Di stoccaggio dati a livello di crittografia
Questo non è qualcosa che ho rapporti troppo con, ma sono stato coinvolto un po '. Abbiamo messo in un paio di Decru / DataFort dispositivi e sono tutte belle e buone a crittografia dei dati sui dischi, ma siamo oltre complicare il requisito?
Cosa stiamo cercando di proteggere, i dati fisici memorizzati sui dischi. Così come si può accedere a tale? Assumiamo che sia di storage a livello di blocco per il momento, quindi sei limitato a iSCSI e FCP. FCP ora ha il supporto di autenticazione CHAP da venditori tessuto (anche se non ancora in tutto il sostegno di bordo di tutti i partiti) e iSCSI ha avuto questo fin dall'inizio. Quindi è necessario accedere al predefiniti CHAP password.
Abbiamo poi mascheramento LUN, a condizione che si imposta in modo corretto, quindi solo gli iniziatori di nome in grado di connettersi al deposito. Combinate questo con VLAN / SAN Zonizzazione e abbiamo la sicurezza contro le connessioni spurie allo stoccaggio esterno di ciò che si intende. Se stai usando Cisco, si poteva guardare VLAN private che offrono lo stesso livello di restrizioni SAN Zonizzazione.
Ora il dispositivo di archiviazione in realtà non hanno conoscenza dei dati stessi in quanto presenta livelli di storage a blocchi, questo viene presentato al sistema operativo host. Quindi, anche se abbiamo fatto criptare questo a livello del disco, il sistema operativo host ottiene la versione decifrata. Sicuramente il sistema operativo host è l'anello più debole qui? Dobbiamo fare in modo che l'accesso al sistema operativo host è strettamente sorvegliato e monitorato.
Misure preventive, come garantire il mascheramento LUN e informazioni sulla sicurezza del LUN sul livello del disco avrebbe sicuramente un senso? In un modo simile a SnapLock Compliance, siamo in grado di proteggere i dati venga portato su un altro sistema fisicamente.
Naturalmente avendo miglioramenti Role Based Access per proteggere certi volumi / LUN contro il generale visualizzazione / modifica sarebbe anche molto vantaggioso, e se avete preoccupazioni circa l'accesso fisico al vostro storage, poi ci saranno preoccupazioni simili riguardo l'accesso fisico altrove e per altri sistemi!
Per quanto posso vedere, la priorità qui non è a livello di storage, ma a livello di sistema in cui i dati sono sempre decifrato e la sicurezza è al suo più deboli. Sia fisici che a distanza!
