HBA bảo mật của Emulex: Tiêu chuẩn mới cho mã hóa mạng trên máy bay

Sự tinh tế ngày càng tăng và tần suất của các cuộc tấn công mạng đối với các trung tâm dữ liệu doanh nghiệp đòi hỏi các biện pháp bảo mật mạnh mẽ và toàn diện. Các phương pháp dựa trên tường lửa truyền thống ngày càng không đủ để bảo vệ thông tin nhạy cảm, đặc biệt là khi những kẻ tấn công khai thác các lỗ hổng trong các luồng dữ liệu nội bộ. Đảm bảo tính bảo mật của dữ liệu trong quá trình vận chuyển đã trở thành một trọng tâm quan trọng và mã hóa trên máy bay cung cấp một giải pháp mạnh mẽ để ngăn chặn vi phạm dữ liệu và truy cập trái phép trong mạng lưu trữ (SANS).

Nhập Bộ điều hợp xe buýt máy chủ của Kênh bảo mật của EMULEX (HBAS), một đột phá bảo mật của trung tâm dữ liệu. Các HBA này cung cấp mã hóa dựa trên phiên mạnh mẽ, dựa trên phiên cho Sans Fiber Channel, cho phép các doanh nghiệp áp dụng cách tiếp cận không có lưu lượng dữ liệu nội bộ. Với việc tuân thủ các tiêu chuẩn nghiêm ngặt như Giao thức bảo mật Kênh sợi quang sắp tới (FC-SP-3) và Suite thuật toán quốc gia thương mại 2.0 (CNSA 2.0), EMULEX Secure HBA cung cấp mã hóa chống lượng tử hoạt động liền mạch trong các cơ sở hạ tầng hiện có. Đáng chú ý, các giải pháp này được tải xuống phần cứng, đảm bảo rằng các cải tiến bảo mật không ảnh hưởng đến hiệu suất.

Khách hàng đã miễn cưỡng triển khai các giải pháp mã hóa trên máy bay (EDIF) vì nhiều lý do, bao gồm chi phí cao, độ phức tạp và suy giảm hiệu suất ứng dụng đáng kể. Nhóm phòng thí nghiệm StorageReview đã trải nghiệm và ghi lại kết quả tương tự khi so sánh phần mềm so với mã hóa phần cứng. HBA an toàn của Emulex đã sẵn sàng xua tan các lý thuyết đó và đưa vào mã hóa trên máy bay ở đầu danh sách để mã hóa dữ liệu trong chuyến bay mà không cần phải nghiền nát hiệu suất của máy chủ trong khi vẫn duy trì thông lượng không được tính toán.

Một lợi thế đáng kể khác của Emulex Secure HBAS là tích hợp liền mạch, đặc biệt là các nhà cung cấp mảng lưu trữ. Với mã hóa được giảm hoàn toàn vào phần cứng HBA, các nhà cung cấp lưu trữ có thể duy trì sự tập trung vào hiệu suất và các chức năng dành riêng cho mảng mà không có gánh nặng của việc tái cấu trúc phần mềm rộng rãi.

Sự dễ dàng của việc áp dụng này dự kiến ​​sẽ thúc đẩy sự chấp nhận rộng rãi trong toàn ngành. Bản cập nhật mới nhất của ngành công nghiệp Fiber Channel về đặc tả kỹ thuật bảo mật cho các sản phẩm của Kênh sợi quang, Incits Sản phẩm bảo mật của Kênh sợi quang 3 (FC-SP-3), thiết lập một tiêu chuẩn cho các sản phẩm của Kênh sợi quang tương tác. Bản cập nhật mới nhất này bao gồm định nghĩa về các giao thức để xác thực các thực thể kênh, giao thức để thiết lập các khóa phiên và giao thức để đàm phán các tham số cần thiết để đảm bảo tính toàn vẹn và bảo mật của khung hình.

Các kỹ sư của Emulex đã tích cực tham gia vào việc phát triển tiêu chuẩn để đảm bảo rằng kênh sợi vẫn luôn đi đầu trong việc giải quyết các thách thức bảo mật cần thiết của Trung tâm dữ liệu hiện đại. Khi áp lực quy định, các mối đe dọa mạng phát triển, việc áp dụng các HBA bảo mật của Emulex đảm bảo rằng các nhà cung cấp San có thể cung cấp các giải pháp bảo mật mạnh mẽ, chống đối trong tương lai với nỗ lực tối thiểu. Đối với các doanh nghiệp sử dụng Kênh sợi quang, Tiêu chuẩn SP3 hiện tại là một bước quan trọng để bảo mật dữ liệu chứng minh trong tương lai.

Thông qua một cuộc biểu tình thực hành, chúng tôi sẽ minh họa các lợi ích của việc triển khai các HBA bảo mật của Emulex, thể hiện khả năng duy trì hiệu suất cao của họ trong khi mang lại bảo mật không thỏa hiệp. Từ việc ngăn chặn rò rỉ dữ liệu đến cho phép phát hiện dị thường thời gian thực, các HBA này thể hiện một bước tiến đáng kể trong việc đảm bảo Trung tâm dữ liệu doanh nghiệp chống lại các mối đe dọa hiện đại.

Hiểu công nghệ HBA an toàn của Emulex

Tổng quan về mã hóa dựa trên phiên và các nguyên tắc không tin tưởng.

Mã hóa dựa trên phiên

HBA an toàn Emulex là một giải pháp mã hóa dựa trên phiên đơn giản. Giải pháp quản lý khóa dựa trên phiên, dựa trên tiêu chuẩn FC-SP-3 của ANSI/Incits mới nổi, không yêu cầu phần mềm quản lý khóa khóa phức tạp và đắt tiền. Việc thiết lập một phiên mã hóa giữa cổng HBA và mảng lưu trữ an toàn là đơn giản, hoạt động với các công tắc SAN hiện tại và không yêu cầu bất kỳ thay đổi quản lý vải nào. Được thực hiện hoàn toàn trong phần cứng, tại đăng nhập cổng, cả hai điểm cuối sẽ xác nhận khả năng bảo mật, bắt đầu xác thực và liên kết và bắt đầu mã hóa các khung kênh sợi. Phiên làm mới phiên bảo mật xảy ra tự động mà không bị gián đoạn giao thông. Vì điều này được thực hiện trong phần cứng, không cần thay đổi phần mềm và phần mềm đa đường không bị ảnh hưởng. Giải pháp hỗ trợ khả năng tương thích ngược bằng cách tự động tiêu thụ với các mảng cũ hơn có thể không có khả năng EDIF.

Không tin tưởng

Bảo mật không có Trust hoạt động theo nguyên tắc của Never Never Trust, luôn luôn xác minh, đảm bảo mọi yêu cầu truy cập đều được xác thực, ủy quyền và được giám sát liên tục. Không giống như các mô hình dựa trên chu vi truyền thống, không có Trust giảm thiểu rủi ro vi phạm bằng cách yêu cầu xác minh danh tính và thực thi quyền truy cập đặc quyền tối thiểu cho người dùng và thiết bị.

Việc thực hiện bảo mật không tin tưởng có một số lợi thế cốt lõi. Việc xác minh liên tục được thực hiện với Trust-Trust làm giảm bề mặt tấn công tổng thể. Nó cũng có thể thích nghi, hỗ trợ lực lượng lao động lai, áp dụng đám mây và tích hợp IoT liền mạch. Tất nhiên, việc tuân thủ quy định là đứng đầu trong tâm trí của hầu hết các quốc gia. Zero-Trust phù hợp với các tiêu chuẩn bảo mật dữ liệu nghiêm ngặt để đáp ứng các quy định phát triển.

Trust Zero đảm bảo một tư thế bảo mật kiên cường và có thể thích ứng quan trọng để bảo vệ dữ liệu tổ chức nhạy cảm bằng cách tận dụng các công nghệ như xác thực đa yếu tố, phân đoạn vi mô và phân tích hành vi.

HBA an toàn giới thiệu một nguồn tin cậy silicon chống lượng tử để bảo vệ tính toàn vẹn của phần sụn và ASIC.

Mã hóa được tải phần cứng

Mã hóa đã giảm phần cứng giúp tăng cường hiệu suất và bảo mật bằng cách ủy thác các tác vụ mật mã cho các cổng phần cứng chuyên dụng bên trong HBA. Việc giảm tải này làm giảm gánh nặng tính toán đối với CPU trong khi tăng tốc các quá trình mã hóa.

Mã hóa được giảm phần cứng cung cấp tốc độ hiệu suất. Phần cứng chuyên dụng tăng tốc hoạt động mật mã và giảm độ trễ và xử lý. Các chu kỳ CPU được giải phóng cho các nhiệm vụ khác, tăng hiệu quả hệ thống tổng thể. Triển khai các mô-đun phần cứng bị cô lập làm cho nó chống giả mạo và giảm các lỗ hổng.

Cách tiếp cận này đặc biệt hiệu quả để cho phép sử dụng rộng trong trung tâm dữ liệu mà không ảnh hưởng đến hiệu suất tổng thể. Nó cho phép các tổ chức đạt được mã hóa mạnh mẽ, có thể mở rộng và tiết kiệm năng lượng mà không ảnh hưởng đến hiệu suất.

Thể hiện những lợi ích

Mã hóa plug-and-play tiêu chuẩn công nghiệp

Emulex đã điều hành chúng tôi thông qua một bản demo để giới thiệu sự khác biệt về hiệu suất tối thiểu với mã hóa được kích hoạt và vô hiệu hóa để xem giải pháp này có bao nhiêu chi phí thêm vào dữ liệu trong chuyến bay. Các bước dưới đây mô tả cho phép hoặc vô hiệu hóa mã hóa trên các máy chủ FC bảo mật của Emulex. Các HBA được sử dụng trong máy chủ và mảng là Emulex LPE38102 64G, mà Emulex nói với chúng tôi đã được tạo ra chức năng trong mảng flash với bản cập nhật trình điều khiển đơn giản cho mục đích thử nghiệm.

Cấu trúc liên kết demo

EMULEX HBAS xử lý tất cả dữ liệu được mã hóa trong chuyến bay (EDIF) trong phần cứng. HBA có SOC 8 lõi, quản lý khối lượng công việc và hướng các gói dữ liệu thông qua công cụ giảm tải mã hóa. Do mã hóa bị giảm tải, CPU máy chủ không bị ảnh hưởng bởi các hoạt động mã hóa đó.

Bài tập đầu tiên là chạy khối lượng công việc TPROC-H tận dụng HammerDB dưới dạng tải cơ sở dữ liệu với EDIF bị vô hiệu hóa. Hành vi mặc định của HBA an toàn của Emulex là kích hoạt EDIF khi kết nối với các cổng mục tiêu tương thích nhưng cũng cho phép tương thích ngược nếu mục tiêu không hỗ trợ EDIF. Tiện ích Emulex HBACMD được sử dụng để tắt chức năng EDIF của cổng HBA và xác minh thay đổi cài đặt.

Khi cài đặt đã được xác minh, chúng tôi đã bắt đầu khối lượng công việc trên cơ sở dữ liệu. Bản demo nặng đọc cho thấy bao nhiêu trong số 64G FC được sử dụng, dễ dàng đạt đến tỷ lệ dòng cho phần lớn thử nghiệm.

Bây giờ, đã đến lúc thay đổi tham số để cho phép mã hóa trên HBA. Một lần nữa, tiện ích HBACMD Emulex được sử dụng để bật chức năng EDIF của cổng HBA và để xác minh thay đổi cài đặt. Màn hình dưới đây hiển thị lệnh và đầu ra. Chỉ cần đặt trạng thái EDIF thành 1 bật mã hóa trên máy bay. Đặt tham số EDIF EDIF-State = 1. Thông báo Cài đặt tham số EDIF mới đã được đặt sẽ được hiển thị nếu thay đổi được chấp nhận. Sẽ là cần thiết để khởi động lại máy chủ để thực hiện các thay đổi đối với trạng thái EDIF có hiệu lực.

Để xác minh rằng sự thay đổi có hiệu lực, hãy chạy lệnh HBACMD getedifparams. Kết quả chỉ ra rằng trạng thái EDIF được bật và tùy chọn mã hóa cần thiết bị tắt.

Để xác minh các cổng trên HBA được kết nối và EDIF được bật, hãy chạy lệnh HBACMD GetConnectionInfo. Đầu ra sẽ trông giống như hình ảnh dưới đây.

Chúng tôi đã chạy cùng một bộ truy vấn với mã hóa được bật. Ngay cả khi mã hóa được kích hoạt trong chuyến bay, kết quả rất giống với kết quả khi mã hóa bị vô hiệu hóa, biến thể duy nhất được giải thích bằng tải trọng khung FC nhỏ hơn một chút như được chỉ định theo tiêu chuẩn FC để đóng khung mã hóa.

Emulex đã cung cấp dữ liệu hiệu suất trên một giải pháp mã hóa cơ sở dữ liệu phổ biến bằng cách sử dụng cùng một cấu hình thử nghiệm được tô sáng trước đó. Sử dụng cùng một mức mã hóa AES-256, ứng dụng cơ sở dữ liệu đấu tranh để cung cấp cùng mức hiệu suất ứng dụng như HBA do chi phí xử lý máy chủ được thêm vào của phần mềm. Số liệu điểm chuẩn của thời gian hoàn thành TPROC-H cho các truy vấn cơ sở dữ liệu 22 dài hơn 40% cho mã hóa cấp độ ứng dụng cơ sở dữ liệu, với việc giảm đáng kể băng thông đĩa do độ trễ ứng dụng tăng.

Nhìn chung, thật thú vị khi thấy rằng mã hóa HBA an toàn có tác động tối thiểu đến thông lượng hoặc độ trễ đối với khối lượng công việc cơ sở dữ liệu chuyên sâu I/O và tốt hơn đáng kể so với thay thế dựa trên ứng dụng.

Phần kết luận

Khi các mối đe dọa bảo mật doanh nghiệp phát triển về quy mô và sự tinh tế, việc bảo vệ dữ liệu trong chuyển động đã trở nên quan trọng như bảo mật dữ liệu khi nghỉ ngơi. Các giải pháp phòng thủ và mã hóa phần mềm dựa trên tường lửa truyền thống giới thiệu các đánh đổi hiệu suất mà nhiều tổ chức chỉ đơn giản là không đủ khả năng. Các thay đổi HBA an toàn của Emulex bằng cách cung cấp mã hóa được tải xuống dựa trên tiêu chuẩn, tích hợp liền mạch vào các máy chủ hiện có và Sans của Kênh sợi quang hiện có.

Trong thử nghiệm của chúng tôi, chúng tôi thấy rằng EMULEX bảo mật HBA cho phép mã hóa trong chuyến bay mà hầu như không có hiệu suất nào, giải quyết một trong những mối quan tâm lớn nhất xung quanh việc áp dụng EDIF. Với mã hóa được giảm hoàn toàn cho HBA, các dịch vụ lưu trữ như nén và sao chép vẫn còn nguyên, đảm bảo các doanh nghiệp không phải thỏa hiệp hiệu quả cho bảo mật. Ngay cả trong khối lượng công việc cơ sở dữ liệu chuyên sâu I/O, tác động này vẫn không đáng kể, vượt trội so với các phương thức mã hóa dựa trên phần mềm truyền thống ở cả tốc độ và hiệu quả.

Bản chất cắm và chơi của các HBA này cũng làm cho chúng cực kỳ dễ triển khai, không có thay đổi lớn cần thiết cho kiến ​​trúc San hoặc ngăn xếp lưu trữ. Đối với các nhà cung cấp lưu trữ, đây là một sự tăng cường bảo mật có giá trị cao, ma sát thấp, phù hợp với các tiêu chuẩn FC-SP-3 trong khi định vị Kênh sợi quang cho kỷ nguyên bảo mật Trust tiếp theo.

Nhìn về phía trước, chúng tôi hy vọng các HBA an toàn của Emulex sẽ trở thành một lớp bảo mật SAN tiêu chuẩn vào năm 2025. Với áp lực quy định ngày càng tăng và sự gia tăng liên tục của các mối đe dọa ransomware và nội bộ, các doanh nghiệp cần Cổ nút mới. HBA bảo mật của Emulex cung cấp chính xác rằng một bản nâng cấp bảo mật chống lại trong tương lai mà các doanh nghiệp có thể áp dụng ngày nay với sự tự tin.

Báo cáo này được tài trợ bởi Broadcom. Tất cả các quan điểm và ý kiến ​​thể hiện trong báo cáo này đều dựa trên quan điểm không thiên vị của chúng tôi về (các) sản phẩm đang được xem xét.

EMULEX

Tham gia với Storagereview

Bản tin | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | Tiktok | Nguồn cấp dữ liệu RSS