Шифрование на основе контроллера массива

Эта статья не цитирует какие-либо источники . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален . Найдите источники:   «Шифрование на основе контроллера массива» — новости   · газеты   · книги   · ученые   · JSTOR ( июль 2018 г. ) ( Узнайте, как и когда удалить это сообщение )

В сети хранения шифрование данных может происходить на разных аппаратных уровнях. Шифрование на основе контроллера массива описывает шифрование данных, происходящих на контроллере дискового массива перед отправкой на дисководы. В этой статье будет представлен обзор различных методов реализации шифрования на основе контроллера массива. Для теории криптографии и шифрования см. теорию шифрования диска .

Шифрование данных может происходить во многих точках сети хранения. Точка шифрования может находиться на главном компьютере, в инфраструктуре SAN, контроллере массива или на каждом из жестких дисков, как показано на схеме выше. Каждая точка шифрования имеет разные преимущества и затраты. На схеме также показаны компоненты сервера ключей для каждой конфигурации шифрования. При выборе места реализации шифрования проектировщики сетей SAN и компонентов SAN должны учитывать такие факторы, как производительность, сложность развертывания, совместимость серверов ключей, уровень безопасности и стоимость. Но поскольку контроллер массива является естественной центральной точкой всех данных, шифрование на этом уровне является неотъемлемым, а также снижает сложность развертывания.

При различных конфигурациях аппаратного или программного контроллера массива существуют разные типы решений для этого типа шифрования. Каждое из этих решений можно встроить в существующую инфраструктуру путем замены или модернизации определенных компонентов. Базовые компоненты включают в себя сервер ключей шифрования , клиент управления ключами и, как правило, блок шифрования, которые встроены в сеть хранения данных.

В конфигурации внутреннего контроллера массива контроллер массива обычно представляет собой карту шины PCI, расположенную внутри главного компьютера. Как показано на схеме, контроллер массива PCI будет содержать блок шифрования, в котором данные открытого текста шифруются в зашифрованный текст . Этот отдельный блок шифрования используется для предотвращения и минимизации снижения производительности и поддержания пропускной способности данных. Кроме того, клиент управления ключами обычно является дополнительной службой в приложениях главного компьютера, где он будет проверять подлинность всех ключей, полученных с сервера ключей. Основным недостатком этого типа реализации является то, что компоненты шифрования должны быть интегрированы в каждый главный компьютер и, следовательно, являются избыточными в больших сетях с множеством хост-устройств.

В случае установки внешнего контроллера массива контроллер массива будет независимым аппаратным модулем, подключенным к сети. Внутри контроллера аппаратного массива будет находиться блок шифрования для шифрования данных, а также клиент управления ключами для аутентификации. Как правило, для многих хост-устройств и дисков хранения имеется несколько аппаратных контроллеров массива. Следовательно, это упрощает развертывание за счет меньшего количества аппаратных компонентов. Более того, жизненный цикл контроллера массива обычно намного длиннее, чем у хост-компьютеров и дисков хранения, поэтому реализацию шифрования не нужно будет реализовывать заново так часто, как если бы шифрование выполнялось в другой точке сети хранения.

Во внешнем контроллере массива блок шифрования может быть размещен либо на внешней , либо на внутренней стороне контроллера массива. Существуют различные преимущества и недостатки размещения модуля шифрования на внешней или внутренней стороне:

	Преимущества	Недостатки
Передняя сторона	Все данные сначала шифруются перед перемещением по контроллеру массива, поэтому данные шифруются перед отправкой по каналу репликации и/или сохраняются во внутреннем кеше контроллера массива.	Поскольку данные шифруются перед перемещением по контроллеру массива, дедупликация и сжатие данных не могут быть выполнены при отправке данных по каналу репликации. Поэтому при отправке огромных объемов данных по каналу репликации могут возникнуть огромные затраты.
Задняя сторона	Поскольку все данные шифруются перед выходом из контроллера массива, можно выполнить дедупликацию и сжатие данных, что позволяет сэкономить затраты, поскольку по каналу репликации передаются только сжатые и уникальные данные.	Конфиденциальные данные могут быть скомпрометированы при отправке по каналу репликации, а также скомпрометированы кэшированные данные в контроллере массива.

Размещение блока шифрования может сильно повлиять на безопасность реализации шифрования на базе вашего контроллера. Поэтому эту проблему необходимо учитывать при разработке реализации, чтобы снизить все риски безопасности.

Для шифрования контроллера программного массива драйвер контроллера программного массива направляет данные в отдельные адаптеры главной шины. На соседней диаграмме показано несколько адаптеров главной шины с блоками аппаратного шифрования, используемыми для повышения требований к производительности. Напротив, этот тип шифрования может быть реализован с помощью только одного адаптера главной шины, подключенного к сети из нескольких жестких дисков, и он все равно будет работать. Производительность однозначно снизится, так как будет только один блок шифрования, обрабатывающий данные. Управление ключами будет осуществляться во многом аналогично шифрованию внутреннего контроллера массива, упомянутому ранее, с использованием клиента управления ключами, реализованного как услуга на главном компьютере.

• PM8031 IC с поддержкой шифрования
• PM8032 ИС с поддержкой шифрования