FlashArray: Thales enable full end-to-end/host-to-storage encryption without any dedupe compromises
Aktualisiert: 9. Mai 2021
[Autoren: Kai Wolff und Marcel Düssil]
Die Gewährleistung des Datenschutz von Unternehmensdaten mit Hilfe einer durchgängig-unterbrechungsfreien Verschlüsselung erfordert einen Kompromiss bei der Speichereffizienz und den Datenreduktionsmechanismen - der Einsatz von Verschlüsselung macht Technologien zur Datenreduzierung wie Komprimierung und Deduplizierung zunichte (bzw. reduziert diese drastisch auf ein Minimum - evtl. erzielt global compression/dedupe noch ein paar "Punkte").
Die Datenreduktion macht im Generellen nichts anderes als Muster identifizieren und entfernen. Sowohl die Komprimierung als auch die Deduplizierung beruhen grundlegend auf diesem Konzept.
Die Verschlüsselung hingegen beruht auf genau dem Gegenteil: entfernen von identifizierbaren Mustern.
Als ein gutes Beispiel um das Problem zu verdeutlichen:
Host-Datenverschlüsselung und Array-Datenreduzierung sind wie Öl und Wasser - sie vermischen sich einfach nicht. Öl, Benzin, Fett - Betriebsstoffe im Allgemeinen sind unpolar, Wasser hingegen ist polar. Polar und unpolar lässt sich einfach nicht mischen.
Die Kombination aus "host-based encryption" und "dedupe storage/data reduction developed storage" führt in Extremfällen dazu, dass die Anforderungen an die Speicherkapazität um bis zu 500 % im Vergleich zur Speicherung unverschlüsselter Daten steigen.
Es sind bei weitem keine neuen News mehr, aber wahrscheinlich der erste Beitrag zu diesem Thema in Deutsch. Thales verkündete im März 2019 auf der RSA Conference in San Francisco/CA-USA die Erste "end-to-end" Datenverschlüsselung für Storagesysteme, einen Datentransport ohne Kompromisse bzw. der Verzicht auf Datenreduktion.
Eine sozusagen transparente end-to-end/E2-Verschlüsselung.
Mit der Vormetric (= einem Brand von Thales) Transparent Encryption for Efficient Storage (VTE-ES) und Pure Storage müssen Anwender nicht mehr die Wahl zwischen maximaler Datensicherheit und Speichereffizienz treffen.
ACHTUNG: selbstverständlich bietet Pure Storage eine storageseitige always-on Verschlüsselung, jedoch geht es hier um die Sicherstellung einer "durchgängigen" Verschlüsselung über den gesamten Datentransportweg. Host-to-Storage vice versa. Purity verschlüsselt kontinuierlich alle Daten im FlashArray mit einer gemäß FIPS 140-2 Standard validierten AES256-Verschlüsselung und erfüllt damit den höchsten Sicherheitsstandard der US-Regierung zur Verschlüsselung von Daten im gespeicherten Zustand. Die Verschlüsselung ist integriert, stets aktiv und erfolgt inline - nativ im Betriebssystem verankert.
Durch die Nutzung eines gesicherten Schlüsselaustausches zwischen Vormetric Transparent Encryption (VTE) und Speicher-Arrays können verschlüsselte Daten von Hosts, auf denen VTE läuft, jetzt von Speicherlösungen für Unternehmen analysiert, komprimiert, dedupliziert und dann sicher auf dem Array in einem verschlüsselten Format gespeichert werden. Mit VTE-ES gibt es keine Auswirkungen auf die Datensicherheit bei der Datenreduzierung.
Pure Storage FlashArray ist die erste Speicherlösung, die Thales in VTE-ES integriert hat. Dadurch bietet diese branchenweite erste Lösung eine End-to-End-Verschlüsselung, wobei die Vorteile der branchenführenden Datenreduzierung von Pure Storage erhalten bleiben.
Warum E2?
Die Menge an Daten, die als sensibel eingestuft werden und verstärkte Sicherheitsanforderungen haben, sind aufgrund neuer und strengeren Vorgaben beim Datenschutz gestiegen. Studien (wie der Thales Data Threat Report-Global Edition 2019) besagen, dass 60% der Organisationen (30% davon innerhalb des letzten Jahres) eine Datenverletzung erlitten. Häufiger Grund dieses Mangels: Kosten und Komplexität.
Pure Storage ist führend im Bereich Einfachheit und Datenreduktionsmechanismen, daher wählte Thales Pure Storage als ersten Alliance Partner für die Bereitstellung der Vormetric Transparent Encryption aus.
Die Verschlüsselung von Daten zur Erfüllung von Compliance-Anforderungen erhöht die Speicherkosten. Das Verschlüsseln von Daten auf dem Storage-Layer (data-at-rest encryption - D@RE) wird durch Software oder selbstverschlüsselnde Laufwerke (SEDs) erreicht. D@RE schützt unverschlüsselte Daten lediglich vor dem Lesen im Fall eines physischen Zugriffs (z. B. Diebstahl oder nicht fachgerechte Entsorgung), indem die Daten in einem verschlüsselten Format auf den Medien abgespeichert werden.
Organisationen oder Abteilungen mit strengeren Sicherheitsrichtlinien haben oft die Anforderung, dass die Anwendungs- und Endbenutzerdaten beim Schreiben verschlüsselt werden müssen, um sie vor unbefugtem Zugriff zu schützen, falls der Host oder Server manipuliert wird. Das Sichern von Host-Daten wird als transparente Verschlüsselung (Transparent Encryption - TE) bezeichnet, da die Verschlüsselung für die Anwendung oder den Benutzer nicht sichtbar ist. TE hat das Problem, dass die Verwendung von Datenreduktionsmechanismen (Deduplizierung und Komprimierung) nahezu vollständig zu Nichte gemacht werden *. Dadurch steigt der Bedarf an Speicherkapazität bei "klassischer" Host-Encryption enorm an.
* Pure Storage garantiert auf das Gesamtsystem unabhängig davon betrachtet auf bereits verschlüsselte Daten eine OVERALL DataReduction von 1,3:1. Dieser Datenreduktionsfaktor wird hier jedoch vernachlässigt und ist nicht in den Reduktionfaktoren enthalten.
Take it practical
VTE geht bei der Verschlüsselung noch weiter, indem nicht nur effizient (Datenreduktion) und transparent verschlüsselt wird, sondern auch eine granulare Zugriffskontrolle, Richtlinien für privilegierten Benutzerzugriff und ein Auditing mit ermöglicht werden. Die Integration von Pure Storage und Vormetric Transparent Encryption ist genial, sie müssen nicht zwischen Datenreduzierung und Verschlüsselung wählen - man kann beides uneingeschränkt nutzen.
Im Beispiel wurde ein öffentlich zugänglicher Datensatz mit 5,3 GB auf drei verschiedenen Volumes eines FlashArray abgelegt. Hier handelt es sich um keine POD-Volumes.
Es wurde auf alle drei Volumes der gleiche Testdatensatz geschrieben, somit sind die Testergebnisse jederzeit reproduzierbar. Wir schreiben auf ein:
HOST ENCRYPTED VOLUME
Volumename: Encrypted
Volumegröße: 5,19 G
erzielte Datenreduktion: 1.0:1
VOLUME ENCRYPTED WITH VTE
Volumename: Encrypted_with_VTE
Volumegröße: 1,08 G
erzielte Datenreduktion: 4.8:1
UN-ENCRYPTED VOLUME
Volumename: Non-encrypted
Volumegröße: 1,08 G
erzielte Datenreduktion: 4.8:1
Technical Overview
Es ist klar: um diese Art von Verschlüsselung anbieten zu können, benötigt man zwingend eine dritte Instanz, welche die Schlüsselverwaltung übernimmt:
Es gibt einen Key Management Server (KMS) von Thales, den sogenannten Vormetric Data Security Manager (DSM), welcher zwischen FlashArray und Host über das Key Management Interoperability Protocol (KMIP) kommuniziert. Der DSM ermöglicht es, FlashArray und Host den Schlüssel für die verschlüsselten Volumes auszutauschen. Der VTE Agent versieht das Volume mit einer Kennung, durch die das FlashArray das Volume identifizieren kann. Der VTE Agent stellt ebenfalls sicher, dass alle auf das Volume geschriebenen Daten verschlüsselt werden. Die Schlüsselverwaltung/-austausch selbst findet über das Netzwerk statt.
Im nachfolgenden Beispiel soll ein RHEL Host mit hoch sensiblen Daten gesichert werden:
Der Schreibvorgang/write-IO
Auf dem Linux Host wurde der Vormetric File System Agent installiert. Der Host checkt einen Encryption Key beim DSM aus. Das FlashArray registriert sich als ein KMIP Client an der DSM und prüft den Host Encryption Key. Der Host schreibt seine verschlüsselten Daten auf das FlashArray.
Das FlashArray entschlüsselt die Daten mit dem Host-Schlüssel *, komprimiert, dedupliziert und verschlüsselt diese mit dem FlashArray-Schlüssel, bevor er sie auf den Speicher schreibt.
* die Entschlüsselung der Daten mit dem Host-Schlüssel ist Teil der Integration.
Der Lesevorgang/read-IO
Wenn der Host die Daten lesen möchte, entschlüsselt das FlashArray die Daten mit dem FlashArray-Schlüssel und verschlüsselt sie vor der Übertragung mit dem Host-Schlüssel erneut. Dieser Schritt ist ebenfalls Teil der Integration.
Systemvoraussetzungen
Vormetric DSM/Data Security Manager
DSM VM oder Appliance (redundante Auslegung)
DSM 6.3
VTE 6.2 oder neuer
Thales KMIP-Client-Lizenz
Pure Storage FlashArray
Purity 5.3 oder neuer
iSCSI oder FibreChannel
Host OS
RHEL 7 & 8, SLES 12 & 15, Ubuntu 18
Bare Metal Server
VMware VMs mit RDMs (raw device mappings) oder vVols keine VMDKs *
* eine Verschlüsselung von virtuellen Maschinen auf Volume-Ebene wird mit dem Vormetric Transparent Encryption File System Agent erzielt. Dieser ist verfügbar für AIX, HPUX (EOS 2019), Solaris (EOS 2019), OEL, Red Hat, SUSE, Ubuntu, Windows, Docker und Hadoop.
Configuration Overview
Es müssen drei Geräte bereitgestellt und konfiguriert werden. Die Grundkonfiguration ist unkompliziert, am längsten dürfte der Prozess mit dem Aufbau der Vertrauensstellung (TCP/IP) zwischen Array, DSM und Host dauern. Die Vertrauensstellung basiert auf Zertifikaten, entweder selbst signiert oder von einer Zertifizierungsstelle über TLS/SSL. Dies kann für einen Anfänger, welcher in der Vergangenheit noch nicht so viel mit Zertifikaten zutun hatte, eine Herausforderung sein.
Allgemein läuft die Installation in dieser Reihenfolge ab:
Installation und Konfiguration von Thales DSM (wer bereits eine DSM besitzt muss nur eine KMIP-Lizenz einspielen)
Konfiguration des DSM, indem das FlashArray als KMIP-Client definiert wird (-> dem DSM das FlashArray bekanntmachen)
Konfiguration des FlashArray für KMIP (Austausch der Gerätezertifikate zwischen FlashArray und DSM; dem FlashArray den KMIP/DSM bekanntmachen)
Installation und Konfiguration des VTE-Agents auf dem Host
Eine vollständige Installationsanleitung kann ich an dieser Stelle nicht für jedermann öffentlich zur Verfügung stellen. Das Setup ist lediglich für autorisierte Partner im Zugriff. Es lässt sich jedoch sagen: das Setup ist mit Hilfe der Dokumentation flink (Arbeitsaufwand 30 Minuten) erledigt.
Auszeichnung
Vormetrics transparente Verschlüsselung (VTE) wurde von CyberSecurity Excellence Awards mit dem Award "Winner Gold" im Bereich Encryption ausgezeichnet.
Fazit
Wie man sehen kann, haben Thales und Pure Storage jeweils echte Innovationen mit ihren Technologien geschaffen und konnten so eine Integration liefern, die zuvor als nicht realisierbar galt. Es ist nun möglich, die Datensicherheit "End-to-End" zu gewährleisten, dabei den Speicherbedarf auf ein Minimum zu reduzieren und letztendlich den Kunden die Möglichkeit zu geben höchste Compliance-Anforderungen zu erfüllen.
Vormetric Transparent Encryption bringt die transparente Verschlüsselung weiter, indem nicht nur transparent verschlüsselt und die Datenreduktion erhalten bleibt, sondern auch weitere Optionen (wie eine Zugriffskontrolle, richtliniengesteuerter Benutzerzugriff und ein Auditing) hinzufügt.
Danksagung
Dieser Beitrag entstand in Zusammenarbeit mit Kai Wolff Channel Sales Manager bei Thales [XING | LinkedIn].
Kai und ich durften uns im Zuge der EncryptReduce-Story von Thales-Pure Storage kennenlernen. Seitdem treffen wir uns bei Gelegenheit immer wieder und tauschen uns zu Neuigkeiten der Integration und dessen Ecosystems aus. Gemeinsam haben wir uns als Ziel gesetzt: jede Kundenumgebung mit einer einfachen E2-Verschlüsselung abzusichern - Mission: E2-everywhere. Wir sind uns einig: die einzige Möglichkeit tatsächlich seine Unternehmensdaten vollständig zu abzusichern.
An dieser Stelle nochmal besten Dank für deine Unterstützung und die tolle Zusammenarbeit - Kai.
Weitere Infos - Links
Sämtliche offiziell veröffentlichten Einstellungsmöglichkeiten in der GUI, aber auch CLI können über die "on-board" User Guides der Pure Storage Systeme nachgelesen werden.
Im Purity Hauptmenü hierzu auf "Help" klicken.
Der User Guide ist wie das Hauptmenü gegliedert und kann von Ebene zu Ebene geöffnet werden. Eine Suchfunktion ist auch integriert - hier kann mit Schlagworten gesucht werden.
WEB: Pure Storage (Pure1) Supportportal - Ticketsystem und Unterstützung *(erfordert registrierte FlashSysteme)
TEL: Pure Storage Telefonsupport: GER - (+49) (0)800 7239467; INTERNATIONAL - (+1) 650 7294088
WEB: Pure Storage OFFICIAL Blog