Cifrar los datos de su cabina de almacenamiento: sin coste con NVE (NetApp Volume Encryption)

Una de las novedades interesantes de ONTAP 9.1 es la nueva funcionalidad NetApp Volume Encryption, que permite encriptar, desde la controladora, cualquier volumen de datos que se esté sirviendo, independientemente del protocolo de acceso (SAN o NAS).

 

Esto es lo que se conoce como cifrado “at-rest” … me resulta complicado traducirlo, aunque el concepto creo que está claro, los datos son guardados en los discos de la cabina de forma cifrada (con AES-256, que es el estándar para estas cosas). No se cifra el tráfico de información hasta la cabina. Esto nos protege de ataques físicos sobre la cabina, quizás menos habituales y, sobre todo, de no tener que preocuparnos por la información cuando se devuelve un disco averiado o se termina de utilizar el equipo.

 

nve.jpg

 

Parece que en algunos foros el uso de discos SSD está suponiendo algún problema respecto a la seguridad de los datos en ellos almacenados. Ya existían soluciones de cifrado en los propios discos, tanto en los “que dan vueltas” como en los de estado sólido, pero el “problema” es que hay que comprar discos especiales que realizan el cifrado en su firmware, que son más caros, y que requieren que toda la cabina o todo el pool de discos sean de este tipo.

 

La nueva funcionalidad NVE permite hacer un cifrado granular, a nivel de volumen, con cualquier tipo de disco y utilizando la controladora como elementos cifrador. Para reducir el impacto en rendimiento de esta aproximación se requiere tener CPUs de Intel de nueva generación que hacen buena parte del trabajo de cifrado por su cuenta (más info aquí), lo que en nuestras controladoras se traduce en FAS 6280/90, 8000 y posteriores, incluyendo todas las lanzadas el pasado lunes, aunque sean los FAS2600 de gama baja.

 

La gestión de claves, se realiza con un gestor de claves incorporado en ONTAP (on board) y en el futuro se podrán utilizar gestores externos.

 

¿He dicho ya que todo esto no tiene coste? Pues eso, hay que pedir una licencia gratuita para ONTAP 9.1 y superiores, y a disfrutar de almacenamiento cifrado sin más. Los datos existentes se puede cifrar mediante una operación de “vol move”, y seguimos aprovechando las capacidades de deduplicación y compresión, ya que se realizan antes que el cifrado.

 

Saludos,

 

Jamarmu