Emulex SecureHBA maakt autonome Fibre Channel SAN-encryptie mogelijk met Everpure FlashArray.

Voor het eerst is end-to-end, hardwarematige encryptie tijdens de overdracht beschikbaar over het gehele Fibre Channel-datapad – van server tot opslagarray. Everpure (voorheen Pure Storage) levert nu Fibre Channel-compatibele FlashArray-systemen met Emulex SecureHBA-technologie die direct in de array is geïntegreerd. Hiermee is het versleutelde transportpad voltooid waar de industrie al zo lang naartoe werkt. Toekomstige FlashArray-modellen zullen SecureHBA als standaard Fibre Channel-adapteroptie hebben. In onze evaluatie hebben we de FlashArray//XL130 R5 beoordeeld, de eerste primaire opslagarray die deze functionaliteit native in het platform biedt.

Wanneer SecureHBA-uitgeruste servers verbinding maken met de Everpure-array, worden automatisch versleutelde sessies in de hardware tot stand gebracht. Er hoeven geen extra agents te worden geïnstalleerd en er is geen externe versleutelingsinfrastructuur nodig. Het resultaat is een end-to-end versleutelde Fibre Channel-verbinding van server naar opslag, die transparant wordt geïmplementeerd zonder dat extra software of externe versleutelingsinfrastructuur nodig is.

Hoewel encryptie van data in rust standaardpraktijk is in bedrijfsopslag, is het versleutelen van data tijdens transport, met name in Fibre Channel SAN-omgevingen, lastig gebleken zonder de complexiteit te vergroten en de applicatieprestaties te beïnvloeden. Organisaties vertrouwden van oudsher op softwarematige methoden met externe sleutelbeheersystemen, wat extra beheerkosten en potentiële risico's met zich meebrengt. Het leveren van naadloze, hardwarematige encryptie over het gehele opslagnetwerk is historisch gezien moeilijk gebleken.

Emulex ging de uitdaging aan met SecureHBA. In plaats van afhankelijk te zijn van hostsoftware of externe systemen, voert SecureHBA encryptie in hardware uit, waardoor de applicatieprestaties en workflows ongestoord blijven. Sinds die eerste berichtgeving is de technologie definitief in productie genomen. In februari kondigde de Fibre Channel Industry Association (FCIA) de voltooiing aan van de INCITS Fibre Channel, Beveiligingsprotocollen, Derde Editie (FC-SP-3) specificatie. Emulex SecureHBA voldoet volledig aan de nieuwe standaard. SecureHBA's worden nu op grote schaal geleverd door belangrijke serverfabrikanten, waaronder Dell, HPE en Lenovo, en er zijn al meer dan 120,000 adapters in bedrijfsomgevingen geïmplementeerd. In veel gevallen hebben organisaties tijdens routinematige serververnieuwingen Fibre Channel-endpoints met encryptiemogelijkheden geïnstalleerd, maar de voordelen ervan niet volledig benut omdat de opslagarrays geen native ondersteuning boden.

Deze technische analyse beschrijft hoe SecureHBA werkt met de geteste FlashArray//XL130 R5, onderzoekt hoe Emulex SAN Manager 3.0 operationeel inzicht en rapportage biedt, en bevestigt de prestaties van hardwarematige encryptie in een praktijksituatie. Een belangrijk verschil is waar de encryptie in het datapad plaatsvindt: in tegenstelling tot encryptie op applicatielaagniveau, waarbij data niet comprimeerbaar is voordat deze de array bereikt, versleutelt SecureHBA op de Fibre Channel-transportlaag, waardoor compressie, deduplicatie en ransomwaredetectie op arrayniveau behouden blijven.

Waarom SAN-encryptie tijdens de vlucht belangrijk is

Fibre Channel-netwerken opereerden van oudsher binnen een veronderstelde vertrouwensgrens. Opslaginfrastructuur was fysiek gesegmenteerd, strak beheerd en werd beschouwd als afgeschermd van bredere netwerkdreigingen. Die aanname is steeds moeilijker te verdedigen. Ransomware-activiteit blijft aanhoudend en adaptief. Het Threat Hunter Team van Symantec en Carbon Black Ransomware-rapport 2026 merkt op dat cybercriminele groeperingen zich snel blijven ontwikkelen, waarbij verstoorde operaties snel worden vervangen door nieuwe partners, wat resulteert in een aanhoudend hoog aantal aanvallen per jaar. Verizon Data Breach Investigations Report 2025 Dit bevestigt de trend: ransomware was aanwezig in 44% van alle geanalyseerde datalekken, een stijging van 37% ten opzichte van het voorgaande jaar.

Deze campagnes zijn infrastructuurbewust. Zodra een aanvaller bevoorrechte toegang verkrijgt, wordt laterale zichtbaarheid binnen het netwerk mogelijk. Hoewel Fibre Channel-verkeer niet op dezelfde manier wordt gerouteerd als traditioneel IP-verkeer, werkt het nog steeds op de transportlaag en verplaatst het zeer gevoelige gegevens tussen servers en opslag. De aanname dat het SAN inherent veilig is, gaat ervan uit dat de perimeterbeveiliging intact blijft en dat interne inbreuken nooit voorkomen, aannames die door de steeds vaker waargenomen inbreukpatronen worden weerlegd.

Het meest realistische risicoscenario is niet een externe aanvaller die zich direct richt op het Fibre Channel-netwerk, maar eerder een gecompromitteerde host of een bevoorrechte insider die al binnen de omgeving actief is. Wanneer administratieve controle over een server of virtualisatiehost wordt verkregen, wordt het dataverkeer tussen de host en de array zichtbaar binnen de infrastructuur. Versleuteling van het transportpad zorgt ervoor dat zelfs vertrouwde interne netwerken geen gevoelige gegevens blootleggen tijdens laterale verplaatsing of na een inbreuk.

De regelgeving evolueert mee met het veranderende dreigingslandschap. Frameworks zoals CNSA 2.0, NIS2 en DORA leggen meer nadruk op cryptografische weerbaarheid en op de bescherming van data tijdens transport, niet alleen data in rust. Beveiligingsmodellen zijn steeds vaker gebaseerd op zero-trust-principes, waarbij interne netwerksegmenten niet langer impliciet worden vertrouwd. Hierdoor worden organisaties gedwongen om encryptie te evalueren over alle lagen van de infrastructuur, inclusief transportpaden voor opslag die voorheen als veilig werden beschouwd.

Er is ook een operationele dimensie. Veel moderne opslagplatformen vertrouwen op het identificeren van afwijkend gedrag (zoals plotselinge veranderingen in compressieverhoudingen of schrijfpatronen) om ransomware vroegtijdig te detecteren. Als encryptie wordt toegepast op de applicatielaag voordat de data de array bereikt, kunnen deze detectiemechanismen worden belemmerd. Door het verkeer op de transportlaag te versleutelen, behoudt de array het inzicht in de data-eigenschappen, terwijl de data tijdens het transport toch beschermd blijft. Dit architectonische onderscheid wordt steeds relevanter naarmate organisaties hun herstelstrategieën verfijnen en de verblijftijd tijdens aanvallen willen verkorten.

De plaatsing van encryptie in het datapad heeft ook invloed op de opslagefficiëntie. Wanneer data op applicatie- of hostniveau wordt versleuteld voordat deze het opslagsysteem bereikt, wordt deze doorgaans oncomprimeerbaar omdat het encryptieproces herkenbare datapatronen verwijdert. Dit kan de effectiviteit van compressie- en datareductiediensten op arrayniveau aanzienlijk verminderen. Transportlaagencryptie binnen de Fibre Channel-stack vindt daarentegen plaats nadat de data de host heeft verlaten, maar voordat deze de SAN doorloopt, en wordt ontsleuteld bij binnenkomst in de opslagarray. Deze aanpak stelt de array in staat de oorspronkelijke datastroom normaal te verwerken, waarbij compressie, deduplicatie en andere datadiensten behouden blijven, terwijl de data tijdens de overdracht wordt beschermd. Het onderscheid tussen applicatielaag- en transportlaagencryptie is met name belangrijk voor organisaties die afhankelijk zijn van moderne opslagarrays voor efficiëntie en ransomwaredetectie.

De vernieuwingscycli van de infrastructuur versterken het belang van dit moment. Server- en opslagplatformen blijven vaak vijf jaar of langer in productie, wat betekent dat de architectuurkeuzes die vandaag worden gemaakt, de beveiligingsstatus voor een groot deel van het volgende decennium bepalen. Versleutelingsmogelijkheden die op hardwareniveau zijn ingebouwd, worden zelden achteraf toegevoegd; ze worden doorgaans geselecteerd als onderdeel van het basisontwerp. Voor organisaties die nieuwe serverimplementaties evalueren of opslagarrays moderniseren, mag transportlaagversleuteling binnen het SAN niet langer als optioneel worden beschouwd. Hardwarematige Fibre Channel PQC-beveiligde versleuteling is een duurzame beveiligingsmaatregel die aansluit bij de veranderende compliance-eisen, zero-trust-modellen en risicobeheer op lange termijn.

In-flight SAN-encryptie is geen reactie op een specifieke zwakte van Fibre Channel. Het weerspiegelt een bredere verschuiving in proactief denken over bedrijfsbeveiliging: geen enkele interne netwerklaag wordt impliciet vertrouwd en veerkracht moet vanaf het begin op elk mogelijk niveau in de infrastructuur worden ingebouwd.

Overzicht van de SecureHBA-architectuur

Het Emulex SecureHBA-ecosysteem is gebouwd op de INCITS Fibre Channel Security Protocols, Third Edition (FC-SP-3)-standaard, waardoor achterwaartse en voorwaartse compatibiliteit met bestaande Fibre Channel-netwerken en -adapters wordt gegarandeerd. SecureHBA's kunnen in een bestaand netwerk worden geïntegreerd zonder dat hardware- of software-upgrades van de switches nodig zijn. Wanneer beide eindpunten hardwarematige encryptie ondersteunen, worden de encryptiemogelijkheden automatisch onderhandeld tijdens het standaard Fibre Channel-aanmeldingsproces en wordt een versleutelde sessie tot stand gebracht zonder handmatige configuratie.

Omdat de PQC-veilige sleutelonderhandeling volledig door de SecureHBAs wordt beheerd, is er geen extra infrastructuur voor sleutelbeheer of configuratie van het besturingssysteem nodig. PQC-veilig verwijst in deze context naar cryptografische sleuteluitwisselingsmechanismen die ontworpen zijn om bestand te blijven tegen toekomstige kwantumcomputeraanvallen op traditionele publieke-sleutelalgoritmen. Sessiesleutels worden autonoom gegenereerd en vernieuwd, waardoor encryptie transparant kan werken binnen de transportlaag.

Beheerders kunnen het standaardgedrag wijzigen, maar dit is niet noodzakelijk voor volledige compatibiliteit. Een beheerder kan ervoor kiezen om de instellingen aan te passen zodat alleen versleutelde verbindingen zijn toegestaan; dit voorkomt dat servers die geen versleuteling ondersteunen, verbinding kunnen maken. De beheerder kan de functie ook uitschakelen, waardoor alle servers zonder versleuteling verbinding kunnen maken, indien gewenst.

Vanuit architectonisch oogpunt integreert SecureHBA encryptie direct in het Fibre Channel-transportpad in plaats van deze bovenop applicaties of hostsoftware te plaatsen. Hierdoor blijft het bestaande fabric-ontwerp behouden en kan encryptie tijdens de overdracht worden ingezet zonder de operationele complexiteit te vergroten.

Moderne serverplatforms bevatten steeds vaker hardwarematige vertrouwensmechanismen die de authenticiteit en integriteit van systeemcomponenten verifiëren voordat ze worden ingezet voor productieworkloads. Technologieën zoals de silicon root of trust, secure boot chains en device attestation protocollen, waaronder het DMTF Security Protocol and Data Model (SPDM), stellen systemen in staat om firmware, adapters en andere apparaten cryptografisch te verifiëren bij het opstarten. Deze mechanismen zorgen ervoor dat de hardware die bij een workload betrokken is, authentiek is en met geverifieerde firmware werkt voordat er gegevens worden overgedragen.

SecureHBA breidt het hardware-vertrouwensmodel uit naar de transportlaag van de opslag zelf. Zodra vertrouwde apparaten zijn vastgesteld bij de server- en opslag-eindpunten, beschermt de versleutelde Fibre Channel-sessie de gegevens tijdens de overdracht tussen deze apparaten. In deze architectuur werken identiteitsverificatie en gegevensbescherming samen: vertrouwde infrastructuurcomponenten communiceren via een versleuteld SAN-pad zonder dat er extra softwarelagen of externe beveiligingsinfrastructuur nodig zijn. Het resultaat is een beveiligingsaanpak die aansluit bij moderne zero-trust-principes, terwijl de operationele eenvoud die kenmerkend is voor Fibre Channel-omgevingen behouden blijft.

Prestatievalidatie: Oracle TPROC-H-werkbelasting

Vertegenwoordigers van Broadcom en Everpure hebben een virtuele labsessie met ons gehouden om de prestatiekarakteristieken van niet-versleutelde en versleutelde verbindingen te demonstreren met behulp van de Emulex SecureHBA en de Everpure FlashArray//XL130 R5. De opstelling bestond uit een server met een SecureHBA, waarop Oracle 26ai Database-software draaide, en acht volumes van 200 gigabyte die waren geconfigureerd op de FlashArray//XL130 R5 voor een HammerDB TPROC-H datawarehouse-test. Deze test, ontworpen voor maximale doorvoer, stelde ons in staat om de array en SecureHBA tot het uiterste te drijven en hun prestaties te beoordelen met hardwareversleuteling ingeschakeld en uitgeschakeld.

Omdat softwarematige encryptieoplossingen hun prestatieverlies direct opleggen aan de host-CPU, is de host-CPU de juiste plek om te kijken bij het evalueren of hardware-offloading zijn belofte waarmaakt. Aangezien alle encryptieprocessen direct op de chip van de SecureHBA plaatsvinden, bleef het CPU-gebruik op de server vrijwel gelijk tijdens de onversleutelde en versleutelde testruns. Door encryptie en decryptie naar de HBA te verplaatsen, kan gegevensoverdracht nog steeds met maximale doorvoer plaatsvinden zonder CPU-knelpunt.

Als we iets verder inzoomen, zien we een vrijwel onmerkbaar verschil in maximaal CPU-gebruik onder de TPROC-H-workload: 30.46% met een versleutelde verbinding en 31.68% met een onbeveiligde verbinding. De gemiddelden voor de CPU-gebruiksgegevens lagen hier ook zeer dicht bij elkaar, met versleuteling aan op 24.35% vergeleken met versleuteling uit op 24.28%. Deze resultaten liggen zo dicht bij elkaar dat ze ruim binnen de variatie tussen opeenvolgende runs vallen en aantonen dat de ingebouwde versleutelingsprocessen van de SecureHBA geen invloed hebben op het CPU-gebruik van de host.

Bij oplossingen die afhankelijk zijn van sleutelbeheerservers of -services, moeten zowel de actieve als de passieve kant van de verbinding worden geconfigureerd en getest om een ​​correcte authenticatie en encryptie te garanderen, evenals een succesvolle failover. Omdat Emulex dit automatisch in hardware uitvoert, is dit geen zorg voor beheerders. Voor alternatieve oplossingen die afhankelijk zijn van externe sleutelbeheerservices, moeten zowel het actieve als het standby-pad afzonderlijk worden geconfigureerd, geauthenticeerd en gevalideerd om een ​​correct failover-gedrag te garanderen.

In grote SAN-omgevingen met duizenden verbindingen kunnen de tijd en operationele complexiteit die nodig zijn om die paden te verifiëren aanzienlijk toenemen. Dit proces kan duizenden verbindingen per poort omvatten en de totale duur aanzienlijk verlengen. Door de encryptieonderhandeling rechtstreeks in de SecureHBA-hardware af te handelen, worden deze extra authenticatiestappen geëlimineerd, waardoor het risico op verkeerde configuratie of vertraagde failover wordt geminimaliseerd. Bovendien lopen oplossingen die afhankelijk zijn van externe sleutelbeheerders het risico op verkeerde configuratie of niet-gesynchroniseerde certificaten over alle verbindingen, inclusief het passieve pad. Dit is mogelijk niet direct duidelijk, aangezien de meeste connectiviteitsproblemen pas worden opgemerkt wanneer het actieve pad een probleem ondervindt.

Met Everpure's FlashArray//XL130 R5 en SecureHBAs kunnen klanten rekenen op een snelle en veilige overschakeling bij kritieke storingen, dankzij de robuuste architectuur met dubbele controller en de autonome, versleutelde herstelprocedure van de verbinding. Wanneer opslaginfrastructuur uitvalt, stellen Everpure en Emulex beheerders in staat zich te concentreren op het onderliggende probleem, terwijl de SAN-failover automatisch op de achtergrond wordt afgehandeld.

Operationele validatie: Hoe encryptie in de praktijk wordt waargenomen

Tijdens onze labsessie gaf Emulex ons een korte demonstratie van hun zero-touch provisioning-functie met behulp van de Emulex SecureHBA. De hardwaretopologie van dit lab bestond uit een initiator-hostserver met twee HBA's: een 64G Fibre Channel SecureHBA en een 64G Fibre Channel HBA zonder hardwarematige encryptie. Beide initiators waren verbonden met een Everpure FlashArray//XL130 R5 met twee SecureHBA's die als targets waren geconfigureerd.

Met behulp van de commandoregelinterface op de XL130 R5 demonstreerde Everpure naadloze, automatisch versleutelde verbindingen en liet precies zien hoe de versleutelingsstatus van elke poort wordt weergegeven, zoals in de onderstaande afbeelding te zien is.

De Everpure CLI kan ook meer gedetailleerde encryptie-informatie van SecureHBA's weergeven, zoals of de verbinding gebruikmaakt van post-quantum cryptografie en de deadline voor het opnieuw genereren van de sleutel van de HBA.

Standaard werden er direct versleutelde verbindingen tot stand gebracht tussen de SecureHBA's op de initiator-hostserver en de Everpure FlashArray//XL130 R5. Er werd een onversleutelde verbinding tot stand gebracht tussen de standaard Fibre Channel HBA en dezelfde arraypoort, wat het gebruiksgemak aantoont en tegelijkertijd een brede compatibiliteit garandeert.

Emulex SAN Manager 3.0: Zichtbaarheid en naleving op fabric-niveau

Hoogtepunten en nieuwe functies

• Snel toegang tot de versleutelingsstatus van elke verbinding in een SAN.
• Ingebouwde rapportagetools voor het controleren en evalueren van de beveiligingsnaleving binnen het SAN.
• Scriptingvriendelijk platform met een op Python gebaseerde CLI en automatische gebeurtenismeldingen via SMTP.

Voor klanten die gebruikmaken van Emulex Fibre Channel HBA's (inclusief SecureHBA's), biedt Broadcom de Emulex SAN Manager 3.0-software zonder extra kosten aan. Sinds de oprichting in 2020De software is ontworpen om storagebeheerders dieper inzicht te geven in hun SAN en om tools te bieden voor monitoring, onderhoud en rapportage in meerdere Fibre Channel-omgevingen. Na het inloggen geven duidelijke donutdiagrammen een overzicht van de prestaties en statusgegevens van de gehele SAN met behulp van widgets die kunnen worden aangepast en herschikt naar de voorkeuren van de gebruiker. Op elk van deze widgets kan worden geklikt om de gegevens achter het diagram te bekijken.

Tegelijk met de release van Emulex SecureHBA zijn er nieuwe functies in SAN Manager 3.0. Gebruikers kunnen nu de widget 'Versleutelingsbeleid' op het dashboard gebruiken om precies te zien hoeveel Emulex Fibre Channel-nodes versleuteling ondersteunen, versleuteling vereisen of versleutelingsmogelijkheden hebben uitgeschakeld. Door op de widget 'Versleutelingsbeleid' of de kop 'Versleutelingsinfo' in SAN Manager 3.0 te klikken, krijgt u een gedetailleerde lijst van alle verbonden poorten te zien. Deze lijst kan worden gefilterd en gesorteerd op kenmerken zoals WWPN, hostnaam, beleid en sleutelinterval. Dit maakt het eenvoudig om poorten snel te vinden en te beheren, en biedt nog meer informatie wanneer een specifieke poort is geselecteerd.

Naast het bekijken van geconfigureerde encryptiebeleidsregels in het dashboard, bevat Emulex SAN Manager 3.0 nu ingebouwde rapportagetools voor audits en complianceverificatie. Beveiligingsrapporten in CSV-formaat kunnen nu rechtstreeks in de applicatie worden gegenereerd en geëxporteerd (via downloaden of e-mail), waardoor drukke IT-managers niet langer handmatig informatie hoeven te verzamelen van mogelijk duizenden Fibre Channel-nodes en de compliance handmatig hoeven te controleren.

De Emulex SAN Manager biedt gebruikers ook inzicht in de status van hun SAN, met tools om congestie te beheersen, defecte transceivers te identificeren en verbindingssnelheden te bekijken. Naast een uitstekende GUI-gebaseerde tool heeft Broadcom mogelijkheden gecreëerd voor IT-professionals met een focus op automatisering, met een op Python gebaseerde commandoregelinterface voor scripting. Het bedrijf is van plan om ingebouwde webhooks toe te voegen waarmee analisten prestatie- en betrouwbaarheidsgegevens vanuit de SAN Manager kunnen exporteren en bekijken in andere applicaties en tools. Zelfs e-mailwaarschuwingen (via SMTP) die beheerders waarschuwen voor kritieke gebeurtenissen kunnen worden geconfigureerd met behulp van een krachtige taakplanner. Voornamelijk gedreven door klantverzoeken, werkt het ontwikkelingsteam hard om van de applicatie een uitbreidbaar, alles-in-één platform te maken. Emulex SAN Manager 3.0 zal een welkome aanvulling zijn op het arsenaal van elke storagebeheerder wanneer de encryptieconformiteit, status, multipathing of prestaties van een Emulex SAN moeten worden gecontroleerd.

Conclusie

De Everpure FlashArray met Emulex SecureHBA is de eerste productie-implementatie van transportlaag-, PQC-veilige encryptie over het Fibre Channel-datapad.

De introductie van hardwarematige transportlaagversleuteling in de Fibre Channel-stack markeert een belangrijke verschuiving in de manier waarop bedrijven over opslagbeveiliging denken. Jarenlang opereerden Fibre Channel-netwerken binnen een impliciete vertrouwensgrens. Emulex SecureHBA daagt die aanname uit door versleuteling direct in de transportlaag in te bouwen, zonder het ontwerp van het netwerk te wijzigen of operationele overhead te introduceren. Onze evaluatie van de Everpure FlashArray met Emulex SecureHBA's toont aan dat end-to-end, in-flight versleuteling kan worden ingezet zonder meetbare prestatievermindering of extra complexiteit. Versleuteling werd automatisch onderhandeld, schaalde over meer dan duizend sessies en behield de datadiensten en hostprestatiekenmerken van de array.

Emulex heeft al een aanzienlijke aanwezigheid opgebouwd, met meer dan 120,000 SecureHBA's die zijn geleverd aan belangrijke serverfabrikanten. De toevoeging van een endpoint op de storage array sluit de cirkel en maakt echte end-to-end-encryptie over het gehele SAN mogelijk. Hoewel Everpure de eerste is die SecureHBA op arrayniveau integreert, is de architectuur gebaseerd op standaarden en ontworpen om te worden uitgebreid naar toekomstige Fibre Channel-platformen naarmate hardware-updates worden uitgevoerd.

Omdat deze oplossing op standaarden is gebaseerd, is interoperabiliteit gegarandeerd. Hoewel Emulex en Everpure de eersten zijn die deze oplossing introduceren, biedt ze nog steeds ruimte voor interoperabiliteit tussen HBA's en storage arrays van andere merken. Deze oplossing is fabric-agnostisch en kan naadloos worden uitgebreid naar fabric extension solutions (FC-IP). Omdat alles in hardware wordt beheerd, vereist de oplossing geen specifieke softwareversies of extra OS-versiespecifieke featurepakketten.

Infrastructuurbeslissingen die vandaag worden genomen, bepalen vaak de risicopositie van een onderneming voor de komende vijf tot zeven jaar. Naarmate organisaties servers en opslagarrays moderniseren, biedt het integreren van PQC-veilige encryptie op de transportlaag een duurzame beveiligingsmaatregel die aansluit bij de veranderende compliance-eisen en zero-trust-principes. SecureHBA positioneert SAN-encryptie tijdens de overdracht als een fundamenteel element van modern Fibre Channel-ontwerp, waarbij beveiliging, prestaties en operationele eenvoud binnen de transportlaag zelf worden gecombineerd.

Lees meer over Emulex LPe38102 SecureHBAs, Emulex LPe37102 SecureHBAsen Emulex SAN Manager.

Meer informatie over de Everpure FlashArray//XL series.