ストレージ·レベルのデータ暗号化
これは私があまりにも多くの取引を持っているものではありませんが、私は少し関わってきた。 我々はいくつかのDecru社/ DataFortデバイスに置かれていると、彼らはディスク上のデータを暗号化することで、すべての罰金と良いですが、条件を複雑にして上の我々ですか?
我々は、ディスクに格納されている物理的なデータを保護するために何を探しています。 それでは、どのようにすることにしてアクセスできますか? あなたは、iSCSIおよびFCPに制限しているので、今のところのブロックレベルのストレージとさせて頂きます。 FCPは現在(ただし、まだすべての当事者からのボード·サポート間)ファブリックベンダーからの認証CHAPサポートを持っており、iSCSIは開始以来、これがあった。 だから、事前に定義されたCHAPパスワードにアクセスする必要があります。
その後、その後、名前付きイニシエータはストレージに接続することができ、あなたが適切にこれを設定する限り、LUNマスキングを持っています。 のVLAN / SANゾーニングと組み合わせると、私たちは、あなたが意図したものの外にストレージへの誤った接続に対するセキュリティを持っています。 あなたは、Ciscoを実行している場合、あなたはあなたSANゾーニングなどの制限の同じレベルを与えるプライベートVLANで見ることができる。
それはブロックレベルのストレージを提示しているとして、今すぐストレージデバイスは、実際にデータ自体の知識を持っていない、これはホストOSに提示されます。 我々は、ディスク·レベルでこれを暗号化しなかった場合でも、それで、ホストOSが復号化されたバージョンを取得します。 確かにホストOSは、ここで最も弱いリンクですか? 我々は、ホストOSへのアクセスは厳重に保護し、監視されていることを確認する必要があります。
このようなディスクレベルでのLUNマスキングとLUNのセキュリティ情報を保護するなどの予防対策が確実に意味をなすでしょうか? SnapLock機能のコンプライアンスと同様に、我々は物理的に別のシステムに移植されるからデータを保護できます。
もちろん、一般的には表示/変更することは特定のボリューム/ LUNを確保するために役割ベースのアクセスの改善を持つことも非常に有利で あろうと、あなたは、ストレージへの物理的なアクセスの心配を持っている場合は、他のとへの物理的なアクセスについても同様の懸念があるように予定されている他のシステム!
私の知る限り見ることができるように、ここで優先順位がストレージ·レベルではありませんが、システム·レベルでデータが常に復号化されていると、セキュリティが最も弱いである。 物理的およびリモートの両方!
