A crescente sofisticação e frequência de ataques cibernéticos em data centers corporativos exigem medidas de segurança robustas e abrangentes. As abordagens tradicionais baseadas em firewall são cada vez mais inadequadas para proteger informações confidenciais, principalmente porque os invasores exploram vulnerabilidades em fluxos de dados internos. Garantir a segurança dos dados em trânsito se tornou um foco crítico, e a criptografia em trânsito oferece uma solução poderosa para evitar violações de dados e acesso não autorizado em redes de área de armazenamento (SANs).
Introduzir o Adaptadores de barramento de host de canal de fibra seguro Emulex (HBAs), um avanço na segurança do data center. Esses HBAs fornecem criptografia robusta baseada em sessão para SANs Fibre Channel, permitindo que as empresas adotem uma abordagem de confiança zero para o tráfego interno de dados. Com a conformidade com padrões rigorosos como o futuro Fibre Channel Security Protocol (FC-SP-3) e o Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), os Emulex Secure HBAs fornecem criptografia resistente a quantum que opera perfeitamente dentro das infraestruturas existentes. Notavelmente, essas soluções são descarregadas por hardware, garantindo que os aprimoramentos de segurança não comprometam o desempenho.
Os clientes têm relutado em implementar soluções de criptografia em voo (EDIF) por vários motivos, incluindo alto custo, complexidade e degradação significativa do desempenho do aplicativo. A equipe do Storagereview Lab experimentou e documentou os mesmos resultados ao comparar criptografia de software versus hardware. O Emulex Secure HBA está pronto para dissipar essas teorias e colocar a criptografia em voo no topo da lista para criptografar dados em voo sem prejudicar o desempenho do servidor, mantendo a taxa de transferência sem comprometimento.
Outra vantagem significativa dos HBAs Emulex Secure é sua integração perfeita, particularmente para fornecedores de arrays de armazenamento. Com a criptografia totalmente descarregada no hardware HBA, os fornecedores de armazenamento podem manter seu foco no desempenho e nas funcionalidades específicas do array sem o fardo de uma extensa reengenharia de software.
Espera-se que essa facilidade de adoção impulsione ampla aceitação em todo o setor. A atualização mais recente do setor de Fibre Channel da especificação técnica de segurança para produtos Fibre Channel, INCITS Fibre Channel Security Protocol 3 (FC-SP-3), estabelece um padrão para produtos Fibre Channel interoperáveis. Esta atualização mais recente inclui a definição de protocolos para autenticar entidades Fibre Channel, protocolos para configurar chaves de sessão e protocolos para negociar os parâmetros necessários para garantir integridade e confidencialidade quadro a quadro.
Os engenheiros da Emulex têm se envolvido ativamente no desenvolvimento de padrões para garantir que o Fibre Channel permaneça na vanguarda do enfrentamento dos desafios de segurança exigidos do data center moderno. À medida que as pressões regulatórias aumentam e as ameaças cibernéticas evoluem, a adoção de Emulex Secure HBAs garante que os fornecedores de SAN possam fornecer soluções de segurança robustas e à prova do futuro com o mínimo de esforço. Para empresas que usam o Fibre Channel, o padrão SP3 atual é uma etapa crucial para a segurança de dados à prova do futuro.
Por meio de uma demonstração prática, ilustraremos os benefícios da implantação de Emulex Secure HBAs, demonstrando sua capacidade de manter alto desempenho ao mesmo tempo em que oferece segurança inflexível. Desde a prevenção de vazamento de dados até a habilitação de detecção de anomalias em tempo real, esses HBAs representam um salto significativo na proteção do data center corporativo contra ameaças modernas.
Compreendendo a tecnologia Emulex Secure HBA
Visão geral da criptografia baseada em sessão e princípios de confiança zero.
Criptografia baseada em sessão
O Emulex Secure HBA é uma solução de criptografia simples, baseada em sessão. A solução de gerenciamento de chaves baseada em sessão, baseada no padrão emergente ANSI/INCITS FC-SP-3, não requer software de gerenciamento de chaves complexo e proibitivamente caro. Estabelecer uma sessão de criptografia entre um Secure HBA e uma porta de matriz de armazenamento é simples, funciona com switches SAN atuais e não requer nenhuma alteração de gerenciamento de malha. Executado completamente em hardware, no login da porta, ambos os endpoints validarão a capacidade de segurança, iniciarão a autenticação e a associação e começarão a criptografar quadros Fibre Channel. A atualização da chave de sessão de segurança acontece automaticamente sem interrupção do tráfego. Como tudo isso é feito em hardware, alterações de software não são necessárias e o software Multipath não é afetado. A solução oferece suporte à compatibilidade com versões anteriores por meio da negociação automática com matrizes mais antigas que podem não ser compatíveis com EDIF.
Confiança Zero
A segurança de confiança zero opera no princípio de “nunca confie, sempre verifique”, garantindo que cada solicitação de acesso seja autenticada, autorizada e monitorada continuamente. Diferentemente dos modelos tradicionais baseados em perímetro, a confiança zero minimiza o risco de violações ao exigir verificação de identidade e impor acesso de privilégio mínimo para usuários e dispositivos.
Implementar a segurança Zero-Trust tem várias vantagens principais. A verificação contínua implementada com Zero-Trust reduz a superfície geral de ataque. Também é adaptável, suportando forças de trabalho híbridas, adoção de nuvem e integração perfeita de IoT. Claro, a conformidade regulatória está no topo das mentes da maioria dos países. Zero-Trust se alinha com padrões rigorosos de segurança de dados para atender às regulamentações em evolução.
A confiança zero garante uma postura de segurança resiliente e adaptável, essencial para proteger dados organizacionais confidenciais, aproveitando tecnologias como autenticação multifator, microssegmentação e análise comportamental.
O Secure HBA introduz uma raiz de confiança de silício resistente a quantum para proteger a integridade do firmware e do ASIC.
Criptografia descarregada por hardware
A criptografia descarregada por hardware melhora o desempenho e a segurança delegando tarefas criptográficas a portas de hardware dedicadas dentro do HBA. Essa descarga reduz a carga computacional em CPUs enquanto acelera os processos de criptografia.
A criptografia descarregada por hardware oferece maior desempenho. O hardware dedicado acelera as operações criptográficas e reduz a latência e o processamento. Os ciclos da CPU são liberados para outras tarefas, aumentando a eficiência geral do sistema. A implantação de módulos de hardware isolados o torna resistente a violações e reduz vulnerabilidades.
Essa abordagem é particularmente eficaz para permitir amplo uso dentro do data center sem impactar o desempenho geral. Ela permite que as organizações alcancem criptografia robusta, escalável e com eficiência energética sem comprometer o desempenho.
Demonstrando os benefícios
Criptografia plug-and-play padrão da indústria
A Emulex nos mostrou uma demonstração para mostrar as diferenças mínimas de desempenho com criptografia habilitada e desabilitada para ver quanta sobrecarga essa solução adiciona aos dados em voo. As etapas abaixo descrevem como habilitar ou desabilitar a criptografia nos HBAs do Emulex Secure FC Host. Os HBAs usados no host e no array foram o Emulex LPe38102 64G, que a Emulex nos disse que foram tornados funcionais dentro do array flash com uma atualização simples de driver para fins de teste.
Topologia de demonstração
Os HBAs da Emulex processam todos os Dados Criptografados em Voo (EDIF) em hardware. Os HBAs têm SoCs de 8 núcleos, que gerenciam a carga de trabalho e direcionam os pacotes de dados por meio do mecanismo de offload de criptografia. Como a criptografia é offloaded, a CPU do host não é impactada por essas operações de criptografia.
O primeiro exercício foi executar uma carga de trabalho TPROC-H aproveitando o HammerDB como um loadgen de banco de dados com EDIF desabilitado. O comportamento padrão do Emulex Secure HBA é habilitar EDIF ao conectar a portas de destino compatíveis, mas também permitir compatibilidade com versões anteriores se um destino não suportar EDIF. O utilitário Emulex hbacmd é usado para desligar a função EDIF da porta HBA e verificar a alteração da configuração.
Depois que a configuração foi verificada, iniciamos a carga de trabalho no banco de dados. A demonstração de leitura pesada mostra o quanto do pipe 64G FC é usado, o que facilmente atingiu a taxa de linha para a maioria do teste.
Agora, é hora de alterar o parâmetro para habilitar a criptografia no HBA. Novamente, o utilitário Emulex hbacmd é usado para ativar a função EDIF da porta HBA e verificar a alteração da configuração. A tela abaixo mostra o comando e a saída. Simplesmente definir o estado EDIF para 1 ativa a criptografia em andamento. Defina o parâmetro EDIF edif-state=1. A mensagem “New edif parameter setting has been set” será exibida se a alteração for aceita. Será necessário reiniciar o host para que as alterações no estado EDIF entrem em vigor.
Para verificar se a alteração entrou em vigor, execute o comando “hbacmd GetEDIFParams”. O resultado indica que o estado EDIF está habilitado, e a opção Required-Encryption está desabilitada.
Para verificar se as portas no HBA estão conectadas e se o EDIF está habilitado, execute o comando “hbacmd GetConnectionInfo”. A saída deve ser semelhante à imagem abaixo.
Executamos o mesmo conjunto de consultas com criptografia habilitada. Mesmo com criptografia habilitada em voo, os resultados foram muito semelhantes aos de quando a criptografia estava desabilitada, a única variação sendo explicada pela carga útil de quadro FC ligeiramente menor, conforme especificado sob os padrões FC para enquadramento de criptografia.
A Emulex forneceu dados de desempenho em uma solução popular de criptografia de banco de dados usando a mesma configuração de teste destacada anteriormente. Usando o mesmo nível de criptografia AES-256, o aplicativo de banco de dados tem dificuldade para fornecer o mesmo nível de desempenho de aplicativo que o HBA devido à sobrecarga de processamento do servidor adicionada do software. A métrica de benchmark TPROC-H de tempo de conclusão para as 22 consultas de banco de dados é 40% maior para a criptografia de nível de aplicativo de banco de dados, com uma redução significativa na largura de banda do disco devido à latência aumentada do aplicativo.
No geral, é emocionante ver que a criptografia Secure HBA tem um impacto mínimo na taxa de transferência ou latência em uma carga de trabalho de banco de dados com uso intensivo de E/S e é significativamente melhor do que a alternativa baseada em aplicativo.
Conclusão
À medida que as ameaças à segurança empresarial crescem em escala e sofisticação, proteger dados em movimento se tornou tão crítico quanto proteger dados em repouso. As defesas tradicionais baseadas em firewall e soluções de criptografia de software introduzem compensações de desempenho que muitas organizações simplesmente não podem pagar. O Emulex Secure HBA muda essa equação ao fornecer criptografia baseada em padrões e descarregada por hardware que se integra perfeitamente aos servidores existentes e SANs Fibre Channel.
Em nossos testes, descobrimos que os HBAs Emulex Secure permitem criptografia em voo com praticamente nenhum impacto no desempenho, abordando uma das maiores preocupações em torno da adoção do EDIF. Com a criptografia totalmente descarregada para o HBA, serviços de armazenamento como compactação e desduplicação permanecem intactos, garantindo que as empresas não precisem comprometer a eficiência pela segurança. Mesmo em cargas de trabalho de banco de dados com uso intensivo de E/S, o impacto foi insignificante — superando em muito os métodos tradicionais de criptografia baseados em software em velocidade e eficiência.
A natureza plug-and-play desses HBAs também os torna incrivelmente fáceis de implementar, sem grandes mudanças necessárias na arquitetura SAN ou na pilha de armazenamento. Para fornecedores de armazenamento, este é um aprimoramento de segurança de baixo atrito e alto valor que se alinha com os padrões INCITS FC-SP-3, ao mesmo tempo em que posiciona o Fibre Channel para a próxima era de segurança de confiança zero.
Olhando para o futuro, esperamos que os Emulex Secure HBAs se tornem uma camada padrão de segurança SAN em 2025. Com o aumento das pressões regulatórias e o aumento contínuo de ransomware e ameaças internas, as empresas precisam de soluções de criptografia robustas, transparentes e de alto desempenho que não criem novos gargalos. O Emulex Secure HBA oferece exatamente isso — uma atualização de segurança à prova do futuro que as empresas podem adotar hoje com confiança.
Este relatório é patrocinado pela Broadcom. Todas as visões e opiniões expressas neste relatório são baseadas em nossa visão imparcial do(s) produto(s) em consideração.
Amazon