Descubra cómo el cifrado Emulex Secure HBA protege los datos en tránsito con seguridad descargada por hardware para SAN de canal de fibra.
La creciente sofisticación y frecuencia de los ciberataques a los centros de datos empresariales exige medidas de seguridad sólidas y completas. Los enfoques tradicionales basados en cortafuegos son cada vez más inadecuados para proteger la información confidencial, en particular porque los atacantes explotan las vulnerabilidades en los flujos de datos internos. Garantizar la seguridad de los datos en tránsito se ha convertido en un objetivo fundamental, y el cifrado en tránsito ofrece una solución poderosa para evitar las violaciones de datos y el acceso no autorizado dentro de las redes de área de almacenamiento (SAN).
Escriba el Adaptadores de bus host de canal de fibra seguro Emulex (HBAs), un gran avance en la seguridad de los centros de datos. Estos HBAs ofrecen un cifrado sólido basado en sesiones para las SAN de canal de fibra, lo que permite a las empresas adoptar un enfoque de confianza cero para el tráfico de datos interno. Con el cumplimiento de estándares estrictos como el próximo Protocolo de seguridad de canal de fibra (FC-SP-3) y el Conjunto de algoritmos de seguridad nacional comercial 2.0 (CNSA 2.0), los HBAs seguros de Emulex proporcionan un cifrado resistente a la tecnología cuántica que funciona sin problemas dentro de las infraestructuras existentes. Cabe destacar que estas soluciones no requieren hardware, lo que garantiza que las mejoras de seguridad no comprometan el rendimiento.
Los clientes se han mostrado reacios a implementar soluciones de cifrado en tránsito (EDIF) por varias razones, entre ellas, el alto coste, la complejidad y la importante degradación del rendimiento de las aplicaciones. El equipo de Storagereview Lab ha experimentado y documentado los mismos resultados al comparar el cifrado de software con el de hardware. El HBA seguro de Emulex está listo para disipar esas teorías y poner el cifrado en tránsito en lo más alto de la lista para cifrar datos en tránsito sin afectar al rendimiento del servidor y manteniendo un rendimiento sin concesiones.
Otra de las ventajas significativas de los HBA seguros de Emulex es su integración perfecta, en particular para los proveedores de matrices de almacenamiento. Con el cifrado totalmente descargado en el hardware del HBA, los proveedores de almacenamiento pueden mantener su enfoque en el rendimiento y las funcionalidades específicas de la matriz sin la carga de una reingeniería de software exhaustiva.
Se espera que esta facilidad de adopción impulse una aceptación generalizada en toda la industria. La última actualización de la especificación técnica de seguridad para productos de Fibre Channel, INCITS Fibre Channel Security Protocol 3 (FC-SP-3), establece un estándar para productos de Fibre Channel interoperables. Esta última actualización incluye la definición de protocolos para autenticar entidades de Fibre Channel, protocolos para configurar claves de sesión y protocolos para negociar los parámetros necesarios para garantizar la integridad y confidencialidad cuadro por cuadro.
Los ingenieros de Emulex han participado activamente en el desarrollo de estándares para garantizar que Fibre Channel siga estando a la vanguardia en la resolución de los desafíos de seguridad que exigen los centros de datos modernos. A medida que aumentan las presiones regulatorias y evolucionan las amenazas cibernéticas, la adopción de los HBA seguros de Emulex garantiza que los proveedores de SAN puedan proporcionar soluciones de seguridad sólidas y preparadas para el futuro con un mínimo esfuerzo. Para las empresas que utilizan Fibre Channel, el estándar SP3 actual es un paso crucial para preparar la seguridad de los datos para el futuro.
A través de una demostración práctica, ilustraremos los beneficios de implementar los HBA seguros de Emulex, mostrando su capacidad para mantener un alto rendimiento y, al mismo tiempo, brindar una seguridad absoluta. Desde la prevención de fugas de datos hasta la detección de anomalías en tiempo real, estos HBA representan un avance significativo en la protección del centro de datos empresarial contra las amenazas modernas.
Comprensión de la tecnología HBA segura de Emulex
Descripción general del cifrado basado en sesiones y los principios de confianza cero.
Cifrado basado en sesiones
El HBA seguro de Emulex es una solución de cifrado simple basada en sesiones. La solución de administración de claves basada en sesiones, basada en el estándar emergente ANSI/INCITS FC-SP-3, no requiere un software de administración de claves complejo y prohibitivamente costoso. Establecer una sesión de cifrado entre un HBA seguro y un puerto de matriz de almacenamiento es simple, funciona con los conmutadores SAN actuales y no requiere ningún cambio en la administración de la estructura. Se realiza completamente en hardware, al iniciar sesión en el puerto, ambos puntos finales validarán la capacidad de seguridad, comenzarán la autenticación y la asociación, y comenzarán a cifrar los marcos de canal de fibra. La actualización de la clave de sesión de seguridad se realiza automáticamente sin interrupción del tráfico. Dado que todo esto se realiza en hardware, no se necesitan cambios de software y el software Multipath no se ve afectado. La solución admite la compatibilidad con versiones anteriores mediante la negociación automática con matrices más antiguas que pueden no ser compatibles con EDIF.
Cero confianza
La seguridad de confianza cero se basa en el principio de “nunca confiar, siempre verificar”, lo que garantiza que cada solicitud de acceso se autentique, autorice y controle de forma continua. A diferencia de los modelos tradicionales basados en perímetros, la confianza cero minimiza el riesgo de infracciones al exigir la verificación de identidad y aplicar el acceso con privilegios mínimos para los usuarios y dispositivos.
La implementación de la seguridad Zero-Trust tiene varias ventajas fundamentales. La verificación continua implementada con Zero-Trust reduce la superficie de ataque general. También es adaptable, lo que permite trabajar con fuerzas de trabajo híbridas, adoptar la nube y lograr una integración perfecta con IoT. Por supuesto, el cumplimiento normativo es una de las principales preocupaciones de la mayoría de los países. Zero-Trust se alinea con los estrictos estándares de seguridad de datos para cumplir con las regulaciones en constante evolución.
La confianza cero garantiza una postura de seguridad resiliente y adaptable, fundamental para proteger datos confidenciales de la organización aprovechando tecnologías como la autenticación multifactor, la microsegmentación y el análisis del comportamiento.
El HBA seguro introduce una raíz de confianza de silicio resistente a la tecnología cuántica para proteger la integridad del firmware y el ASIC.
Cifrado descargado por hardware
El cifrado sin carga de hardware mejora el rendimiento y la seguridad al delegar tareas criptográficas a puertas de hardware dedicadas dentro del HBA. Esta descarga reduce la carga computacional en las CPU y, al mismo tiempo, acelera los procesos de cifrado.
El cifrado sin hardware ofrece un mayor rendimiento. El hardware dedicado acelera las operaciones criptográficas y reduce la latencia y el procesamiento. Los ciclos de la CPU se liberan para otras tareas, lo que aumenta la eficiencia general del sistema. La implementación de módulos de hardware aislados lo hace resistente a la manipulación y reduce las vulnerabilidades.
Este enfoque es particularmente eficaz para permitir un uso amplio dentro del centro de datos sin afectar el rendimiento general. Permite a las organizaciones lograr un cifrado sólido, escalable y energéticamente eficiente sin comprometer el rendimiento.
Demostrando los beneficios
Cifrado plug-and-play estándar de la industria
Emulex nos mostró una demostración para mostrar las diferencias mínimas de rendimiento con el cifrado habilitado y deshabilitado para ver cuánta sobrecarga agrega esta solución a los datos en tránsito. Los pasos a continuación describen cómo habilitar o deshabilitar el cifrado en los HBA del host Emulex Secure FC. Los HBA utilizados en el host y la matriz fueron los Emulex LPe38102 64G, que Emulex nos dijo que se hicieron funcionales dentro de la matriz flash con una simple actualización del controlador para fines de prueba.
Topología de demostración
Los HBA de Emulex procesan todos los datos cifrados en tránsito (EDIF) en hardware. Los HBA tienen SoC de 8 núcleos, que administran la carga de trabajo y dirigen los paquetes de datos a través del motor de descarga de cifrado. Dado que el cifrado se descarga, la CPU del host no se ve afectada por esas operaciones de cifrado.
El primer ejercicio fue ejecutar una carga de trabajo TPROC-H aprovechando HammerDB como generador de carga de base de datos con EDIF deshabilitado. El comportamiento predeterminado de Emulex Secure HBA es habilitar EDIF cuando se conecta a puertos de destino compatibles, pero también permite la compatibilidad con versiones anteriores si un destino no admite EDIF. La utilidad hbacmd de Emulex se utiliza para desactivar la función EDIF del puerto HBA y verificar el cambio de configuración.
Una vez verificada la configuración, comenzamos la carga de trabajo en la base de datos. La demostración con uso intensivo de lectura muestra cuánto se utiliza la tubería FC de 64 G, que alcanzó fácilmente la velocidad de línea para la mayor parte de la prueba.
Ahora, es momento de cambiar el parámetro para habilitar el cifrado en el HBA. Nuevamente, se utiliza la utilidad hbacmd de Emulex para activar la función EDIF del puerto HBA y verificar el cambio de configuración. La pantalla a continuación muestra el comando y el resultado. Simplemente al configurar el estado EDIF en 1 se activa el cifrado en curso. Establezca el parámetro EDIF edif-state=1. Se mostrará el mensaje “Se ha establecido un nuevo parámetro EDIF” si se acepta el cambio. Será necesario reiniciar el host para que los cambios en el estado EDIF surtan efecto.
Para verificar que el cambio haya tenido efecto, ejecute el comando “hbacmd GetEDIFParams”. El resultado indica que el estado EDIF está habilitado y la opción Required-Encryption está deshabilitada.
Para verificar que los puertos del HBA estén conectados y que EDIF esté habilitado, ejecute el comando “hbacmd GetConnectionInfo”. El resultado debería verse como la imagen a continuación.
Ejecutamos el mismo conjunto de consultas con el cifrado habilitado. Incluso con el cifrado habilitado en vuelo, los resultados fueron muy similares a los obtenidos cuando el cifrado estaba deshabilitado; la única variación se explica por la carga útil de la trama FC ligeramente menor, tal como se especifica en los estándares FC para la trama de cifrado.
Emulex proporcionó datos de rendimiento sobre una solución de cifrado de base de datos popular utilizando la misma configuración de prueba destacada anteriormente. Al utilizar el mismo nivel de cifrado AES-256, la aplicación de base de datos tiene dificultades para proporcionar el mismo nivel de rendimiento de aplicación que el HBA debido a la sobrecarga de procesamiento del servidor adicional del software. La métrica de referencia TPROC-H del tiempo de finalización para las 22 consultas de base de datos es un 40 % más larga para el cifrado a nivel de aplicación de base de datos, con una reducción significativa en el ancho de banda del disco debido a la mayor latencia de la aplicación.
En general, es emocionante ver que el cifrado HBA seguro tiene un impacto mínimo en el rendimiento o la latencia en una carga de trabajo de base de datos con uso intensivo de E/S y es significativamente mejor que la alternativa basada en aplicaciones.
Conclusión
A medida que las amenazas a la seguridad empresarial crecen en escala y sofisticación, proteger los datos en movimiento se ha vuelto tan crítico como proteger los datos en reposo. Las defensas tradicionales basadas en firewall y las soluciones de cifrado de software presentan desventajas en el rendimiento que muchas organizaciones simplemente no pueden permitirse. El HBA seguro de Emulex cambia esa ecuación al ofrecer cifrado basado en estándares y sin carga de hardware que se integra perfectamente en los servidores existentes y las SAN de canal de fibra.
En nuestras pruebas, descubrimos que los HBA seguros de Emulex permiten el cifrado en tiempo real prácticamente sin afectar el rendimiento, lo que resuelve una de las mayores preocupaciones en torno a la adopción de EDIF. Con el cifrado totalmente descargado en el HBA, los servicios de almacenamiento como la compresión y la deduplicación permanecen intactos, lo que garantiza que las empresas no tengan que sacrificar la eficiencia por la seguridad. Incluso en cargas de trabajo de bases de datos con uso intensivo de E/S, el impacto fue insignificante, superando ampliamente a los métodos de cifrado basados en software tradicionales tanto en velocidad como en eficiencia.
La naturaleza plug-and-play de estos HBA también los hace increíblemente fáciles de implementar, sin necesidad de realizar cambios importantes en la arquitectura SAN o la pila de almacenamiento. Para los proveedores de almacenamiento, se trata de una mejora de seguridad de alto valor y baja fricción que se alinea con los estándares INCITS FC-SP-3 y, al mismo tiempo, posiciona a Fibre Channel para la próxima era de seguridad de confianza cero.
De cara al futuro, esperamos que los HBA seguros de Emulex se conviertan en una capa estándar de seguridad SAN en 2025. Con las crecientes presiones regulatorias y el continuo aumento del ransomware y las amenazas internas, las empresas necesitan soluciones de cifrado sólidas, transparentes y de alto rendimiento que no creen nuevos cuellos de botella. El HBA seguro de Emulex ofrece exactamente eso: una actualización de seguridad a prueba de futuro que las empresas pueden adoptar hoy con confianza.
Este informe está patrocinado por Broadcom. Todas las opiniones y puntos de vista expresados en este informe se basan en nuestra opinión imparcial sobre el producto o productos en cuestión.
Interactuar con StorageReview
Boletín informativo | Canal de YouTube | Podcast iTunes/Spotify | @Instagram | Twitter | @TikTok | RSS Feed
