Scopri come la crittografia Emulex Secure HBA protegge i dati in transito con sicurezza hardware-offloaded per SAN Fibre Channel.
La crescente sofisticatezza e frequenza degli attacchi informatici sui data center aziendali richiedono misure di sicurezza solide e complete. Gli approcci tradizionali basati su firewall sono sempre più inadeguati per proteggere le informazioni sensibili, in particolare perché gli aggressori sfruttano le vulnerabilità nei flussi di dati interni. Garantire la sicurezza dei dati in transito è diventato un obiettivo fondamentale e la crittografia in-flight offre una soluzione potente per prevenire violazioni dei dati e accessi non autorizzati all'interno delle reti di archiviazione (SAN).
Inserire il Adattatori Host Bus Emulex Secure Fibre Channel (HBA), una svolta nella sicurezza dei data center. Questi HBA forniscono una crittografia robusta basata su sessione per SAN Fibre Channel, consentendo alle aziende di adottare un approccio zero-trust al traffico dati interno. Con la conformità a standard rigorosi come il prossimo Fibre Channel Security Protocol (FC-SP-3) e Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), gli HBA Emulex Secure forniscono una crittografia resistente ai quanti che funziona senza problemi all'interno delle infrastrutture esistenti. In particolare, queste soluzioni sono hardware-offloaded, garantendo che i miglioramenti della sicurezza non compromettano le prestazioni.
I clienti sono stati riluttanti a implementare soluzioni di crittografia in-flight (EDIF) per diversi motivi, tra cui costi elevati, complessità e notevole degrado delle prestazioni delle applicazioni. Il team di Storagereview Lab ha sperimentato e documentato gli stessi risultati confrontando la crittografia software con quella hardware. Emulex Secure HBA è pronto a dissipare queste teorie e a mettere la crittografia in-flight in cima alla lista per la crittografia dei dati in volo senza schiacciare le prestazioni del server, mantenendo al contempo una produttività senza compromessi.
Un altro dei vantaggi significativi degli Emulex Secure HBA è la loro integrazione senza soluzione di continuità, in particolare per i vendor di array di storage. Con la crittografia completamente scaricata sull'hardware HBA, i vendor di storage possono concentrarsi sulle prestazioni e sulle funzionalità specifiche dell'array senza l'onere di un'ampia riprogettazione del software.
Questa facilità di adozione dovrebbe portare a un'ampia accettazione nel settore. L'ultimo aggiornamento delle specifiche tecniche di sicurezza per i prodotti Fibre Channel del settore Fibre Channel, INCITS Fibre Channel Security Protocol 3 (FC-SP-3), stabilisce uno standard per i prodotti Fibre Channel interoperabili. Questo ultimo aggiornamento include la definizione di protocolli per autenticare le entità Fibre Channel, protocolli per impostare le chiavi di sessione e protocolli per negoziare i parametri richiesti per garantire l'integrità e la riservatezza frame-by-frame.
Gli ingegneri Emulex sono stati attivamente coinvolti nello sviluppo degli standard per garantire che Fibre Channel rimanga in prima linea nell'affrontare le sfide di sicurezza richieste dal moderno data center. Con l'aumento delle pressioni normative e l'evoluzione delle minacce informatiche, l'adozione di Emulex Secure HBA garantisce che i fornitori di SAN possano fornire soluzioni di sicurezza solide e a prova di futuro con il minimo sforzo. Per le aziende che utilizzano Fibre Channel, l'attuale standard SP3 è un passaggio cruciale per la sicurezza dei dati a prova di futuro.
Attraverso una dimostrazione pratica, illustreremo i vantaggi dell'implementazione di Emulex Secure HBA, mostrando la loro capacità di mantenere elevate prestazioni offrendo al contempo una sicurezza senza compromessi. Dalla prevenzione della perdita di dati all'abilitazione del rilevamento delle anomalie in tempo reale, questi HBA rappresentano un significativo passo avanti nella protezione del data center aziendale dalle minacce moderne.
Informazioni sulla tecnologia Emulex Secure HBA
Panoramica sulla crittografia basata sulla sessione e sui principi zero-trust.
Crittografia basata sulla sessione
Emulex Secure HBA è una soluzione di crittografia semplice basata su sessione. La soluzione di gestione delle chiavi basata su sessione, basata sullo standard emergente ANSI/INCITS FC-SP-3, non richiede software di gestione delle chiavi complesso e proibitivamente costoso. Stabilire una sessione di crittografia tra un Secure HBA e una porta dell'array di archiviazione è semplice, funziona con gli attuali switch SAN e non richiede alcuna modifica alla gestione del fabric. Eseguito completamente in hardware, al momento dell'accesso alla porta, entrambi gli endpoint convalideranno la capacità di sicurezza, inizieranno l'autenticazione e l'associazione e inizieranno a crittografare i frame Fibre Channel. L'aggiornamento della chiave di sessione di sicurezza avviene automaticamente senza interruzione del traffico. Poiché tutto ciò avviene in hardware, non sono necessarie modifiche al software e il software Multipath non è interessato. La soluzione supporta la compatibilità con le versioni precedenti tramite negoziazione automatica con array più vecchi che potrebbero non essere compatibili con EDIF.
Zero-Trust
La sicurezza Zero-trust opera sul principio di "non fidarti mai, verifica sempre", assicurando che ogni richiesta di accesso sia autenticata, autorizzata e costantemente monitorata. A differenza dei tradizionali modelli basati sul perimetro, Zero-trust riduce al minimo il rischio di violazioni richiedendo la verifica dell'identità e imponendo l'accesso con privilegi minimi per utenti e dispositivi.
L'implementazione della sicurezza Zero-Trust presenta diversi vantaggi fondamentali. La verifica continua implementata con Zero-Trust riduce la superficie di attacco complessiva. È anche adattabile, supportando le forze lavoro ibride, l'adozione del cloud e l'integrazione IoT senza soluzione di continuità. Naturalmente, la conformità normativa è al primo posto nei pensieri della maggior parte dei paesi. Zero-Trust si allinea con rigorosi standard di sicurezza dei dati per soddisfare le normative in evoluzione.
Zero-trust garantisce una strategia di sicurezza resiliente e adattabile, fondamentale per la protezione dei dati aziendali sensibili, sfruttando tecnologie come l'autenticazione multifattoriale, la microsegmentazione e l'analisi comportamentale.
Secure HBA introduce una radice di attendibilità in silicio resistente ai quanti per proteggere l'integrità del firmware e dell'ASIC.
Crittografia con hardware scaricato
La crittografia con hardware offload migliora le prestazioni e la sicurezza delegando le attività crittografiche a gate hardware dedicati all'interno dell'HBA. Questo offload riduce il carico computazionale sulle CPU, accelerando al contempo i processi di crittografia.
La crittografia hardware-offloaded offre prestazioni migliorate. L'hardware dedicato accelera le operazioni crittografiche e riduce latenza ed elaborazione. I cicli della CPU vengono liberati per altre attività, aumentando l'efficienza complessiva del sistema. L'implementazione di moduli hardware isolati lo rende resistente alle manomissioni e riduce le vulnerabilità.
Questo approccio è particolarmente efficace per consentire un ampio utilizzo all'interno del data center senza influire sulle prestazioni complessive. Consente alle organizzazioni di ottenere una crittografia solida, scalabile ed efficiente dal punto di vista energetico senza compromettere le prestazioni.
Dimostrazione dei vantaggi
Crittografia plug-and-play standard del settore
Emulex ci ha fatto vedere una demo per mostrare le minime differenze di prestazioni con crittografia abilitata e disabilitata per vedere quanto overhead questa soluzione aggiunge ai dati in transito. I passaggi sottostanti descrivono l'abilitazione o la disabilitazione della crittografia sugli HBA host Emulex Secure FC. Gli HBA utilizzati nell'host e nell'array erano gli Emulex LPe38102 64G, che Emulex ci ha detto sono stati resi funzionali all'interno dell'array flash con un semplice aggiornamento del driver per scopi di test.
Topologia dimostrativa
Gli HBA Emulex elaborano tutti i dati crittografati in volo (EDIF) nell'hardware. Gli HBA hanno SoC a 8 core, che gestiscono il carico di lavoro e indirizzano i pacchetti di dati attraverso il motore di offload della crittografia. Poiché la crittografia viene scaricata, la CPU host non è influenzata da tali operazioni di crittografia.
Il primo esercizio è stato quello di eseguire un carico di lavoro TPROC-H sfruttando HammerDB come loadgen del database con EDIF disabilitato. Il comportamento predefinito dell'Emulex Secure HBA è di abilitare EDIF quando ci si connette a porte di destinazione compatibili, ma consente anche la retrocompatibilità se una destinazione non supporta EDIF. L'utilità Emulex hbacmd viene utilizzata per disattivare la funzione EDIF della porta HBA e verificare la modifica delle impostazioni.
Una volta verificata l'impostazione, abbiamo avviato il carico di lavoro sul database. La demo read-heavy mostra quanta parte del pipe FC da 64G è utilizzata, che ha facilmente raggiunto la velocità di linea per la maggior parte del test.
Ora è il momento di cambiare il parametro per abilitare la crittografia sull'HBA. Di nuovo, l'utilità hbacmd di Emulex viene utilizzata per attivare la funzione EDIF della porta HBA e per verificare la modifica dell'impostazione. La schermata seguente mostra il comando e l'output. Impostando semplicemente lo stato EDIF su 1 si attiva la crittografia in corso. Imposta il parametro EDIF edif-state=1. Verrà visualizzato il messaggio "È stata impostata una nuova impostazione del parametro edif" se la modifica viene accettata. Sarà necessario riavviare l'host per rendere effettive le modifiche allo stato EDIF.
Per verificare che la modifica abbia avuto effetto, esegui il comando "hbacmd GetEDIFParams". Il risultato indica che lo stato EDIF è abilitato e l'opzione Required-Encryption è disabilitata.
Per verificare che le porte sull'HBA siano connesse e che EDIF sia abilitato, esegui il comando "hbacmd GetConnectionInfo". L'output dovrebbe apparire come nell'immagine sottostante.
Abbiamo eseguito lo stesso set di query con la crittografia abilitata. Anche con la crittografia abilitata in volo, i risultati erano molto simili a quelli con la crittografia disabilitata, l'unica variazione è spiegata dal payload del frame FC leggermente più piccolo come specificato dagli standard FC per il framing della crittografia.
Emulex ha fornito dati sulle prestazioni su una popolare soluzione di crittografia del database utilizzando la stessa configurazione di test evidenziata in precedenza. Utilizzando lo stesso livello di crittografia AES-256, l'applicazione del database fa fatica a fornire lo stesso livello di prestazioni dell'applicazione dell'HBA a causa del sovraccarico di elaborazione del server aggiunto del software. La metrica di riferimento TPROC-H del tempo di completamento per le 22 query del database è più lunga del 40% per la crittografia a livello di applicazione del database, con una significativa riduzione della larghezza di banda del disco dovuta alla maggiore latenza dell'applicazione.
Nel complesso, è entusiasmante vedere che la crittografia Secure HBA ha un impatto minimo sulla produttività o sulla latenza su un carico di lavoro di database ad alta intensità di I/O ed è significativamente migliore rispetto all'alternativa basata sulle applicazioni.
Conclusione
Con l'aumento di scala e sofisticatezza delle minacce alla sicurezza aziendale, proteggere i dati in movimento è diventato tanto critico quanto proteggere i dati a riposo. Le difese tradizionali basate su firewall e le soluzioni di crittografia software introducono compromessi in termini di prestazioni che molte organizzazioni semplicemente non possono permettersi. Emulex Secure HBA cambia questa equazione offrendo una crittografia basata su standard e con hardware offload che si integra perfettamente nei server esistenti e nelle SAN Fibre Channel.
Nei nostri test, abbiamo scoperto che gli HBA Emulex Secure consentono la crittografia in-flight praticamente senza alcun impatto sulle prestazioni, affrontando una delle maggiori preoccupazioni relative all'adozione di EDIF. Con la crittografia completamente scaricata sull'HBA, i servizi di archiviazione come compressione e deduplicazione rimangono intatti, garantendo che le aziende non debbano compromettere l'efficienza per la sicurezza. Anche nei carichi di lavoro di database ad alta intensità di I/O, l'impatto è stato trascurabile, superando di gran lunga i tradizionali metodi di crittografia basati su software sia in termini di velocità che di efficienza.
La natura plug-and-play di questi HBA li rende anche incredibilmente facili da implementare, senza dover apportare modifiche sostanziali all'architettura SAN o allo stack di storage. Per i vendor di storage, si tratta di un miglioramento della sicurezza a basso attrito e di alto valore che si allinea agli standard INCITS FC-SP-3, posizionando al contempo Fibre Channel per la prossima era della sicurezza zero-trust.
Guardando al futuro, ci aspettiamo che gli HBA Emulex Secure diventino un livello standard di sicurezza SAN nel 2025. Con le crescenti pressioni normative e il continuo aumento di ransomware e minacce interne, le aziende hanno bisogno di soluzioni di crittografia robuste, trasparenti e ad alte prestazioni che non creino nuovi colli di bottiglia. L'HBA Emulex Secure offre esattamente questo: un aggiornamento di sicurezza a prova di futuro che le aziende possono adottare oggi con fiducia.
Questo rapporto è sponsorizzato da Broadcom. Tutte le opinioni e i punti di vista espressi in questo rapporto si basano sulla nostra visione imparziale del/i prodotto/i in esame.
Interagisci con StorageReview
Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | RSS feed
