Šifrování založené na řadiči polí - Array controller based encryption
 | tento článek ne uvést žádný Zdroje. (Července 2018) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) |
V rámci a síť úložiště, šifrování dat může probíhat na různých úrovních hardwaru. Šifrování založené na řadiči polí popisuje šifrování dat vyskytujících se na internetu řadič diskového pole před odesláním na diskové jednotky. Tento článek poskytne přehled různých implementačních technik šifrování založeného na řadiči pole. Pro kryptografickou a šifrovací teorii viz teorie šifrování disku.
Možné body šifrování v SAN
Šifrování dat může probíhat v mnoha bodech v úložné síti. Bod šifrování může nastat na hostitelském počítači, v infrastruktuře SAN, řadiči pole nebo na každém z pevných disků, jak je znázorněno na obrázku výše. Každý bod šifrování má jiné výhody a náklady. V diagramu jsou pro každou konfiguraci šifrování zobrazeny také klíčové komponenty serveru. Při výběru místa pro implementaci šifrování musí návrháři sítí SAN a komponent SAN vzít v úvahu faktory, jako je výkon, složitost nasazení, interoperabilita klíčových serverů, síla zabezpečení a náklady. Ale protože řadič pole je přirozeným ústředním bodem všech dat, je šifrování na této úrovni inherentní a také snižuje složitost nasazení.
Šifrování založené na řadiči
S různými konfiguracemi řadiče hardwarového nebo softwarového pole existují různé typy řešení pro tento typ šifrování. Každé z těchto řešení lze zabudovat do stávající infrastruktury nahrazením nebo upgradem určitých komponent. Mezi základní komponenty patří šifrování klíčový server, klient pro správu klíčů a běžně šifrovací jednotka, které jsou všechny implementovány do úložné sítě.
Šifrování řadiče interního pole
Pro konfiguraci řadiče interního pole je řadičem pole obvykle karta sběrnice PCI umístěná uvnitř hostitelského počítače. Jak je znázorněno na obrázku, řadič PCI pole by tam obsahoval šifrovací jednotku prostý text data jsou zašifrována do šifrový text. Tato samostatná šifrovací jednotka se používá k prevenci a minimalizaci snížení výkonu a zachování propustnosti dat. Dále bude klient pro správu klíčů obecně doplňkovou službou v aplikacích hostitelského počítače, kde bude ověřovat všechny klíče načtené z klíčového serveru. Hlavní nevýhodou tohoto typu implementace by bylo, že šifrovací komponenty musí být integrovány do každého hostitelského počítače, a proto jsou nadbytečné ve velkých sítích s mnoha hostitelskými zařízeními.
Šifrování řadiče externího pole
V případě nastavení externího řadiče pole by řadič pole byl nezávislý hardwarový modul připojený k síti. V řadiči hardwarového pole by byla jednotka šifrování pro šifrování dat a klient pro správu klíčů pro ověřování. Obecně existuje několik řadičů hardwarového pole pro mnoho hostitelských zařízení a úložných disků. Proto snižuje složitost nasazení při implementaci do méně hardwarových komponent. Životní cyklus řadiče pole je navíc obecně mnohem delší než hostitelské počítače a úložné disky, proto implementace šifrování nebude nutné znovu implementovat tak často, jako kdyby se šifrování provádělo v jiném bodě úložné sítě.
Šifrování na předním nebo zadním bočním řadiči pole
V externím řadiči pole lze šifrovací jednotku umístit buď na přední strana nebo zadní strana řadiče pole. Při umisťování šifrovací jednotky na přední nebo zadní stranu existují různé výhody a nevýhody:
| Výhody | Nevýhody | |
|---|---|---|
| Přední strana | Všechna data jsou nejprve šifrována, než se pohybují po řadiči pole, proto jsou data šifrována před odesláním prostřednictvím replikačního odkazu nebo uložena v mezipaměti interního řadiče pole. | Vzhledem k tomu, že data jsou šifrována před tím, než se pohybují po řadiči pole, nelze při odesílání dat prostřednictvím replikačního odkazu provést de-duplikaci dat a kompresi dat. Proto mohou vzniknout obrovské náklady při odesílání velkého množství dat prostřednictvím replikačního odkazu. |
| Zadní strana | Protože všechna data jsou před opuštěním řadiče pole zašifrována, lze provést de-duplikaci a kompresi dat, a proto mohou ušetřit náklady, protože prostřednictvím replikačního odkazu se odesílají pouze komprimovaná a jedinečná data. | Citlivá data mohou být ohrožena při odesílání prostřednictvím replikačního odkazu, stejně jako data v mezipaměti v řadiči pole ohrožena. |
Umístění šifrovací jednotky může mít velký dopad na bezpečnost implementace šifrování založené na vašem řadiči. Proto je třeba tento problém vzít v úvahu při navrhování implementace, aby se zmírnila všechna bezpečnostní rizika.
Softwarové šifrování řadiče pole
Pro šifrování softwarového řadiče pole ovladač softwarového řadiče pole směruje data do jednotlivých adaptérů hostitelské sběrnice. V sousedním diagramu je několik adaptérů hostitelské sběrnice s hardwarovými šifrovacími jednotkami používanými pro lepší výkonnostní požadavky. Naproti tomu tento typ šifrování lze implementovat pouze s jedním adaptérem hostitelské sběrnice připojeným k síti více pevných disků a stále by fungoval. Výkon se určitě sníží, protože bude zpracovávat data pouze jedna šifrovací jednotka. Správa klíčů bude probíhat podobně jako dříve zmiňované šifrování řadiče interního pole s klientem správy klíčů implementovaným jako služba v hostitelském počítači.