26.11.2020 (Peter Marwan)
4 von 5, (7 Bewertungen)

Pure Storage kombiniert Deduplizierung und Verschlüsselung

  • Inhalt dieses Artikels
  • Probleme bei gleichzeitiger Deduplizierung und Verschlüsselung
  • Thales VTE fungiert als Schlüsselmanager
  • Pure Storage und Thales arbeiten schon lange zusammen

Purity baut die Unterstützung von EncryptReduce weiter aus. Die Betriebsumgebung für die FlashArray-Produkte von Pure Storage sorgt laut Hersteller nun trotz aktiver, laufender Datendeduplizierung für die Verschlüsselung der Blockspeicherung. EncryptReduce ist inzwischen auch zu Microsoft Windows kompatibel und basiert auf der Vormetric Transparent Encryption (VTE) von Thales. Die Möglichkeiten sollen fortlaufend erweitert werden.

Bereits seit längerem ermöglicht Pure in seinen Flasharrays kontinuierlich aktive Deduplizierung und Verschlüsselung der abgelegten Daten (Data at rest). Allerdings ergaben sich Probleme, wenn Kunden Daten bereits auf Host-Level verschlüsseln wollten. Bei der Datenreduzierung werden ähnliche Muster in einem Datensatz identifiziert, um die Datenmenge zu reduzieren. Aufgabe der Verschlüsselung ist es aber, Daten so zufällig wie möglich anzuordnen, damit sich keine Muster erkennen lassen.

Die »FlashArray«-Systeme von Pure Storage meistern Deduplizierung und Verschlüsselung.Die »FlashArray«-Systeme von Pure Storage meistern Deduplizierung und Verschlüsselung.

Probleme bei gleichzeitiger Deduplizierung und Verschlüsselung

Überblick über die Funktionsweise von Vormetric Transparent Encryption (VT) (Grafik: Thales).Überblick über die Funktionsweise von Vormetric Transparent Encryption (VT) (Grafik: Thales).Diese Schwierigkeiten treten grundsätzlich bei  allen Anbietern auf. Dadurch erhöhen sich nach Berechnungen von Pure die Kosten und der Speicherbedarf verschlüsselter Daten gegenüber unverschlüsselten Daten jedoch bis um das Fünffache.

Viele raten daher davon ab, Hardware-Komprimierung und Verschlüsselung parallel einzusetzen. Denn während des Verschlüsselungsvorgangs werden die Daten randomisiert, in Verbindung mit randomisierten Daten funktioniert jedoch die Komprimierung nicht einwandfrei. Komprimierung mittels Software ist einfacher, dauert aber deutlich länger. Pure will dieses Dilemma nun durch die Integration der Vormetric Transparent Encryption von Thales in sein als Encryptreduce beworbenes Angebot gelöst haben. Da sich damit nun auch verschlüsselte Daten von den Hosts sichern lassen, reduziert sich die Angriffsfläche. Authentifizierung und Zugriffskontrolle als Sicherheitsmechanismen unterstützt Pure Storage schon länger.

Thales VTE fungiert als Schlüsselmanager

Schematische Darstellung der Zusammenarbeit von Pure Storage FlashArray mit dem VTE-Agent und dem DSM von Thales (Grafik: Pure Storage).Schematische Darstellung der Zusammenarbeit von Pure Storage FlashArray mit dem VTE-Agent und dem DSM von Thales (Grafik: Pure Storage).Durch die Kooperation mit Pure Storage können Unternehmen nun Thales VTE als externen Schlüsselmanager verwenden. Kommen die verschlüsselten Daten zur Speicherung auf einem Pure Flasharray an, stellt VTE einen Entschlüsselungs-Key zur Verfügung. Dadurch werden zwischen dem Host und dem Flash Array verschlüsselte Daten übertragen und das Flasharray kann eine Datenreduzierung durchführen.

Die Sicherheits- und Schlüsselverwaltung übernimmt der VTE Data Security Manager (DSM). Der DSM ist mit Zertifizierungen nach FIPS 140-2 Level 1, 2 oder 3 erhältlich und verfügt über RESTful-, SOAP- und Command-Line-APIs sowie web-basierte Verwaltungsoberflächen. Auf den zu sichernden Systemen muss der VTE-Agent (Client) laufen.

Pure Storage und Thales arbeiten schon lange zusammen

Vormetric Transparent Encryption nutzt standardbasierte Verschlüsselungs-Protokolle wie Advanced Encryption Standard (AES) zur Datenverschlüsselung und elliptische Kurvenkryptographie (ECC) für den Schlüsselaustausch. Durch die Nutzung der AES-Hardware-Verschlüsselungs-Funktionen aktueller Prozessoren reduziert sich der Verschlüsselungs-Overhead.

Angekündigt hatten Pure Storage und Thales ihre Zusammenarbeit bereits zur RSA Conference im Frühjahr 2019. Damals wurden zunächst Hosts mit Red Hat Enterprise Linux (RHEL) unterstützt. Die ab da als Encryptreduce bezeichnete Funktion hatte in ihrer zuvor existierenden Beta-Version schlicht End-to-End Encryption geheißen. Die anschließend erfolgte Integration in Purity erleichterte die Einrichtung und Verwaltung erheblich, die nun angekündigte Unterstützung für Windows-Betriebssysteme erweitert das Einsatzspektrum deutlich.

.

powered by
N-TEC GmbH FAST LTA
Cloudian Tech Data IBM Storage Hub
Microchip
Folgen Sie speicherguide.de auch auf unseren Social-Media-Kanälen
Folgen Sie uns auf Facebook Folgen Sie uns auf Pinterest Folgen Sie uns auf YouTube
Folgen Sie uns auf Twitter Folgen Sie uns auf Linkedin speicherguide.de-News per RSS-Feed