Emulex Secure HBA 暗号化が、ファイバー チャネル SAN のハードウェア オフロード セキュリティを使用して転送中のデータを保護する方法をご覧ください。
企業のデータ センターに対するサイバー攻撃はますます高度化し、頻度も高まっているため、強力で包括的なセキュリティ対策が必要です。従来のファイアウォール ベースのアプローチでは、特に攻撃者が内部データ フローの脆弱性を悪用するため、機密情報を保護するにはますます不十分になっています。転送中のデータのセキュリティを確保することは重要な焦点となっており、転送中の暗号化は、ストレージ エリア ネットワーク (SAN) 内でのデータ侵害や不正アクセスを防ぐ強力なソリューションとなります。
入力する Emulex セキュア ファイバー チャネル ホスト バス アダプタ (HBA) は、データ センター セキュリティの画期的な進歩です。これらの HBA は、ファイバー チャネル SAN に堅牢なセッションベースの暗号化を提供し、企業が内部データ トラフィックにゼロ トラスト アプローチを採用できるようにします。Emulex Secure HBA は、近日登場予定のファイバー チャネル セキュリティ プロトコル (FC-SP-3) や Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) などの厳格な標準に準拠しており、既存のインフラストラクチャ内でシームレスに動作する耐量子暗号化を提供します。特に、これらのソリューションはハードウェア オフロードされているため、セキュリティ強化によってパフォーマンスが損なわれることはありません。
お客様は、コストの高さ、複雑さ、アプリケーション パフォーマンスの大幅な低下など、さまざまな理由から、インフライト暗号化ソリューション (EDIF) の導入に消極的でした。Storagereview Lab チームは、ソフトウェア暗号化とハードウェア暗号化を比較したときに同じ結果を経験し、文書化しました。Emulex Secure HBA は、これらの理論を払拭し、サーバーのパフォーマンスを低下させることなく、妥協のないスループットを維持しながら、インフライト暗号化を転送中のデータの暗号化リストのトップに位置付けます。
Emulex Secure HBA のもう 1 つの大きな利点は、特にストレージ アレイ ベンダーにとってシームレスな統合です。暗号化が HBA ハードウェアに完全にオフロードされるため、ストレージ ベンダーは、大規模なソフトウェアの再エンジニアリングの負担なしに、パフォーマンスとアレイ固有の機能に集中できます。
この導入の容易さにより、業界全体での幅広い受け入れが促進されると予想されます。ファイバー チャネル業界のファイバー チャネル製品のセキュリティ技術仕様の最新アップデートである INCITS ファイバー チャネル セキュリティ プロトコル 3 (FC-SP-3) は、相互運用可能なファイバー チャネル製品の標準を確立します。この最新のアップデートには、ファイバー チャネル エンティティを認証するためのプロトコル、セッション キーを設定するためのプロトコル、およびフレームごとの整合性と機密性を確保するために必要なパラメータをネゴシエートするためのプロトコルの定義が含まれています。
Emulex のエンジニアは、ファイバー チャネルが現代のデータ センターに求められるセキュリティ上の課題への対応において最前線に留まるよう、標準の開発に積極的に取り組んできました。規制の圧力が高まり、サイバー脅威が進化する中、Emulex Secure HBA を採用することで、SAN ベンダーは最小限の労力で、堅牢で将来性のあるセキュリティ ソリューションを提供できるようになります。ファイバー チャネルを使用する企業にとって、現在の SP3 標準は、将来性のあるデータ セキュリティを実現するための重要なステップです。
実地デモを通じて、Emulex Secure HBA を導入するメリットを説明し、妥協のないセキュリティを提供しながら高いパフォーマンスを維持する能力を紹介します。データ漏洩の防止からリアルタイムの異常検出の実現まで、これらの HBA は、現代の脅威からエンタープライズ データ センターを保護する上で大きな進歩をもたらします。
Emulex セキュア HBA テクノロジーの理解
セッションベースの暗号化とゼロトラスト原則の概要。
セッションベースの暗号化
Emulex Secure HBA は、シンプルなセッションベースの暗号化ソリューションです。このセッションベースのキー管理ソリューションは、新しい ANSI/INCITS FC-SP-3 標準に基づいており、複雑で法外に高価なキー管理ソフトウェアを必要としません。Secure HBA とストレージ アレイ ポート間の暗号化セッションの確立は簡単で、現在の SAN スイッチで動作し、ファブリック管理の変更は必要ありません。完全にハードウェアで実行され、ポート ログイン時に両方のエンドポイントがセキュリティ機能を検証し、認証と関連付けを開始し、ファイバー チャネル フレームの暗号化を開始します。セキュリティ セッション キーの更新は、トラフィックの中断なしに自動的に行われます。これはすべてハードウェアで行われるため、ソフトウェアの変更は必要なく、マルチパス ソフトウェアは影響を受けません。このソリューションは、EDIF に対応していない可能性のある古いアレイと自動ネゴシエートすることで、下位互換性をサポートします。
ゼロトラスト
ゼロトラスト セキュリティは、「決して信頼せず、常に検証する」という原則に基づいて動作し、すべてのアクセス要求が認証され、承認され、継続的に監視されることを保証します。従来の境界ベースのモデルとは異なり、ゼロトラストは ID 検証を要求し、ユーザーとデバイスに最小限の権限アクセスを適用することで、侵害のリスクを最小限に抑えます。
ゼロトラスト セキュリティを実装すると、いくつかの重要な利点があります。ゼロトラストで実装された継続的な検証により、全体的な攻撃対象領域が縮小されます。また、適応性も高く、ハイブリッド ワークフォース、クラウドの導入、シームレスな IoT 統合をサポートします。もちろん、ほとんどの国では規制遵守が最優先事項です。ゼロトラストは、進化する規制に対応するために厳格なデータ セキュリティ標準に準拠しています。
ゼロトラストは、多要素認証、マイクロセグメンテーション、行動分析などのテクノロジーを活用して、組織の機密データを保護する上で重要な、回復力と適応性に優れたセキュリティ体制を保証します。
Secure HBA は、ファームウェアと ASIC の整合性を保護するために、量子耐性のあるシリコンの信頼のルートを導入します。
ハードウェアオフロード暗号化
ハードウェア オフロード暗号化は、HBA 内の専用ハードウェア ゲートに暗号化タスクを委任することで、パフォーマンスとセキュリティを強化します。このオフロードにより、CPU の計算負荷が軽減され、暗号化プロセスが高速化されます。
ハードウェア オフロード暗号化により、パフォーマンスが向上します。専用ハードウェアにより暗号化操作が高速化され、待ち時間と処理が削減されます。CPU サイクルが他のタスクに解放され、システム全体の効率が向上します。分離されたハードウェア モジュールを導入することで、改ざん防止が実現し、脆弱性が軽減されます。
このアプローチは、全体的なパフォーマンスに影響を与えることなく、データセンター内での幅広い使用を可能にするのに特に効果的です。これにより、組織はパフォーマンスを犠牲にすることなく、堅牢でスケーラブル、かつエネルギー効率に優れた暗号化を実現できます。
メリットの実証
業界標準のプラグアンドプレイ暗号化
Emulex は、暗号化を有効または無効にした場合のパフォーマンスの違いが最小限であることを示し、このソリューションが転送中のデータにどの程度のオーバーヘッドを追加するかを示すデモを実施しました。以下の手順では、Emulex Secure FC ホスト HBA で暗号化を有効または無効にする方法について説明します。ホストとアレイで使用された HBA は Emulex LPe38102 64G で、Emulex によると、テスト目的で簡単なドライバー更新を行うだけでフラッシュ アレイ内で機能するようになったとのことです。
デモトポロジ
Emulex HBA は、すべての暗号化された飛行中のデータ (EDIF) をハードウェアで処理します。HBA には 8 コアの SoC があり、ワークロードを管理し、データ パケットを暗号化オフロード エンジンに誘導します。暗号化はオフロードされるため、ホスト CPU は暗号化操作の影響を受けません。
最初の演習では、EDIF を無効にして HammerDB をデータベース ロードジェネレータとして活用し、TPROC-H ワークロードを実行しました。Emulex Secure HBA のデフォルトの動作では、互換性のあるターゲット ポートに接続するときに EDIF が有効になりますが、ターゲットが EDIF をサポートしていない場合は下位互換性も確保されます。Emulex hbacmd ユーティリティを使用して、HBA ポートの EDIF 機能をオフにし、設定の変更を確認します。
設定が検証されたら、データベースでワークロードを開始しました。読み取り中心のデモでは、64G FC パイプがどれだけ使用されているかが示されており、テストの大部分でライン レートに簡単に到達しました。
ここで、パラメータを変更して HBA の暗号化を有効にします。ここでも、Emulex hbacmd ユーティリティを使用して、HBA ポートの EDIF 機能をオンにし、設定の変更を確認します。下の画面は、コマンドと出力を示しています。EDIF 状態を 1 に設定するだけで、飛行中の暗号化がオンになります。EDIF パラメータ edif-state=1 を設定します。変更が受け入れられると、「新しい edif パラメータ設定が設定されました」というメッセージが表示されます。EDIF 状態の変更を有効にするには、ホストを再起動する必要があります。
変更が有効になったことを確認するには、「hbacmd GetEDIFParams」コマンドを実行します。結果は、EDIF 状態が有効になっており、Required-Encryption オプションが無効になっていることを示します。
HBA のポートが接続され、EDIF が有効になっていることを確認するには、「hbacmd GetConnectionInfo」コマンドを実行します。出力は次の画像のようになります。
暗号化を有効にして同じクエリ セットを実行しました。実行中の暗号化が有効になっている場合でも、結果は暗号化が無効になっている場合と非常に似ており、唯一の違いは、暗号化フレーミングの FC 標準で指定されている FC フレーム ペイロードがわずかに小さいことによるものです。
Emulex は、前述の同じテスト構成を使用して、一般的なデータベース暗号化ソリューションのパフォーマンス データを提供しました。同じ AES-256 レベルの暗号化を使用すると、ソフトウェアのサーバー処理オーバーヘッドが増加するため、データベース アプリケーションは HBA と同じレベルのアプリケーション パフォーマンスを提供するのに苦労します。22 のデータベース クエリの完了時間の TPROC-H ベンチマーク メトリックは、データベース アプリケーション レベルの暗号化では 40% 長く、アプリケーションのレイテンシの増加によりディスク帯域幅が大幅に減少します。
全体的に、Secure HBA 暗号化が I/O 集中型データベース ワークロードのスループットやレイテンシに与える影響が最小限であり、アプリケーション ベースの代替手段よりも大幅に優れていることは喜ばしいことです。
まとめ
企業のセキュリティ脅威が規模と高度さを増すにつれ、移動中のデータの保護は保存中のデータの保護と同様に重要になっています。従来のファイアウォール ベースの防御とソフトウェア暗号化ソリューションは、多くの組織が許容できないパフォーマンスのトレードオフをもたらします。Emulex Secure HBA は、既存のサーバーとファイバー チャネル SAN にシームレスに統合される標準ベースのハードウェア オフロード暗号化を提供することで、この方程式を変えます。
当社のテストでは、Emulex Secure HBA は、パフォーマンスにほとんど影響を与えずにインフライト暗号化を可能にし、EDIF 導入に関する最大の懸念の 1 つに対処していることがわかりました。暗号化は HBA に完全にオフロードされるため、圧縮や重複排除などのストレージ サービスはそのまま維持され、企業はセキュリティのために効率を犠牲にする必要がありません。I/O 集中型のデータベース ワークロードでも、影響はごくわずかで、速度と効率の両方で従来のソフトウェア ベースの暗号化方式をはるかに上回っています。
これらの HBA はプラグ アンド プレイであるため、SAN アーキテクチャやストレージ スタックに大きな変更を加えることなく、非常に簡単に導入できます。ストレージ ベンダーにとって、これは INCITS FC-SP-3 標準に準拠する、摩擦が少なく価値の高いセキュリティ強化であり、ファイバー チャネルをゼロ トラスト セキュリティの次の時代に位置付けます。
将来的には、Emulex Secure HBA が 2025 年に SAN セキュリティの標準レイヤーになると予想されます。規制圧力が高まり、ランサムウェアや内部脅威が継続的に増加しているため、企業は新しいボトルネックを生み出さない、堅牢で透過的かつ高性能な暗号化ソリューションを必要としています。Emulex Secure HBA はまさにそれを実現します。つまり、企業が今日自信を持って導入できる、将来を見据えたセキュリティ アップグレードです。
このレポートは Broadcom がスポンサーとなっています。このレポートで表明されたすべての見解および意見は、検討中の製品に対する当社の偏りのない見解に基づいています。
StorageReview と連携する
ニュースレター | YouTube |ポッドキャスト iTunes/Spotifyは | Instagram | Twitter | TikTok | RSSフィード
