企业数据中心遭受的网络攻击越来越复杂,频率也越来越高,因此需要采取强大而全面的安全措施。传统的基于防火墙的方法越来越不足以保护敏感信息,尤其是当攻击者利用内部数据流中的漏洞时。确保传输中数据的安全性已成为一个关键重点,而传输中加密提供了一种强大的解决方案,可防止存储区域网络 (SAN) 内的数据泄露和未经授权的访问。
输入 Emulex 安全光纤通道主机总线适配器 (HBA)是数据中心安全领域的一项突破。这些 HBA 为光纤通道 SAN 提供强大的基于会话的加密,使企业能够对内部数据流量采用零信任方法。Emulex Secure HBA 符合即将推出的光纤通道安全协议 (FC-SP-3) 和商业国家安全算法套件 2.0 (CNSA 2.0) 等严格标准,可提供抗量子加密,可在现有基础设施中无缝运行。值得注意的是,这些解决方案是硬件卸载的,可确保安全增强不会影响性能。
客户一直不愿意部署动态加密解决方案 (EDIF),原因包括成本高、复杂性以及应用程序性能显著下降。Storagereview Lab 团队在比较软件加密和硬件加密时也经历了并记录了相同的结果。Emulex Secure HBA 可以消除这些理论,并将动态加密列为在不影响服务器性能的情况下加密动态数据的首选,同时保持不折不扣的吞吐量。
Emulex Secure HBA 的另一个显著优势是无缝集成,特别是对于存储阵列供应商而言。通过将加密完全转移到 HBA 硬件上,存储供应商可以专注于性能和特定于阵列的功能,而无需承担大量软件重新设计的负担。
这种易于采用的特性有望推动整个行业的广泛接受。光纤通道行业对光纤通道产品安全技术规范的最新更新,即 INCITS 光纤通道安全协议 3 (FC-SP-3),为可互操作的光纤通道产品建立了标准。此最新更新包括用于验证光纤通道实体的协议的定义、用于设置会话密钥的协议以及用于协商确保逐帧完整性和机密性所需参数的协议。
Emulex 工程师一直积极参与标准制定,以确保光纤通道始终处于解决现代数据中心所需安全挑战的前沿。随着监管压力不断增加和网络威胁不断演变,采用 Emulex Secure HBA 可确保 SAN 供应商能够以最小的努力提供强大、面向未来的安全解决方案。对于使用光纤通道的企业来说,当前的 SP3 标准是面向未来数据安全的关键一步。
通过亲身演示,我们将说明部署 Emulex Secure HBA 的好处,展示它们在提供不折不扣的安全性的同时保持高性能的能力。从防止数据泄露到实现实时异常检测,这些 HBA 代表着企业数据中心在抵御现代威胁方面迈出了重大一步。
了解 Emulex 安全 HBA 技术
基于会话的加密和零信任原则概述。
基于会话的加密
Emulex Secure HBA 是一种简单的基于会话的加密解决方案。基于会话的密钥管理解决方案基于新兴的 ANSI/INCITS FC-SP-3 标准,不需要复杂且价格昂贵的密钥管理软件。在 Secure HBA 和存储阵列端口之间建立加密会话非常简单,可与当前的 SAN 交换机配合使用,并且不需要任何结构管理更改。完全在硬件中执行,在端口登录时,两个端点都将验证安全功能,开始身份验证和关联,并开始加密光纤通道帧。安全会话密钥刷新会自动进行,不会中断流量。由于这一切都是在硬件中完成的,因此不需要更改软件,并且多路径软件不受影响。该解决方案通过与可能不支持 EDIF 的旧阵列自动协商来支持向后兼容。
零信托
零信任安全遵循“永不信任,始终验证”的原则,确保每个访问请求都经过身份验证、授权和持续监控。与传统的基于边界的模型不同,零信任通过要求身份验证和强制用户和设备最低权限访问来最大限度地降低违规风险。
实施零信任安全有几个核心优势。通过零信任实施的持续验证减少了整体攻击面。它还具有适应性,支持混合劳动力、云采用和无缝物联网集成。当然,监管合规性是大多数国家最关心的问题。零信任符合严格的数据安全标准,以满足不断变化的法规。
零信任通过利用多因素身份验证、微分段和行为分析等技术,确保了具有弹性且适应性强的安全态势,这对于保护敏感的组织数据至关重要。
安全 HBA 引入了抗量子硅信任根来保护固件和 ASIC 的完整性。
硬件卸载加密
硬件卸载加密通过将加密任务委托给 HBA 内的专用硬件门来提高性能和安全性。这种卸载可减轻 CPU 的计算负担,同时加速加密过程。
硬件卸载加密可提高性能。专用硬件可加速加密操作并减少延迟和处理。CPU 周期可释放用于其他任务,从而提高整体系统效率。部署隔离的硬件模块可使其具有防篡改功能并减少漏洞。
这种方法特别有效,可以在不影响整体性能的情况下在数据中心内实现广泛使用。它使组织能够实现强大、可扩展且节能的加密,而不会影响性能。
展示优势
行业标准的即插即用加密
Emulex 为我们演示了启用和禁用加密时最小的性能差异,以了解此解决方案给传输中的数据增加了多少开销。以下步骤描述了在 Emulex Secure FC Host HBA 上启用或禁用加密。主机和阵列中使用的 HBA 是 Emulex LPe38102 64G,Emulex 告诉我们,出于测试目的,只需进行简单的驱动程序更新即可在闪存阵列中使用这些 HBA。
演示拓扑
Emulex HBA 在硬件中处理所有加密数据 (EDIF)。HBA 具有 8 核 SoC,可管理工作负载并通过加密卸载引擎引导数据包。由于加密已卸载,因此主机 CPU 不会受到这些加密操作的影响。
第一个练习是运行 TPROC-H 工作负载,利用 HammerDB 作为数据库负载生成器,并禁用 EDIF。Emulex Secure HBA 的默认行为是在连接到兼容目标端口时启用 EDIF,但如果目标不支持 EDIF,也允许向后兼容。Emulex hbacmd 实用程序用于关闭 HBA 端口的 EDIF 功能并验证设置更改。
验证设置后,我们开始对数据库进行负载。读取密集型演示显示了 64G FC 管道的使用情况,在大部分测试中,它很容易达到线速。
现在,是时候更改参数以在 HBA 上启用加密了。再次使用 Emulex hbacmd 实用程序打开 HBA 端口的 EDIF 功能并验证设置更改。下面的屏幕显示了命令和输出。只需将 EDIF 状态设置为 1 即可启用加密。设置 EDIF 参数 edif-state=1。如果接受更改,将显示消息“已设置新的 edif 参数设置”。需要重新启动主机才能使对 EDIF 状态的更改生效。
要验证更改是否生效,请运行“hbacmd GetEDIFParams”命令。结果表明 EDIF 状态已启用,并且“Required-Encryption”选项已禁用。
要验证 HBA 上的端口是否已连接且 EDIF 是否已启用,请运行“hbacmd GetConnectionInfo”命令。输出应如下图所示。
我们在启用加密的情况下运行了同一组查询。即使在运行过程中启用了加密,结果也与禁用加密时的结果非常相似,唯一的差异是由于加密帧的 FC 标准规定的 FC 帧有效载荷略小。
Emulex 使用前面重点介绍的相同测试配置提供了流行数据库加密解决方案的性能数据。使用相同的 AES-256 级别加密,由于软件增加了服务器处理开销,数据库应用程序很难提供与 HBA 相同级别的应用程序性能。TPROC-H 基准测试指标(22 个数据库查询的完成时间)对于数据库应用程序级加密来说要长 40%,并且由于应用程序延迟增加,磁盘带宽显著减少。
总的来说,令人兴奋的是,安全 HBA 加密对 I/O 密集型数据库工作负载的吞吐量或延迟影响极小,并且明显优于基于应用程序的替代方案。
结语
随着企业安全威胁规模和复杂程度的不断增长,保护动态数据已变得与保护静态数据同样重要。传统的基于防火墙的防御和软件加密解决方案会带来许多组织无法承受的性能损失。Emulex Secure HBA 通过提供基于标准的硬件卸载加密来改变这一现状,该加密可无缝集成到现有服务器和光纤通道 SAN 中。
在我们的测试中,我们发现 Emulex Secure HBA 可以实现实时加密,且几乎不会影响性能,解决了采用 EDIF 时最大的担忧之一。加密完全转移到 HBA 上,压缩和重复数据删除等存储服务仍保持完整,确保企业不必为了安全而牺牲效率。即使在 I/O 密集型数据库工作负载中,影响也微不足道 — 在速度和效率方面都远远优于传统的基于软件的加密方法。
这些 HBA 的即插即用特性也使其非常易于部署,无需对 SAN 架构或存储堆栈进行重大更改。对于存储供应商来说,这是一种低摩擦、高价值的安全增强功能,符合 INCITS FC-SP-3 标准,同时为光纤通道进入下一个零信任安全时代做好准备。
展望未来,我们预计 Emulex Secure HBA 将在 2025 年成为 SAN 安全的标准层。随着监管压力的增加以及勒索软件和内部威胁的持续增加,企业需要强大、透明且高性能的加密解决方案,而不会产生新的瓶颈。Emulex Secure HBA 正是满足了这一要求 - 一款面向未来的安全升级,企业可以放心采用。
本报告由 Broadcom 赞助。本报告中表达的所有观点和意见均基于我们对所考虑产品的客观看法。
Amazon