Dane o poziomie Storage Encryption
To nie jest coś mam zbyt wiele do czynienia z, ale brałem udział niewiele. Położyliśmy w kilku Decru / DataFort urządzeń i wszystkie są dobrze i dobry szyfrowanie danych na dyskach, ale jesteśmy na komplikuje ten wymóg?
Co szukamy chronić, fizycznych danych przechowywanych na dyskach. Więc jak można uzyskać dostęp do tego? Załóżmy nadszedł przechowywanie blokowych Na razie więc jesteś ograniczony do iSCSI i FCP. FCP ma teraz CHAP wsparcie uwierzytelniania z dostawcami tkanin (choć jeszcze nie we wsparciu zarządu ze wszystkich stron) i iSCSI była to od początku. Więc musisz dostęp do predefiniowanych CHAP hasło.
Mamy wówczas maskowanie LUN, tak długo jak to ustawić prawidłowo, to tylko nazwane inicjatorami mogą łączyć się z pamięci. W połączeniu z VLAN / zagospodarowania przestrzennego SAN i mamy zabezpieczenie przed fałszywych połączeń do przechowywania poza to, co zamierzałeś. Jeśli używasz Cisco, można spojrzeć na Private VLAN, które zapewniają ten sam poziom ograniczeń jak San zagospodarowania przestrzennego.
Teraz urządzenie magazynujące w rzeczywistości nie mają wiedzy o samych danych, jak prezentuje pamięci blokowych, jest to przedstawiane w systemie operacyjnym hosta. Więc nawet gdybyśmy zrobili szyfrowania to na poziomie dysku, system operacyjny, dostaje odszyfrowaną wersję. Z pewnością gospodarz OS jest najsłabszym ogniwem tutaj? Musimy upewnić się, że dostęp do hosta systemu operacyjnego jest ściśle strzeżona i monitorowana.
Środki zapobiegawcze, takie jak zabezpieczenie maskowanie LUN i informacje zabezpieczeń jednostki LUN na poziomie dysku na pewno ma sens? W podobny sposób do zgodności SnapLock, możemy zabezpieczyć dane przenoszone są do innego systemu fizycznie.
Oczywiście mając rolę w oparciu poprawę dostępu do zabezpieczenia niektórych wielkości / LUN przed ogólny przeglądania / zmiany byłoby również bardzo korzystne, a jeśli masz obawy o fizyczny dostęp do pamięci masowej, to nie będziemy mieć podobne obawy o fizyczny dostęp odrębnie i inne systemy!
O ile widzę, priorytetem jest tu nie na poziomie magazynu, ale na poziomie systemu, gdzie dane są zawsze odkodować i bezpieczeństwo jest na to w najsłabszych. Zarówno fizyczne, jak i zdalnej!
