Upptäck hur Emulex Secure HBA-kryptering skyddar data under överföring med hårdvaruavlastad säkerhet för Fibre Channel SAN.
Den växande sofistikeringen och frekvensen av cyberattacker mot företagsdatacenter kräver robusta och omfattande säkerhetsåtgärder. Traditionella brandväggsbaserade tillvägagångssätt är alltmer otillräckliga för att skydda känslig information, särskilt som angripare utnyttjar sårbarheter i interna dataflöden. Att säkerställa säkerheten för data under överföring har blivit ett kritiskt fokus, och kryptering under flygning erbjuder en kraftfull lösning för att förhindra dataintrång och obehörig åtkomst inom lagringsområdesnätverk (SAN).
Ange Emulex Secure Fibre Channel Host Bus Adapters (HBAs), ett säkerhetsgenombrott för datacenter. Dessa HBA:er levererar robust, sessionsbaserad kryptering för Fibre Channel SAN, vilket gör det möjligt för företag att anta en nollförtroendemetod för intern datatrafik. Med överensstämmelse med stränga standarder som det kommande Fibre Channel Security Protocol (FC-SP-3) och Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), tillhandahåller Emulex Secure HBA: er kvantbeständig kryptering som fungerar sömlöst inom befintliga infrastrukturer. Dessa lösningar är särskilt hårdvara-avlastade, vilket säkerställer att säkerhetsförbättringar inte äventyrar prestandan.
Kunder har varit ovilliga att distribuera krypteringslösningar under flygning (EDIF) av flera skäl, inklusive höga kostnader, komplexitet och betydande försämring av applikationsprestanda. Storagereview Lab-teamet har upplevt och dokumenterat samma resultat när de jämför mjukvara kontra hårdvarukryptering. Emulex Secure HBA är redo att skingra dessa teorier och sätta kryptering under flygning högst upp på listan för att kryptera data under flygning utan att krossa serverns prestanda samtidigt som kompromisslös genomströmning bibehålls.
En annan av Emulex Secure HBAs betydande fördelar är dess sömlösa integration, särskilt för leverantörer av lagringsarrayer. Med kryptering helt avlastad till HBA-hårdvaran kan lagringsleverantörer behålla sitt fokus på prestanda och arrayspecifika funktioner utan bördan av omfattande mjukvaruutveckling.
Denna lätthet att använda förväntas leda till en bred acceptans inom branschen. Fibre Channel-branschens senaste uppdatering av den säkerhetstekniska specifikationen för Fibre Channel-produkter, INCITS Fibre Channel Security Protocol 3 (FC-SP-3), etablerar en standard för interoperabla Fibre Channel-produkter. Den senaste uppdateringen inkluderar definitionen av protokoll för autentisering av Fibre Channel-enheter, protokoll för att ställa in sessionsnycklar och protokoll för att förhandla om de parametrar som krävs för att säkerställa integritet och konfidentialitet bildruta för bildruta.
Emulex-ingenjörer har varit aktivt involverade i standardutveckling för att säkerställa att Fibre Channel förblir i framkant när det gäller att hantera säkerhetsutmaningar som krävs av det moderna datacentret. I takt med att regulatoriska tryck ökar och cyberhot utvecklas, säkerställer antagandet av Emulex Secure HBAs att SAN-leverantörer kan tillhandahålla robusta, framtidssäkra säkerhetslösningar med minimal ansträngning. För företag som använder Fibre Channel är den nuvarande SP3-standarden ett avgörande steg för att framtidssäkra datasäkerheten.
Genom en praktisk demonstration kommer vi att illustrera fördelarna med att implementera Emulex Secure HBAs, och visa deras förmåga att bibehålla hög prestanda samtidigt som de levererar kompromisslös säkerhet. Från att förhindra dataläckage till att möjliggöra avvikelser i realtid, dessa HBA representerar ett betydande steg framåt för att säkra företagets datacenter mot moderna hot.
Förstå Emulex Secure HBA-teknik
Översikt över sessionsbaserad kryptering och nollförtroendeprinciper.
Sessionsbaserad kryptering
Emulex Secure HBA är en enkel, sessionsbaserad krypteringslösning. Den sessionsbaserade nyckelhanteringslösningen, baserad på den framväxande ANSI/INCITS FC-SP-3-standarden, kräver ingen komplex och oöverkomligt dyr programvara för nyckelhantering. Det är enkelt att upprätta en krypteringssession mellan en säker HBA och lagringsarrayport, fungerar med nuvarande SAN-switchar och kräver inga förändringar av strukturhantering. Utförs helt i hårdvara, vid portinloggning, kommer båda slutpunkterna att validera säkerhetskapaciteten, påbörja autentisering och associering och börja kryptera Fibre Channel-ramar. Uppfriskning av säkerhetsnyckeln sker automatiskt utan trafikavbrott. Eftersom allt detta görs i hårdvara behövs inga mjukvaruförändringar och Multipath-programvaran påverkas inte. Lösningen stöder bakåtkompatibilitet genom att automatiskt förhandla med äldre arrayer som kanske inte är EDIF-kompatibla.
Nollförtroende
Nollförtroendesäkerhet fungerar på principen om att "aldrig lita på, alltid verifiera", vilket säkerställer att varje åtkomstbegäran är autentiserad, auktoriserad och kontinuerligt övervakad. Till skillnad från traditionella perimeterbaserade modeller minimerar zero-trust risken för intrång genom att kräva identitetsverifiering och genomdriva minsta privilegieåtkomst för användare och enheter.
Att implementera Zero-Trust-säkerhet har flera kärnfördelar. Den kontinuerliga verifieringen implementerad med Zero-Trust minskar den övergripande attackytan. Den är också anpassningsbar och stöder hybridarbetskrafter, molnadoption och sömlös IoT-integration. Naturligtvis är regelefterlevnad högst upp i de flesta länders sinnen. Zero-Trust anpassar sig till stränga datasäkerhetsstandarder för att möta förändrade regelverk.
Zero-trust säkerställer en motståndskraftig och anpassningsbar säkerhetsställning som är avgörande för att skydda känslig organisationsdata genom att utnyttja teknologier som multifaktorautentisering, mikrosegmentering och beteendeanalys.
Secure HBA introducerar en kvantbeständig kiselrot av förtroende för att skydda integriteten hos den fasta programvaran och ASIC.
Hårdvaruavlastad kryptering
Hårdvaruavlastad kryptering förbättrar prestanda och säkerhet genom att delegera kryptografiska uppgifter till dedikerade hårdvaruportar inuti HBA. Denna avlastning minskar beräkningsbördan på processorer samtidigt som krypteringsprocesserna påskyndas.
Hårdvaruavlastad kryptering ger ökad prestanda. Dedikerad hårdvara accelererar kryptografiska operationer och minskar latens och bearbetning. CPU-cykler frigörs för andra uppgifter, vilket ökar systemets totala effektivitet. Att distribuera isolerade hårdvarumoduler gör den manipuleringssäker och minskar sårbarheter.
Detta tillvägagångssätt är särskilt effektivt för att möjliggöra bred användning inom datacentret utan att påverka den övergripande prestandan. Det gör det möjligt för organisationer att uppnå robust, skalbar och energieffektiv kryptering utan att kompromissa med prestanda.
Demonstrera fördelarna
Branschstandard plug-and-play-kryptering
Emulex körde oss genom en demo för att visa upp de minimala prestandaskillnaderna med kryptering aktiverad och inaktiverad för att se hur mycket overhead den här lösningen lägger till data under flygning. Stegen nedan beskriver hur du aktiverar eller inaktiverar kryptering på Emulex Secure FC Host HBA. De HBA som användes i värden och arrayen var Emulex LPe38102 64G, som Emulex berättade för oss gjordes funktionella i flash-arrayen med en enkel drivrutinsuppdatering för teständamål.
Demo Topologi
Emulex HBA:er bearbetar all krypterad data under flygning (EDIF) i hårdvara. HBA:erna har 8-kärniga SoC:er, som hanterar arbetsbelastningen och dirigerar datapaketen genom krypteringsmotorn. Eftersom krypteringen laddas ur påverkas inte värdprocessorn av dessa krypteringsoperationer.
Den första övningen var att köra en TPROC-H-arbetsbelastning med HammerDB som en databasladdning med EDIF inaktiverat. Emulex Secure HBA:s standardbeteende är att aktivera EDIF vid anslutning till kompatibla målportar men även möjliggöra bakåtkompatibilitet om ett mål inte stöder EDIF. Emulex hbacmd-verktyget används för att stänga av EDIF-funktionen för HBA-porten och verifiera inställningsändringen.
När inställningen verifierats startade vi arbetsbelastningen på databasen. Den lästunga demon visar hur mycket av 64G FC-röret som används, vilket lätt nådde linjehastigheten under större delen av testet.
Nu är det dags att ändra parametern för att aktivera kryptering på HBA. Återigen, Emulex hbacmd-verktyget används för att slå på EDIF-funktionen för HBA-porten och för att verifiera inställningsändringen. Skärmen nedan visar kommandot och utdata. Genom att helt enkelt ställa in EDIF-tillståndet till 1 aktiveras kryptering under flygning. Ställ in EDIF-parameter edif-state=1. Meddelandet "Ny edif-parameterinställning har ställts in" kommer att visas om ändringen accepteras. Det kommer att vara nödvändigt att starta om värden för att ändringarna av EDIF-tillståndet ska träda i kraft.
För att verifiera att ändringen trädde i kraft, kör kommandot "hbacmd GetEDIFParams". Resultatet indikerar att EDIF-tillståndet är aktiverat och alternativet Required-Encryption är inaktiverat.
För att verifiera att portarna på HBA är anslutna och EDIF är aktiverat, kör kommandot "hbacmd GetConnectionInfo". Utgången ska se ut som bilden nedan.
Vi körde samma uppsättning frågor med kryptering aktiverad. Även med kryptering aktiverad under flygning var resultaten mycket lika de när kryptering inaktiverades, den enda variationen förklaras av den något mindre FC-ramnyttolasten som specificeras under FC-standarderna för krypteringsramning.
Emulex tillhandahöll prestandadata på en populär databaskrypteringslösning med samma testkonfiguration som belysts tidigare. Genom att använda samma AES-256-krypteringsnivå, kämpar databasapplikationen för att tillhandahålla samma nivå av applikationsprestanda som HBA på grund av den extra serverbearbetningskostnaden för programvaran. TPROC-H-riktmärket för slutförandetid för de 22 databasfrågorna är 40 % längre för kryptering på databasapplikationsnivå, med en betydande minskning av diskbandbredden på grund av den ökade applikationslatensen.
Sammantaget är det spännande att se att Secure HBA-krypteringen har en minimal inverkan på genomströmning eller latens på en I/O-intensiv databasarbetsbelastning och är betydligt bättre än det applikationsbaserade alternativet.
Slutsats
När företagets säkerhetshot växer i omfattning och sofistikerad, har skydd av data i rörelse blivit lika viktigt som att säkra data i vila. Traditionella brandväggsbaserade försvar och mjukvarukrypteringslösningar introducerar prestandaavvägningar som många organisationer helt enkelt inte har råd med. Emulex Secure HBA ändrar den ekvationen genom att leverera standardbaserad, hårdvaruavlastad kryptering som sömlöst integreras i befintliga servrar och Fibre Channel SAN.
I våra tester fann vi att Emulex Secure HBA möjliggör kryptering under flygning med praktiskt taget ingen prestandaträff, vilket löser en av de största problemen kring EDIF-användning. Med kryptering helt laddad till HBA förblir lagringstjänster som komprimering och deduplicering intakta, vilket säkerställer att företag inte behöver kompromissa med effektiviteten för säkerheten. Även i I/O-intensiva databasarbetsbelastningar var effekten försumbar – långt bättre än traditionella mjukvarubaserade krypteringsmetoder i både hastighet och effektivitet.
Plug-and-play-karaktären hos dessa HBA gör dem också otroligt enkla att distribuera, utan några större förändringar som krävs av SAN-arkitekturen eller lagringsstacken. För lagringsleverantörer är detta en säkerhetsförbättring med låg friktion och högt värde som överensstämmer med INCITS FC-SP-3-standarder och samtidigt positionerar Fibre Channel för nästa era av nollförtroendesäkerhet.
När vi blickar framåt förväntar vi oss att Emulex Secure HBA kommer att bli ett standardlager av SAN-säkerhet 2025. Med ökande regulatoriska tryck och den fortsatta ökningen av ransomware och insiderhot behöver företag robusta, transparenta och högpresterande krypteringslösningar som inte skapar nya flaskhalsar. Emulex Secure HBA levererar precis det – en framtidssäker säkerhetsuppgradering som företag kan använda idag med tillförsikt.
Denna rapport är sponsrad av Broadcom. Alla åsikter och åsikter som uttrycks i denna rapport är baserade på vår opartiska syn på produkten/de produkter som övervägs.
Engagera dig med StorageReview
Nyhetsbrev | Youtube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | Rssflöde
