher, dass jede Zugriffsanforderung authentifiziert, autorisiert und kontinuierlich überwacht wird. Im Gegensatz zu herkömmlichen perimeterbasierten Modellen minimiert Zero-Trust das Risiko von Verstößen, indem es eine Identitätsüberprüfung erfordert und den Zugriff mit den geringsten Berechtigungen für Benutzer und Geräte erzwingt.
Die Implementierung von Zero-Trust-Sicherheit bietet mehrere wesentliche Vorteile. Die mit Zero-Trust implementierte kontinuierliche Überprüfung reduziert die gesamte Angriffsfläche. Es ist außerdem anpassungsfähig und unterstützt hybride Belegschaften, die Einführung der Cloud und eine nahtlose IoT-Integration. Natürlich steht die Einhaltung gesetzlicher Vorschriften in den meisten Ländern an erster Stelle. Zero-Trust entspricht strengen Datensicherheitsstandards, um den sich entwickelnden Vorschriften gerecht zu werden.
Zero-Trust gewährleistet durch den Einsatz von Technologien wie Multi-Faktor-Authentifizierung, Mikrosegmentierung und Verhaltensanalyse eine belastbare und anpassungsfähige Sicherheitslage, die für den Schutz vertraulicher Unternehmensdaten von entscheidender Bedeutung ist.
Der Secure HBA führt eine quantenresistente Silicon Root of Trust ein, um die Integrität der Firmware und des ASIC zu schützen.
Hardware-Offloaded-Verschlüsselung
Die hardwareentlastete Verschlüsselung verbessert Leistung und Sicherheit, indem kryptografische Aufgaben an dedizierte Hardware-Gates im HBA delegiert werden. Diese Entlastung verringert die Rechenlast der CPUs und beschleunigt gleichzeitig die Verschlüsselungsprozesse.
Hardware-Offloaded-Verschlüsselung sorgt für mehr Leistung. Dedizierte Hardware beschleunigt kryptografische Vorgänge und reduziert Latenz und Verarbeitung. CPU-Zyklen werden für andere Aufgaben freigegeben, was die Gesamteffizienz des Systems steigert. Der Einsatz isolierter Hardwaremodule macht das System manipulationssicher und reduziert Schwachstellen.
Dieser Ansatz ist besonders effektiv, um eine breite Nutzung innerhalb des Rechenzentrums zu ermöglichen, ohne die Gesamtleistung zu beeinträchtigen. Unternehmen können damit eine robuste, skalierbare und energieeffiziente Verschlüsselung erreichen, ohne die Leistung zu beeinträchtigen.
Die Vorteile demonstrieren
Plug-and-Play-Verschlüsselung nach Industriestandard
Emulex führte uns eine Demo durch, um die minimalen Leistungsunterschiede bei aktivierter und deaktivierter Verschlüsselung zu demonstrieren und zu sehen, wie viel Overhead diese Lösung den übertragenen Daten hinzufügt. Die folgenden Schritte beschreiben das Aktivieren oder Deaktivieren der Verschlüsselung auf den Emulex Secure FC Host HBAs. Die im Host und Array verwendeten HBAs waren die Emulex LPe38102 64G, die laut Emulex zu Testzwecken mit einem einfachen Treiberupdate innerhalb des Flash-Arrays funktionsfähig gemacht wurden.
Demo-Topologie
Emulex HBAs verarbeiten alle Encrypted Data In Flight (EDIF) in Hardware. Die HBAs verfügen über 8-Core-SoCs, die die Arbeitslast verwalten und die Datenpakete durch die Verschlüsselungs-Offload-Engine leiten. Da die Verschlüsselung ausgelagert ist, wird die Host-CPU von diesen Verschlüsselungsvorgängen nicht beeinträchtigt.
Die erste Übung bestand darin, eine TPROC-H-Arbeitslast auszuführen, die HammerDB als Datenbank-Loadgen mit deaktiviertem EDIF nutzt. Das Standardverhalten des Emulex Secure HBA besteht darin, EDIF bei der Verbindung mit kompatiblen Zielports zu aktivieren, aber auch Abwärtskompatibilität zuzulassen, wenn ein Ziel EDIF nicht unterstützt. Das Emulex-Dienstprogramm hbacmd wird verwendet, um die EDIF-Funktion des HBA-Ports zu deaktivieren und die Einstellungsänderung zu überprüfen.
Nachdem die Einstellung überprüft wurde, haben wir mit der Arbeitslast auf der Datenbank begonnen. Die leseintensive Demo zeigt, wie stark die 64G FC-Leitung genutzt wird, die für den Großteil des Tests problemlos die Leitungsrate erreichte.
Jetzt ist es an der Zeit, den Parameter zu ändern, um die Verschlüsselung auf dem HBA zu aktivieren. Auch hier wird das Emulex-Dienstprogramm hbacmd verwendet, um die EDIF-Funktion des HBA-Ports einzuschalten und die Einstellungsänderung zu überprüfen. Der folgende Bildschirm zeigt den Befehl und die Ausgabe. Durch einfaches Setzen des EDIF-Status auf 1 wird die Verschlüsselung während des Betriebs aktiviert. Setzen Sie den EDIF-Parameter edif-state=1. Die Meldung „Neue EDIF-Parametereinstellung wurde festgelegt“ wird angezeigt, wenn die Änderung akzeptiert wird. Damit die Änderungen am EDIF-Status wirksam werden, muss der Host neu gestartet werden.
Um zu überprüfen, ob die Änderung wirksam wurde, führen Sie den Befehl „hbacmd GetEDIFParams“ aus. Das Ergebnis zeigt an, dass der EDIF-Status aktiviert und die Option „Required-Encryption“ deaktiviert ist.
Um zu überprüfen, ob die Ports am HBA verbunden sind und EDIF aktiviert ist, führen Sie den Befehl „hbacmd GetConnectionInfo“ aus. Die Ausgabe sollte wie im Bild unten aussehen.
Wir haben die gleichen Abfragen mit aktivierter Verschlüsselung ausgeführt. Selbst mit aktivierter Verschlüsselung während der Übertragung waren die Ergebnisse denen bei deaktivierter Verschlüsselung sehr ähnlich. Die einzige Abweichung lässt sich durch die etwas geringere FC-Frame-Nutzlast erklären, die in den FC-Standards für Verschlüsselungsframing angegeben ist.
Emulex lieferte Leistungsdaten zu einer beliebten Datenbankverschlüsselungslösung unter Verwendung derselben Testkonfiguration wie zuvor. Bei Verwendung derselben AES-256-Verschlüsselungsstufe hat die Datenbankanwendung aufgrund des zusätzlichen Serververarbeitungsaufwands der Software Mühe, dieselbe Anwendungsleistung wie der HBA zu erbringen. Die TPROC-H-Benchmark-Metrik der Abschlusszeit für die 22 Datenbankabfragen ist für die Datenbank-Anwendungsstufenverschlüsselung 40 % länger, wobei die Festplattenbandbreite aufgrund der erhöhten Anwendungslatenz erheblich reduziert ist.
Insgesamt ist es spannend zu sehen, dass die Secure HBA-Verschlüsselung nur minimale Auswirkungen auf den Durchsatz oder die Latenz bei einer I/O-intensiven Datenbank-Workload hat und deutlich besser ist als die anwendungsbasierte Alternative.
Schlussfolgerung
Da Sicherheitsbedrohungen für Unternehmen immer umfangreicher und ausgefeilter werden, ist der Schutz von Daten während der Übertragung ebenso wichtig geworden wie die Sicherung von Daten im Ruhezustand. Herkömmliche Firewall-basierte Abwehrmaßnahmen und Software-Verschlüsselungslösungen führen zu Leistungseinbußen, die sich viele Unternehmen einfach nicht leisten können. Der Emulex Secure HBA ändert diese Gleichung, indem er standardbasierte, hardwareentlastete Verschlüsselung bietet, die sich nahtlos in vorhandene Server und Fibre Channel-SANs integrieren lässt.
Bei unseren Tests haben wir festgestellt, dass Emulex Secure HBAs In-Flight-Verschlüsselung praktisch ohne Leistungseinbußen ermöglichen und damit eine der größten Sorgen bei der Einführung von EDIF ausräumen. Da die Verschlüsselung vollständig auf den HBA ausgelagert wird, bleiben Speicherdienste wie Komprimierung und Deduplizierung erhalten, sodass Unternehmen nicht auf Kosten der Sicherheit Kompromisse bei der Effizienz eingehen müssen. Selbst bei I/O-intensiven Datenbank-Workloads waren die Auswirkungen vernachlässigbar – sowohl in puncto Geschwindigkeit als auch Effizienz waren sie herkömmlichen softwarebasierten Verschlüsselungsmethoden weit überlegen.
Die Plug-and-Play-Funktionalität dieser HBAs macht ihre Bereitstellung zudem unglaublich einfach, da keine größeren Änderungen an der SAN-Architektur oder am Speicherstapel erforderlich sind. Für Speicheranbieter ist dies eine reibungslose, hochwertige Sicherheitsverbesserung, die den INCITS FC-SP-3-Standards entspricht und Fibre Channel für die nächste Ära der Zero-Trust-Sicherheit positioniert.
Wir gehen davon aus, dass Emulex Secure HBAs im Jahr 2025 zu einer Standardebene der SAN-Sicherheit werden. Angesichts des zunehmenden Regulierungsdrucks und der anhaltenden Zunahme von Ransomware und Insider-Bedrohungen benötigen Unternehmen robuste, transparente und leistungsstarke Verschlüsselungslösungen, die keine neuen Engpässe verursachen. Der Emulex Secure HBA bietet genau das – ein zukunftssicheres Sicherheitsupgrade, das Unternehmen schon heute vertrauensvoll übernehmen können.
Dieser Bericht wird von Broadcom gesponsert. Alle in diesem Bericht geäußerten Ansichten und Meinungen basieren auf unserer unvoreingenommenen Sicht der betreffenden Produkte.
Beteiligen Sie sich an StorageReview
Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | RSS Feed
