Pure Storage kombiniert Deduplizierung und Verschlüsselung
Purity baut die Unterstützung von EncryptReduce weiter aus. Die Betriebsumgebung für die FlashArray-Produkte von Pure Storage sorgt laut Hersteller nun trotz aktiver, laufender Datendeduplizierung für die Verschlüsselung der Blockspeicherung. EncryptReduce ist inzwischen auch zu Microsoft Windows kompatibel und basiert auf der Vormetric Transparent Encryption (VTE) von Thales. Die Möglichkeiten sollen fortlaufend erweitert werden.
Bereits seit längerem ermöglicht Pure in seinen Flasharrays kontinuierlich aktive Deduplizierung und Verschlüsselung der abgelegten Daten (Data at rest). Allerdings ergaben sich Probleme, wenn Kunden Daten bereits auf Host-Level verschlüsseln wollten. Bei der Datenreduzierung werden ähnliche Muster in einem Datensatz identifiziert, um die Datenmenge zu reduzieren. Aufgabe der Verschlüsselung ist es aber, Daten so zufällig wie möglich anzuordnen, damit sich keine Muster erkennen lassen.
Die »FlashArray«-Systeme von Pure Storage meistern Deduplizierung und Verschlüsselung.
Probleme bei gleichzeitiger Deduplizierung und Verschlüsselung
Überblick über die Funktionsweise von Vormetric Transparent Encryption (VT) (Grafik: Thales).Diese Schwierigkeiten treten grundsätzlich bei allen Anbietern auf. Dadurch erhöhen sich nach Berechnungen von Pure die Kosten und der Speicherbedarf verschlüsselter Daten gegenüber unverschlüsselten Daten jedoch bis um das Fünffache.
Viele raten daher davon ab, Hardware-Komprimierung und Verschlüsselung parallel einzusetzen. Denn während des Verschlüsselungsvorgangs werden die Daten randomisiert, in Verbindung mit randomisierten Daten funktioniert jedoch die Komprimierung nicht einwandfrei. Komprimierung mittels Software ist einfacher, dauert aber deutlich länger. Pure will dieses Dilemma nun durch die Integration der Vormetric Transparent Encryption von Thales in sein als Encryptreduce beworbenes Angebot gelöst haben. Da sich damit nun auch verschlüsselte Daten von den Hosts sichern lassen, reduziert sich die Angriffsfläche. Authentifizierung und Zugriffskontrolle als Sicherheitsmechanismen unterstützt Pure Storage schon länger.
Thales VTE fungiert als Schlüsselmanager
Schematische Darstellung der Zusammenarbeit von Pure Storage FlashArray mit dem VTE-Agent und dem DSM von Thales (Grafik: Pure Storage).Durch die Kooperation mit Pure Storage können Unternehmen nun Thales VTE als externen Schlüsselmanager verwenden. Kommen die verschlüsselten Daten zur Speicherung auf einem Pure Flasharray an, stellt VTE einen Entschlüsselungs-Key zur Verfügung. Dadurch werden zwischen dem Host und dem Flash Array verschlüsselte Daten übertragen und das Flasharray kann eine Datenreduzierung durchführen.
Die Sicherheits- und Schlüsselverwaltung übernimmt der VTE Data Security Manager (DSM). Der DSM ist mit Zertifizierungen nach FIPS 140-2 Level 1, 2 oder 3 erhältlich und verfügt über RESTful-, SOAP- und Command-Line-APIs sowie web-basierte Verwaltungsoberflächen. Auf den zu sichernden Systemen muss der VTE-Agent (Client) laufen.
Pure Storage und Thales arbeiten schon lange zusammen
Vormetric Transparent Encryption nutzt standardbasierte Verschlüsselungs-Protokolle wie Advanced Encryption Standard (AES) zur Datenverschlüsselung und elliptische Kurvenkryptographie (ECC) für den Schlüsselaustausch. Durch die Nutzung der AES-Hardware-Verschlüsselungs-Funktionen aktueller Prozessoren reduziert sich der Verschlüsselungs-Overhead.
Angekündigt hatten Pure Storage und Thales ihre Zusammenarbeit bereits zur RSA Conference im Frühjahr 2019. Damals wurden zunächst Hosts mit Red Hat Enterprise Linux (RHEL) unterstützt. Die ab da als Encryptreduce bezeichnete Funktion hatte in ihrer zuvor existierenden Beta-Version schlicht End-to-End Encryption geheißen. Die anschließend erfolgte Integration in Purity erleichterte die Einrichtung und Verwaltung erheblich, die nun angekündigte Unterstützung für Windows-Betriebssysteme erweitert das Einsatzspektrum deutlich.
- Mehr zu den Flasharray-Produkten von Pure Storage
- Flasharray//C: Pure Storage bringt erstes All-QLC-Array
- Interview: Pure-Vision vom All-Flash-Datacenter wird Realität
- Purity 6.0: Block und File für das »Pure FlashArray«
- Pure Purity//FB3.0: Neues Betriebssystem für All-Flash-Plattform
- Roundtable: Trends bei All-Flash-Arrays: schnell, effizient, einfach