La sophistication et la fréquence croissantes des cyberattaques sur les centres de données des entreprises exigent des mesures de sécurité robustes et complètes. Les approches traditionnelles basées sur des pare-feu sont de plus en plus inadéquates pour protéger les informations sensibles, en particulier lorsque les attaquants exploitent les vulnérabilités des flux de données internes. Assurer la sécurité des données en transit est devenu une priorité essentielle, et le chiffrement en vol offre une solution puissante pour empêcher les violations de données et les accès non autorisés au sein des réseaux de stockage (SAN).
Entrer le Adaptateurs de bus hôte Fibre Channel sécurisés Emulex (HBA), une avancée majeure en matière de sécurité des centres de données. Ces HBA offrent un chiffrement robuste basé sur les sessions pour les SAN Fibre Channel, permettant aux entreprises d'adopter une approche zero-trust pour le trafic de données interne. Conformes à des normes strictes telles que le protocole de sécurité Fibre Channel (FC-SP-3) à venir et la suite d'algorithmes de sécurité nationale commerciale 2.0 (CNSA 2.0), les HBA sécurisés Emulex offrent un chiffrement résistant aux quanta qui fonctionne de manière transparente au sein des infrastructures existantes. Ces solutions sont notamment déchargées du matériel, ce qui garantit que les améliorations de sécurité ne compromettent pas les performances.
Les clients sont réticents à déployer des solutions de chiffrement en vol (EDIF) pour plusieurs raisons, notamment le coût élevé, la complexité et la dégradation significative des performances des applications. L'équipe du laboratoire Storagereview a constaté et documenté les mêmes résultats lors de la comparaison du chiffrement logiciel et matériel. Le HBA sécurisé Emulex est prêt à dissiper ces théories et à placer le chiffrement en vol en tête de liste pour chiffrer les données en vol sans écraser les performances du serveur tout en maintenant un débit sans compromis.
Un autre avantage majeur des HBA sécurisés Emulex est leur intégration transparente, en particulier pour les fournisseurs de baies de stockage. Le chiffrement étant entièrement déchargé sur le matériel HBA, les fournisseurs de stockage peuvent se concentrer sur les performances et les fonctionnalités spécifiques à la baie sans avoir à effectuer de réingénierie logicielle approfondie.
Cette facilité d'adoption devrait favoriser une acceptation généralisée dans l'ensemble du secteur. La dernière mise à jour de la spécification technique de sécurité pour les produits Fibre Channel, INCITS Fibre Channel Security Protocol 3 (FC-SP-3), établit une norme pour les produits Fibre Channel interopérables. Cette dernière mise à jour inclut la définition de protocoles pour authentifier les entités Fibre Channel, de protocoles pour configurer les clés de session et de protocoles pour négocier les paramètres requis pour garantir l'intégrité et la confidentialité trame par trame.
Les ingénieurs d'Emulex ont participé activement au développement de normes pour garantir que Fibre Channel reste à l'avant-garde des défis de sécurité requis par les centres de données modernes. Alors que les pressions réglementaires augmentent et que les cybermenaces évoluent, l'adoption des HBA sécurisés Emulex garantit que les fournisseurs SAN peuvent fournir des solutions de sécurité robustes et évolutives avec un minimum d'efforts. Pour les entreprises qui utilisent Fibre Channel, la norme SP3 actuelle est une étape cruciale pour assurer la sécurité des données à long terme.
Grâce à une démonstration pratique, nous illustrerons les avantages du déploiement des HBA sécurisés Emulex, en mettant en avant leur capacité à maintenir des performances élevées tout en offrant une sécurité sans compromis. De la prévention des fuites de données à la détection des anomalies en temps réel, ces HBA représentent un bond en avant significatif dans la sécurisation du centre de données d'entreprise contre les menaces modernes.
Comprendre la technologie Emulex Secure HBA
Chiffrement basé sur la session
L'adaptateur de bus hôte sécurisé Emulex est une solution de chiffrement simple basée sur les sessions. La solution de gestion des clés basée sur les sessions, basée sur la norme émergente ANSI/INCITS FC-SP-3, ne nécessite pas de logiciel de gestion des clés complexe et excessivement coûteux. L'établissement d'une session de chiffrement entre un adaptateur de bus hôte sécurisé et un port de baie de stockage est simple, fonctionne avec les commutateurs SAN actuels et ne nécessite aucune modification de la gestion de la structure. Entièrement effectuée au niveau du matériel, lors de la connexion au port, les deux points de terminaison valideront la capacité de sécurité, commenceront l'authentification et l'association et commenceront à chiffrer les trames Fibre Channel. L'actualisation des clés de session de sécurité se produit automatiquement sans interruption du trafic. Comme tout cela est effectué au niveau du matériel, aucune modification logicielle n'est nécessaire et le logiciel Multipath n'est pas affecté. La solution prend en charge la compatibilité ascendante en négociant automatiquement avec des baies plus anciennes qui peuvent ne pas être compatibles EDIF.
Zéro confiance
La sécurité Zero Trust repose sur le principe « ne jamais faire confiance, toujours vérifier », garantissant que chaque demande d’accès est authentifiée, autorisée et surveillée en permanence. Contrairement aux modèles traditionnels basés sur le périmètre, Zero Trust minimise le risque de violation en exigeant une vérification de l’identité et en appliquant le principe du moindre privilège d’accès pour les utilisateurs et les appareils.
La mise en œuvre de la sécurité Zero-Trust présente plusieurs avantages majeurs. La vérification continue mise en œuvre avec Zero-Trust réduit la surface d'attaque globale. Elle est également adaptable, prenant en charge les effectifs hybrides, l'adoption du cloud et l'intégration transparente de l'IoT. Bien entendu, la conformité réglementaire est au cœur des préoccupations de la plupart des pays. Zero-Trust s'aligne sur des normes strictes de sécurité des données pour répondre à l'évolution des réglementations.
Zero Trust garantit une posture de sécurité résiliente et adaptable, essentielle à la protection des données organisationnelles sensibles en exploitant des technologies telles que l'authentification multifacteur, la micro-segmentation et l'analyse comportementale.
Le HBA sécurisé introduit une racine de confiance en silicium résistante aux quanta pour protéger l'intégrité du micrologiciel et de l'ASIC.
Cryptage déchargé du matériel
Le chiffrement déchargé du matériel améliore les performances et la sécurité en déléguant les tâches cryptographiques à des portes matérielles dédiées à l'intérieur du HBA. Ce déchargement réduit la charge de calcul sur les processeurs tout en accélérant les processus de chiffrement.
Le chiffrement déchargé du matériel offre des performances accrues. Le matériel dédié accélère les opérations cryptographiques et réduit la latence et le traitement. Les cycles CPU sont libérés pour d'autres tâches, ce qui améliore l'efficacité globale du système. Le déploiement de modules matériels isolés le rend inviolable et réduit les vulnérabilités.
Cette approche est particulièrement efficace pour permettre une utilisation étendue au sein du centre de données sans impact sur les performances globales. Elle permet aux organisations d'obtenir un chiffrement robuste, évolutif et économe en énergie sans compromettre les performances.
Démontrer les avantages
Emulex nous a fait une démonstration pour montrer les différences de performances minimales avec le chiffrement activé et désactivé afin de voir combien de surcharge cette solution ajoute aux données en transit. Les étapes ci-dessous décrivent l'activation ou la désactivation du chiffrement sur les HBA Emulex Secure FC Host. Les HBA utilisés dans l'hôte et la baie étaient les Emulex LPe38102 64G, qui, selon Emulex, ont été rendus fonctionnels dans la baie flash avec une simple mise à jour du pilote à des fins de test.
Les HBA Emulex traitent toutes les données chiffrées en transit (EDIF) au niveau du matériel. Les HBA disposent de SoC à 8 cœurs, qui gèrent la charge de travail et dirigent les paquets de données via le moteur de déchargement du chiffrement. Étant donné que le chiffrement est déchargé, le processeur hôte n'est pas affecté par ces opérations de chiffrement.
Le premier exercice consistait à exécuter une charge de travail TPROC-H en exploitant HammerDB comme générateur de charge de base de données avec EDIF désactivé. Le comportement par défaut du HBA sécurisé Emulex consiste à activer EDIF lors de la connexion à des ports cibles compatibles, mais également à autoriser la rétrocompatibilité si une cible ne prend pas en charge EDIF. L'utilitaire hbacmd d'Emulex est utilisé pour désactiver la fonction EDIF du port HBA et vérifier le changement de paramètre.
Une fois le paramétrage vérifié, nous avons démarré la charge de travail sur la base de données. La démonstration à lecture intensive montre la quantité de pipeline FC 64G utilisée, qui a facilement atteint le débit de ligne pour la majorité du test.
Il est maintenant temps de modifier le paramètre pour activer le chiffrement sur le HBA. Encore une fois, l'utilitaire Emulex hbacmd est utilisé pour activer la fonction EDIF du port HBA et pour vérifier la modification du paramètre. L'écran ci-dessous affiche la commande et la sortie. Le simple fait de définir l'état EDIF sur 1 active le chiffrement en cours de route. Définissez le paramètre EDIF edif-state=1. Le message « Le nouveau paramètre edif a été défini » s'affiche si la modification est acceptée. Il sera nécessaire de redémarrer l'hôte pour que les modifications apportées à l'état EDIF prennent effet.
Pour vérifier que la modification a pris effet, exécutez la commande « hbacmd GetEDIFParams ». Le résultat indique que l'état EDIF est activé et que l'option Chiffrement requis est désactivée.
Pour vérifier que les ports du HBA sont connectés et que EDIF est activé, exécutez la commande « hbacmd GetConnectionInfo ». Le résultat doit ressembler à l'image ci-dessous.
Nous avons exécuté le même ensemble de requêtes avec le chiffrement activé. Même avec le chiffrement activé en vol, les résultats étaient très similaires à ceux obtenus lorsque le chiffrement était désactivé, la seule variation étant expliquée par la charge utile de la trame FC légèrement plus petite, comme spécifié dans les normes FC pour le chiffrement des trames.
Emulex a fourni des données de performances sur une solution de chiffrement de base de données populaire utilisant la même configuration de test que celle présentée précédemment. En utilisant le même niveau de chiffrement AES-256, l'application de base de données peine à fournir le même niveau de performances d'application que le HBA en raison de la surcharge de traitement du serveur du logiciel. La mesure de référence TPROC-H du temps d'exécution des 22 requêtes de base de données est 40 % plus longue pour le chiffrement au niveau de l'application de base de données, avec une réduction significative de la bande passante du disque en raison de la latence accrue de l'application.
Dans l’ensemble, il est intéressant de constater que le cryptage Secure HBA a un impact minimal sur le débit ou la latence d’une charge de travail de base de données gourmande en E/S et est nettement meilleur que l’alternative basée sur les applications.
À mesure que les menaces de sécurité des entreprises augmentent en ampleur et en sophistication, la protection des données en mouvement est devenue tout aussi essentielle que la sécurisation des données au repos. Les défenses traditionnelles basées sur des pare-feu et les solutions de chiffrement logiciel entraînent des compromis en termes de performances que de nombreuses entreprises ne peuvent tout simplement pas se permettre. Le HBA Emulex Secure change cette équation en fournissant un chiffrement basé sur des normes et délesté du matériel qui s'intègre de manière transparente aux serveurs et aux SAN Fibre Channel existants.
Lors de nos tests, nous avons constaté que les HBA Emulex Secure permettent un chiffrement en vol pratiquement sans impact sur les performances, ce qui répond à l'une des principales préoccupations concernant l'adoption de l'EDIF. Le chiffrement étant entièrement déchargé sur le HBA, les services de stockage tels que la compression et la déduplication restent intacts, ce qui garantit que les entreprises n'ont pas à compromettre l'efficacité au nom de la sécurité. Même dans les charges de travail de base de données à forte intensité d'E/S, l'impact était négligeable, surpassant de loin les méthodes de chiffrement traditionnelles basées sur des logiciels, tant en termes de vitesse que d'efficacité.
La nature plug-and-play de ces HBA les rend également incroyablement faciles à déployer, sans nécessiter de modifications majeures de l'architecture SAN ou de la pile de stockage. Pour les fournisseurs de stockage, il s'agit d'une amélioration de sécurité à faible friction et à forte valeur ajoutée qui s'aligne sur les normes INCITS FC-SP-3 tout en positionnant Fibre Channel pour la prochaine ère de sécurité zero-trust.
À l'avenir, nous prévoyons que les HBA Emulex Secure deviendront une couche standard de sécurité SAN en 2025. Avec des pressions réglementaires croissantes et l'augmentation continue des ransomwares et des menaces internes, les entreprises ont besoin de solutions de chiffrement robustes, transparentes et hautes performances qui ne créent pas de nouveaux goulots d'étranglement. Le HBA Emulex Secure offre exactement cela : une mise à niveau de sécurité à l'épreuve du temps que les entreprises peuvent adopter dès aujourd'hui en toute confiance.
Ce rapport est sponsorisé par Broadcom. Tous les points de vue et opinions exprimés dans ce rapport sont basés sur notre vision impartiale du ou des produits concernés.
S'engager avec StorageReview
Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | Flux RSS
Test pratique des caméras instantanées et Bullet G6 d'Ubiquiti, dotées d'images 4K nettes, d'analyses IA avancées et d'une qualité améliorée en basse lumière.…
Test du SSD Samsung 9100 Pro : vitesse Gen5, capacité massive de 8 To, puissant contrôleur Presto : idéal pour les prosommateurs, les joueurs et les créateurs. (suite…)
À 137.99 $ pour le modèle 2 To, le Crucial P310 est une option économique et de grande capacité qui équilibre accessibilité et performances. (suite…)
Test du HP EliteBook X G1a : un ordinateur portable professionnel haut de gamme doté de l'IA Ryzen, de la technologie OLED et d'une sécurité de niveau professionnel. (suite…)
Notre test du Sipeed NanoKVM-USB couvre cette solution KVM compacte basée sur un navigateur pour un accès transparent aux appareils sans tête et une gestion à distance. (suite…)
Découvrez les points d'accès Ubiquiti UniFi WiFi 7 pour des vitesses, une capacité et une fiabilité inégalées dans les réseaux haute densité. (suite…)