Ontdek hoe Emulex Secure HBA-versleuteling gegevens tijdens de overdracht beschermt met hardware-offloaded beveiliging voor Fibre Channel SAN's.
De toenemende verfijning en frequentie van cyberaanvallen op datacenters van ondernemingen vereisen robuuste en uitgebreide beveiligingsmaatregelen. Traditionele firewall-gebaseerde benaderingen zijn steeds minder geschikt om gevoelige informatie te beschermen, met name omdat aanvallers kwetsbaarheden in interne gegevensstromen uitbuiten. Het waarborgen van de beveiliging van gegevens tijdens het transport is een cruciaal aandachtspunt geworden en in-flight encryptie biedt een krachtige oplossing om datalekken en ongeautoriseerde toegang binnen storage area networks (SAN's) te voorkomen.
Voer de Emulex Secure Fibre Channel Host Bus-adapters (HBA's), een doorbraak in datacenterbeveiliging. Deze HBA's leveren robuuste, sessiegebaseerde encryptie voor Fibre Channel SAN's, waardoor bedrijven een zero-trust-benadering voor intern dataverkeer kunnen hanteren. Met naleving van strenge normen zoals het aanstaande Fibre Channel Security Protocol (FC-SP-3) en Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), bieden Emulex Secure HBA's kwantumbestendige encryptie die naadloos werkt binnen bestaande infrastructuren. Deze oplossingen zijn met name hardware-offloaded, waardoor beveiligingsverbeteringen de prestaties niet in gevaar brengen.
Klanten aarzelden om in-flight encryptieoplossingen (EDIF) te implementeren om verschillende redenen, waaronder hoge kosten, complexiteit en aanzienlijke prestatievermindering van de applicatie. Het Storagereview Lab-team heeft dezelfde resultaten ervaren en gedocumenteerd bij het vergelijken van software- versus hardware-encryptie. De Emulex Secure HBA is klaar om die theorieën te ontkrachten en in-flight encryptie bovenaan de lijst te zetten voor het encrypteren van data in flight zonder de serverprestaties te verpletteren, terwijl de doorvoer ongeschonden blijft.
Een ander belangrijk voordeel van Emulex Secure HBA's is de naadloze integratie, met name voor storage array-leveranciers. Met encryptie volledig uitbesteed aan de HBA-hardware, kunnen storage-leveranciers zich blijven richten op prestaties en array-specifieke functionaliteiten zonder de last van uitgebreide software-reengineering.
Deze gemakkelijke acceptatie zal naar verwachting leiden tot brede acceptatie in de industrie. De nieuwste update van de Fibre Channel-industrie van de technische beveiligingsspecificatie voor Fibre Channel-producten, INCITS Fibre Channel Security Protocol 3 (FC-SP-3), stelt een standaard vast voor interoperabele Fibre Channel-producten. Deze nieuwste update omvat de definitie van protocollen om Fibre Channel-entiteiten te authenticeren, protocollen om sessiesleutels in te stellen en protocollen om de parameters te onderhandelen die nodig zijn om frame-voor-frame-integriteit en vertrouwelijkheid te garanderen.
Emulex-engineers zijn actief betrokken geweest bij de ontwikkeling van standaarden om ervoor te zorgen dat Fibre Channel voorop blijft lopen bij het aanpakken van beveiligingsuitdagingen die vereist zijn voor het moderne datacenter. Naarmate de regelgevende druk toeneemt en cyberdreigingen evolueren, zorgt de invoering van Emulex Secure HBA's ervoor dat SAN-leveranciers robuuste, toekomstbestendige beveiligingsoplossingen kunnen bieden met minimale inspanning. Voor ondernemingen die Fibre Channel gebruiken, is de huidige SP3-standaard een cruciale stap voor het toekomstbestendig maken van gegevensbeveiliging.
Met een praktische demonstratie illustreren we de voordelen van het implementeren van Emulex Secure HBA's, waarbij we laten zien hoe ze hoge prestaties kunnen behouden en tegelijkertijd compromisloze beveiliging kunnen bieden. Van het voorkomen van datalekken tot het mogelijk maken van realtime anomaliedetectie, deze HBA's vertegenwoordigen een belangrijke stap voorwaarts in het beveiligen van het datacenter van ondernemingen tegen moderne bedreigingen.
Begrijpen van Emulex Secure HBA-technologie
Overzicht van sessiegebaseerde encryptie en zero-trustprincipes.
Sessiegebaseerde encryptie
De Emulex Secure HBA is een eenvoudige, sessiegebaseerde encryptieoplossing. De sessiegebaseerde sleutelbeheeroplossing, gebaseerd op de opkomende ANSI/INCITS FC-SP-3-standaard, vereist geen complexe en onbetaalbaar dure sleutelbeheersoftware. Het opzetten van een encryptiesessie tussen een Secure HBA en een opslagarraypoort is eenvoudig, werkt met huidige SAN-switches en vereist geen wijzigingen in het fabricbeheer. Volledig uitgevoerd in hardware, bij poortlogin valideren beide eindpunten de beveiligingscapaciteit, beginnen ze met authenticatie en associatie en beginnen ze met het encrypteren van Fibre Channel-frames. Vernieuwing van de beveiligingssessiesleutel gebeurt automatisch zonder onderbreking van het verkeer. Omdat dit allemaal in hardware wordt gedaan, zijn er geen softwarewijzigingen nodig en blijft Multipath-software onaangetast. De oplossing ondersteunt achterwaartse compatibiliteit door automatisch te onderhandelen met oudere arrays die mogelijk niet EDIF-compatibel zijn.
Geen vertrouwen
Zero-trustbeveiliging werkt volgens het principe van 'nooit vertrouwen, altijd verifiëren', waarbij elk toegangsverzoek wordt geverifieerd, geautoriseerd en continu wordt gecontroleerd. In tegenstelling tot traditionele perimetergebaseerde modellen minimaliseert zero-trust het risico op inbreuken door identiteitsverificatie te vereisen en minimale privilegetoegang af te dwingen voor gebruikers en apparaten.
Het implementeren van Zero-Trust-beveiliging heeft verschillende kernvoordelen. De continue verificatie die met Zero-Trust is geïmplementeerd, verkleint het totale aanvalsoppervlak. Het is ook aanpasbaar en ondersteunt hybride werkkrachten, cloudadoptie en naadloze IoT-integratie. Uiteraard staat naleving van regelgeving bovenaan de prioriteitenlijst van de meeste landen. Zero-Trust is afgestemd op strenge normen voor gegevensbeveiliging om te voldoen aan veranderende regelgeving.
Zero-trust zorgt voor een veerkrachtige en aanpasbare beveiligingshouding die essentieel is voor de bescherming van gevoelige organisatiegegevens door gebruik te maken van technologieën zoals multi-factor-authenticatie, microsegmentatie en gedragsanalyse.
De Secure HBA introduceert een kwantumbestendige silicium root of trust om de integriteit van de firmware en ASIC te beschermen.
Hardware-offloaded encryptie
Hardware-offloaded encryptie verbetert de prestaties en beveiliging door cryptografische taken te delegeren naar speciale hardwarepoorten binnen de HBA. Deze offloading vermindert de rekenlast op CPU's en versnelt encryptieprocessen.
Hardware-offloaded encryptie levert betere prestaties. Toegewijde hardware versnelt cryptografische bewerkingen en vermindert latentie en verwerking. CPU-cycli worden vrijgemaakt voor andere taken, wat de algehele systeemefficiëntie verhoogt. Het inzetten van geïsoleerde hardwaremodules maakt het bestand tegen sabotage en vermindert kwetsbaarheden.
Deze aanpak is met name effectief om breed gebruik binnen het datacenter mogelijk te maken zonder de algehele prestaties te beïnvloeden. Het stelt organisaties in staat om robuuste, schaalbare en energiezuinige encryptie te bereiken zonder de prestaties in gevaar te brengen.
De voordelen aantonen
Industriestandaard plug-and-play-encryptie
Emulex liet ons een demo zien om de minimale prestatieverschillen te laten zien met encryptie ingeschakeld en uitgeschakeld om te zien hoeveel overhead deze oplossing toevoegt aan data in flight. De onderstaande stappen beschrijven het in- of uitschakelen van encryptie op de Emulex Secure FC Host HBA's. De HBA's die in de host en array werden gebruikt, waren de Emulex LPe38102 64G, waarvan Emulex ons vertelde dat ze functioneel waren gemaakt binnen de flash array met een eenvoudige driverupdate voor testdoeleinden.
Demo-topologie
Emulex HBA's verwerken alle Encrypted Data In Flight (EDIF) in hardware. De HBA's hebben 8-core SoC's, die de werklast beheren en de datapakketten door de encryptie-offload-engine leiden. Omdat de encryptie wordt geoffload, wordt de host-CPU niet beïnvloed door die encryptiebewerkingen.
De eerste oefening was om een TPROC-H workload uit te voeren met HammerDB als database loadgen met EDIF uitgeschakeld. Het standaardgedrag van de Emulex Secure HBA is om EDIF in te schakelen bij verbinding met compatibele doelpoorten, maar ook om achterwaartse compatibiliteit toe te staan als een doel EDIF niet ondersteunt. Het Emulex hbacmd-hulpprogramma wordt gebruikt om de EDIF-functie van de HBA-poort uit te schakelen en de instellingswijziging te verifiëren.
Nadat de instelling was geverifieerd, zijn we begonnen met de workload op de database. De read-heavy demo laat zien hoeveel van de 64G FC-pijp wordt gebruikt, wat gemakkelijk de lijnsnelheid bereikte voor het grootste deel van de test.
Nu is het tijd om de parameter te wijzigen om encryptie op de HBA in te schakelen. Opnieuw wordt het Emulex hbacmd-hulpprogramma gebruikt om de EDIF-functie van de HBA-poort in te schakelen en de instellingswijziging te verifiëren. Het onderstaande scherm toont de opdracht en uitvoer. Door de EDIF-status eenvoudigweg op 1 in te stellen, wordt encryptie tijdens de vlucht ingeschakeld. Stel EDIF-parameter edif-state=1 in. Het bericht "Nieuwe edif-parameterinstelling is ingesteld" wordt weergegeven als de wijziging is geaccepteerd. Het is nodig om de host opnieuw op te starten om de wijzigingen in de EDIF-status van kracht te laten worden.
Om te verifiëren of de wijziging van kracht is, voert u de opdracht "hbacmd GetEDIFParams" uit. Het resultaat geeft aan dat de EDIF-status is ingeschakeld en de optie Required-Encryption is uitgeschakeld.
Om te verifiëren dat de poorten op de HBA zijn verbonden en EDIF is ingeschakeld, voert u de opdracht "hbacmd GetConnectionInfo" uit. De uitvoer zou eruit moeten zien als de afbeelding hieronder.
We hebben dezelfde reeks query's uitgevoerd met encryptie ingeschakeld. Zelfs met encryptie ingeschakeld in flight, waren de resultaten erg vergelijkbaar met die wanneer encryptie was uitgeschakeld, de enige variatie werd verklaard door de iets kleinere FC-frame-payload zoals gespecificeerd onder de FC-normen voor encryptie-framing.
Emulex leverde prestatiegegevens over een populaire database-encryptieoplossing met dezelfde testconfiguratie die eerder werd benadrukt. Met hetzelfde AES-256-encryptieniveau heeft de databasetoepassing moeite om hetzelfde niveau van applicatieprestaties te bieden als de HBA vanwege de toegevoegde serververwerkingsoverhead van de software. De TPROC-H-benchmarkmetriek van voltooiingstijd voor de 22 databasequery's is 40% langer voor de encryptie op databasetoepassingsniveau, met een aanzienlijke vermindering van de schijfbandbreedte vanwege de toegenomen applicatielatentie.
Over het geheel genomen is het spannend om te zien dat de Secure HBA-codering een minimale impact heeft op de doorvoer of latentie bij een I/O-intensieve databasewerklast en aanzienlijk beter is dan het op applicaties gebaseerde alternatief.
Conclusie
Naarmate bedreigingen voor de beveiliging van ondernemingen toenemen in omvang en verfijning, is het beschermen van gegevens in beweging net zo belangrijk geworden als het beveiligen van gegevens in rust. Traditionele firewall-gebaseerde verdedigingen en software-encryptieoplossingen introduceren prestatie-trade-offs die veel organisaties zich eenvoudigweg niet kunnen veroorloven. De Emulex Secure HBA verandert die vergelijking door standaarden-gebaseerde, hardware-offloaded encryptie te leveren die naadloos integreert in bestaande servers en Fibre Channel SAN's.
In onze tests ontdekten we dat Emulex Secure HBA's in-flight encryptie mogelijk maken met vrijwel geen prestatieverlies, wat een van de grootste zorgen rondom EDIF-acceptatie aanpakt. Met encryptie volledig uitbesteed aan de HBA blijven opslagservices zoals compressie en deduplicatie intact, wat ervoor zorgt dat ondernemingen geen efficiëntie hoeven in te leveren voor beveiliging. Zelfs bij I/O-intensieve databaseworkloads was de impact verwaarloosbaar: het overtrof traditionele softwaregebaseerde encryptiemethoden qua snelheid en efficiëntie.
De plug-and-play-aard van deze HBA's maakt ze ook ongelooflijk eenvoudig te implementeren, zonder dat er grote wijzigingen nodig zijn in de SAN-architectuur of storage stack. Voor storage-leveranciers is dit een low-friction, high-value beveiligingsverbetering die aansluit bij INCITS FC-SP-3-normen en Fibre Channel positioneert voor het volgende tijdperk van zero-trust-beveiliging.
Vooruitkijkend verwachten we dat Emulex Secure HBA's in 2025 een standaardlaag van SAN-beveiliging worden. Met toenemende regelgevende druk en de aanhoudende opkomst van ransomware en insider-bedreigingen, hebben ondernemingen robuuste, transparante en krachtige encryptieoplossingen nodig die geen nieuwe knelpunten creëren. De Emulex Secure HBA levert precies dat: een toekomstbestendige beveiligingsupgrade die ondernemingen vandaag met vertrouwen kunnen implementeren.
Dit rapport wordt gesponsord door Broadcom. Alle standpunten en meningen die in dit rapport worden geuit, zijn gebaseerd op onze onpartijdige visie op het/de product(en) in kwestie.
Neem contact op met StorageReview
Nieuwsbrief | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | RSS Feed
