| Шифрование на уровне узла |
|
Шифрование на уровне узла
Шифрование на уровне узла имеет схожие преимущества и недостатки, с шифрованием на уровне приложений. Шифрование на уровне хоста, предоставляет возможность классифицировать хранимые данные, но столь гранулировано, как на уровне приложений. Шифрование файлов может производиться для всех приложений, работающих на узле. Также существует много утилит для оптических адаптеров, которые позволяют производить шифрование передаваемых и хранимых на массивах данных. Еще одним примером шифрования данных, на уровне узла, может служить шифрование на блочном уровне, при помощи PowerPath от EMC. Также как и при шифровании на уровне приложений, операционная система должна производить аутентификацию и авторизацию пользователей, чтобы противостоять атакам хакеров. При шифровании на уровне узла, длины записей с данными, могут быть различными. Также как и при шифровании на уровне приложений, к зашифрованным данным прибавляются электронная подпись или данные о версии алгоритма. Это позволяет заменять плохие пакеты данных, отправленные от хоста на массив. PowerPath производит шифрование логических дисков на блочном уровне, не изменяя при этом, размеры блоков данных. Если шифрование настроено и интегрировано с аутентификацией, то шифрование на уровне узла, может быть настроено таким образом, что пользователь будет иметь доступы только к тем данным, которые ему необходимы. Шифрование на уровне узла, может производиться как на уровне ПО, с использованием процессорных ресурсов сервера и памяти для хранения ключей, так и при помощи специальных устройств шифрования, в которое также загружаются ключи шифрования. ◆ Использование специальных карт для ускорения шифрования, позволяет производить шифрование, входящих и исходящих данных, без высокого использования процессора сервера, и не зависит от транспортного протокола, по которому передаются данные. Это позволяет использовать различные физические подключения (Ethernet, Fibre Channel, 
FCoE), но требует большего объема локальной памяти и создает нагрузку на систему ввода \ вывода сервера.◆ Перенос ключей из сервера, предполагает использование специальных HBA или использование карт для шифрования данных. В случае использования HBA, и шифрованием входящих данных будет заниматься адаптер, конечно, данное решение зависит от транспортного протокола, например от Fibre Channel или FCoE. В любом случае, управлением ключами и подключением к стороннему центру управления ключами, будет заниматься специальное ПО. В случае, если требуется создать гетерогенную инфраструктуру с использованием шифрования на уровне ОС, и требуется обеспечить возможности обмена ключами шифрования между различными ос, то это потребует проектирования общего центра управления ключами, или домена управления. В дополнение, когда используется шифрования на уровне узлов, инфраструктура не зависит от типа используемых дисковых массивов и позволяет использовать различные массивы, для чего не требуется покупать большое количество нового оборудования. Преимущества и недостатки Ниже приводятся некоторые недостатки шифрования на уровне узлов: ◆ Шифрование на уровне узла, может вызывать большие проблемы, если оно используется совместно с шифрованием на уровне дискового массива, особенно совместно с аппаратной репликацией данных. Если происходит репликация данных, зашифрованных со стороны узла, то узел должен отслеживать процесс репликации и ассоциировать с данными соответствующие ключи, чтобы пользователю не пришлось переносить ключи «вручную». Также, приложение сохраняет на массивах данные в зашифрованном виде, и аппаратная репликация будет передавать зашифрованные, несжимаемые данные. Что будет влиять на производительность сетей WAN. Приложение PowerPath, представляет собой приложение для многоканальной передачи данных через подсистему ввода \ вывода, и позволяет использовать гетерогенные операционные системы для осуществления репликации данных, на уровне ПО. PowerPath может работать на различных релизах Solaris, Windows, Linux, AIX и HP-UX, с использованием шифрования, а также управлением ключами, независимо от используемой операционной системы. PowerPath использует уникальный подход к управлению репликацией с использованием шифрования, который позволяет осуществлять скоординированное управления ключами между источником и клоном данных, и не требует от пользователя вмешательства в процесс репликации данных. ◆ Шифрование на уровне узла, создает трудности при использовании бизнес-аналитики. Проблемы с внедрением аналитики, при использовании шифрования на уровне узла, схожи с проблемами, описанными в “Преимущества и недостатки, использования шифрования на уровне приложений”. Решения от EMC Компания EMC разрабатывает решения для шифрования данных на уровне приложения, а также поддерживает разработки с использованием утилит для шифрования RSA BSAFE и управления RSA ключами. А также помогает использовать шифрование в следующих решениях: ◆ Бэкап Встроенное шифрование используется в следующих программах: NetWorker, Retrospect и Avamar. ◆ Неструктурированные данные RSA File Security Manager ◆ Шифрование на уровне узла Программа PowerPath, позволяет шифровать данные на уровне блоков логических устройств.
|