Tech OnTap של NetApp לוגו של NetApp
Tech OnTap של NetApp
     
לעיניך בלבד
Blair Semple‏
‏CISSP-ISSEP, מנהל, פיתוח עסקי, SafeNet

שפר את אבטחת הנתונים עם SafeNet ו- NetApp

היום יותר מאי פעם, הנתונים שלך נמצאים מחוץ לשליטתך, בין אם אתה מודע לכך או לא. בשל סיבות שונות ומגוונות, החל ממטרות רווח ועד לביטחון לאומי, האח הגדול, דוד ענן וקרובי משפחה רחוקים חמדנים משוועים לקבל הצצה למידע הרגיש ביותר שלך. ולנוכח כמות הנתונים העצומה ועליית האחסון הווירטואלי והאחסון בענן, כיום זו משימה די קלה עבורם.

סיכונים לפרטיות ולאבטחה

בין אם למטרות ביטחון לאומי ובין אם למטרות רווח, כולם - החל מארגוני הביטחון ועד לפושעי סייבר - רוצים לראות את הנתונים שלך. מעגלי פושעי הסייבר שכללו בעבר בעיקר "ילדוני סקריפט" רודפי תהילה התרחבו מאז והיום נמנים בהם ארגונים המגלגלים מיליונים רבים של דולרים שמקורם במכירת נתונים רגישים. בינתיים, נולדו כמה מגמות טכנולוגיות, אשר מצד אחד הכרחיות לתמיכה בפעילות העסקית החוקית שלנו ולצמיחתה, אך מצד שני מאפשרות לאויבים שלנו גישה קלה יותר לנתונים שלנו.

הראשונה היא כמות הנתונים האדירה. ברחבי העולם, כמות הנתונים גדלה בקצב אסטרונומי, ואחוז הנתונים הנחשבים "רגישים" ממשיך לטפס מדי שנה. נתונים רגישים יכולים להיות מספרי זיהוי ממשלתיים, מסמכים רפואיים, מידע על כרטיסי אשראי, פרטי תשלומים, קניין רוחני וכל דבר אחר העלול לגרום לנזק אם ייחשף לאנשים או לארגונים לא מורשים.

השנייה היא עליית הווירטואליזציה, מחשוב הענן והאחסון כשירות. וירטואליזציה מקשה עלינו לעקוב אחר הנתונים בכל רמות הערימה ומאפשרת להעתיק ולהעביר אותם ממקום למקום ביתר קלות. מחשוב ענן מעצים עוד יותר את מורכבות הניהול והבקרה כאשר ארגונים משתפים שכבות בערימה ביחד עם יחידות עסקיות או צוותי פרויקטים או מרחיבים את מרכז הנתונים שלהם לענן הציבורי.

ייתכן אף כי אתה משתייך לאותן חברות אשר מרוויחות מהצורך הזה כאשר אתה מציע אחסון כשירות על-בסיס תשלום לפי שימוש כגון גיבוי ושחזור מחוץ לאתר או שירותי ענן. הבעיות העיקריות בקרב ספקי אחסון ושירותי ענן ציבורי הן הבעלות והאחריות על הנתונים. האם האחריות לאבטח את הנתונים ולהגן עליהם מוטלת על הלקוח או על הספק? ואם הממשלה מבקשת לראות את הנתונים, מי קובע איזה מידע יימסר - הלקוח או הספק? האם קיימת בכלל חובה ליידע את הלקוח?

אבטחת נתונים באמצעות הצפנה

הפתרון הפשוט ביותר לכל סכנות האבטחה והפרטיות הללו הוא הצפנת נתונים. מובן שעובד או מנהל ענן מאוכזבים עשויים לקחת את הנתונים הביתה בהחסן נייד, פושע סייבר עלול לגנוב אותו וסוכנות ממשלתית עשויה לצותת לו, אך כל מה שהם יראו יהיו מקטעים לא ברורים בתפזורת, ולא מידע שימושי. ללא מפתחות ההצפנה (הנשמרים בנפרד במערכות חומרה עם אבטחת נתונים מתקדמת) לא ניתן לפענח את המידע ולנתונים אין כל משמעות.

מרגע הצפנת מאגר המידע, ארגונים יכולים למסור אותו לספק שירות ולהיות בטוחים שגם אם ייצרו ממנו עשרה עותקים, כולם עדיין יהיו מוצפנים. לא משנה לאן הוא מגיע או כמה עותקים יוצרים ממנו, השליטה בנתונים נשמרת בידי הבעלים המקורי מפני שהוא בעל השליטה במפתחות ההצפנה. לכן גם אם ספק הענן מקבל ביקור מסוכנות ממשלתית או מרשויות אכיפת החוק המחפשות אחר הנתונים שלך, הן תצטרכנה לפנות אליך כדי לקבל את מפתחות ההצפנה. מפתחות הצפנה לא תמיד יוכלו למנוע מהאח הגדול לקרוא את המידע שלך, אך הם מאפשרים לך לדעת לבטח היכן נמצאים הנתונים שלך ומי מסתכל בהם.

יתרון זה חשוב לספקי האחסון ושירותי הענן לא פחות מללקוחות. למעשה, ספקי שירות רבים מציעים אחסון מוצפן כשירות מובחר בקו המוצרים שלהם. אם אתה ספק שירות, ההצפנה לא רק מקנה לך יתרון ייחודי על-פני המתחרים, אלא גם מגבילה את האחריות של לנתוני הלקוחות. כל עוד השליטה במפתחות ההצפנה נשמרת בידי הלקוחות, הם אלו השולטים בנתונים, גם כאשר הנתונים מאוחסנים בסביבה שלך. יתרון זה מסיר מעליך דאגות הקשורות לגיבוי והתאוששות מאסונות בענן או לאחסון נתונים חוצה גבולות, ומעניק לארגונים את הביטחון המאפשר להם להפקיד בידיך בבטחה 100% מהמידע הרגיש שלהם, ולא רק נתונים שאין להם מקום לאחסן בסביבה המקומית.

היכרות עם אפשרויות ההצפנה של NetApp

NetApp מציעה מגוון אפשרויות הצפנה העונות על צרכים ספציפיים. היתרון של NetApp‏ (ואחת הסיבות שאנו ב- SafeNet אוהבים כל כך לעבוד איתם) הוא שהם לא מנסים ליצור פתרון רב תכליתי אחד שמתאים לכולם. NetApp מפתחת אפשרויות שונות לפי דרישות הלקוחות ולאחר מכן בוחנת ביחד איתך איזו אפשרות מתאימה לסביבה ולצרכים הספציפיים שלך. לא משנה מה דרישת ההצפנה שלך, NetApp נותנת לך מענה ייחודי לאתגרי האבטחה שלך. להלן אפשרויות ההצפנה:

StorageSecure של SafeNet

מערכת ההצפנה StorageSecure של SafeNet מגינה על נתונים רגישים בפריסות NAS מבוססות Ethernet‏ (‏NFS ו-CIFS‏). NetApp ו- SafeNet חברו יחד בשיתוף פעולה כדי לספק שירותי הצפנה מתקדמים המבוססים על הצפנת AES של 256 סיביות עם מהירות גבוהה בעלת רכיבים יתירים ומעבר לגיבוי בעת כשל במערך המעניקים אמינות גבוהה.

StorageSecure ו- KeySecure של SafeNet מספקות הצפנה לסביבות NFS ו- CIFS‏.

איור 1) ‏StorageSecure ו- KeySecure של SafeNet מספקות הצפנה לסביבות NFS ו- CIFS‏.

נכון להיום קיימות שתי מערכות זמינות:

  • StorageSecure s220 של SafeNet‏ (ממשק רשת GbE‏)
  • StorageSecure s280 של SafeNet‏ (ממשק רשת ‎10GbE‏)

המערכות הללו:

  • מבטיחות בידוד נתונים ופקדי גישה מבוססי גרעיניות לנתונים מוגנים בסביבות משותפות ווירטואליות.
  • מעצימות את היכולות של פקדי LDAP‏, Microsoft®‎‎ Active Directory®‎‎‎ ו- NIS קיימים באמצעות שכבה נוספת של פקדי גישה
  • מגינות על נתונים לעמידה בדרישות תאימות
  • מגינות על נתונים בלתי מקוונים בארכיבים בפני גניבה או גישה בלתי מורשית
  • משלבות את KeySecure של SafeNet לתמיכה במדיניות ריכוזית ובניהול מפתחות

הצפנת האחסון של NetApp

NSE היא הדרך של NetApp להטמיע טכנולוגיית הצפנת דיסק מלאה (FDE) באמצעות כונני הצפנה עצמית (SED) מתוצרת יצרנים מובילים. מאחר שההצפנה והפענוח מתרחשים בכונן עצמו לאחר שמערכת Data ONTAP®‎‎‎ כותבת את הנתונים או לפני שקוראים אותם, ‏NSE פועלת בשילוב חלק עם תכונות Data ONTAP כגון מניעת כפילויות ודחיסה. כל הנתונים בכונן מוצפנים באופן אוטומטי, ולכן NSE מספקת דרך קלה להבטיח את ההגנה על נתונים במנוחה ובד בבד לקבל את ההחזר המרבי על ההשקעה במערכת האחסון של NetApp‏.

הכוננים הפיזיים עצמם עמידים בפני שימוש לרעה, ו- NSE מונעת גישה לא מורשית לנתונים מוצפנים במנוחה. היא מונעת מאנשים להסיר כונן או מדף כוננים כדי להרכיב אותם במקום אחר ולגשת אליהם. בנוסף, היא מונעת גישה בלתי מורשית בעת החזרת כוננים לאחר כשל בכונן ומפשטת את התהליך של השלכת כונן.

כל כונני ה- FDE ש- NetApp מוכרת מצייתים לתקן שקבעה קבוצת Trusted Computing Group‏ (‏TCG‏) להצפנה מסוג AES-256 ועומדים בדרישות תקני עיבוד המידע הפדרליים Federal Information Processing Standards‏ (FIPS‏) 140-2 רמה 2 לאחר אימות היצרנים - דרישה סטנדרטית במגזר הציבורי. מידע נוסף על NSE ניתן למצוא במאמר Tech OnTap®‎‎‎ זה שפורסם לאחרונה אשר בוחן את כל טכנולוגיות הכוננים של NetApp‏.

ניהול מפתחות

כמובן שכאשר מצפינים נתונים, חשוב לשמור ולנהל את מפתחות ההצפנה במקום בטוח. אחד היתרונות הייחודיים של NetApp לעומת ספקי אחסון אחרים טמון בכך שהיא מציעה פתרון לניהול מפתחות ריכוזי - KeySecure של SafeNet‏, המאפשר לך לרכוש, לשלב ולנהל אחסון מוצפן. KeySecure יכולה לאחסן ולנהל מפתחות הצפנה עבור היצע מוצרי ההצפנה השלם של NetApp‏, כולל NSE ו- StorageSecure של SafeNet‏.

KeySecure של SafeNet מספקת אבטחת מפתחות לפי צורכי הצפנה שונים ומגוונים.

איור 2) ‏KeySecure של SafeNet מספקת אבטחת מפתחות לפי צורכי הצפנה שונים ומגוונים.

KeySecure מבוססת על פרוטוקולי KMIP סטנדרטיים ויכולה גם לנהל מפתחות הצפנה עבור מוצרים שאינם נכללים בהיצע מוצרי NetApp אך קיימים במרכז הנתונים שלך. לדוגמה, אם אתה משתמש במחשבים וירטואליים במרכז הנתונים של NetApp שלך, ‏ProtectV של SafeNet מאפשרת להצפין מחשבים וירוטאליים, וכמובן שניתן להשתמש באותה מערכת KeySecure כדי לנהל גם את המפתחות הללו.

לסיכום

כיום, אויבי הנתונים שלנו הם בעלי יכולות ומוטיבציה רבות יותר מאי פעם, ולנוכח כמות הנתונים העצומה שצריך לנהל , ארגונים מביני ם כי עליהם לפנות לווירטואליזציה, לענן ולאחסון כשירות. הצפנת נתונים בסביבות אחסון מאפשרת לך לקבוע מי יכול לראות את הנתונים, לא משנה היכן הם מאוחסנים, ולדעת כמה עותקים יוצרים מהם או מי מנסה לגנוב אותם.

SafeNet ו- NetApp החליטו לשתף פעולה כדי לתת מענה טוב יותר לצורכי האבטחה שלך. במסגרת שותפות זו אנו מציעים כמה פתרונות אבטחה:

מערכות FAS של NetApp מציעות מבחר הולך וגדל של כונני הצפנה עצמית (SED) אשר משתמשים בהצפנת האחסון של NetApp‏ (NSE‏) ובמערכת KeySecure של SafeNet להצפנת נתונים במנוחה.

 יש לך דעה בנושא הצפנה?

שאל שאלות, החלף רעיונות ושתף מחשבות באופן מקוון בקהילות NetApp.

מאת Blair Semple‏, CISSP-ISSEP‏, מנהל, פיתוח עסקי, SafeNet

Blair מתמקד באבטחת מידע ובמיוחד באבטחת אחסון. עם יותר מ- 12 שנות ניסיון באבטחת אחסון, הוא אחראי על תקשורת יוצאת גלובלית הקשורה למצב שוק אבטחת האחסון, תקני אבטחת אחסון חדשים וכן הלאה. בנוסף, Blair עובד ישירות מול לקוחות SafeNet ו- NetApp ומסייע להם בהגדרת הדרישות, האתגרים והיתרונות של אבטחת אחסון לצד הערך שמספקים פתרונות NetApp לסביבה זו. לפני שהצטרף ל- SafeNet‏, עבד Blair ב- NetApp למשך שש שנים בתפקיד מומחה אבטחת אחסון.

Tech OnTap
הירשם עכשיו
Tech OnTap מספק מדי חודש תובנות בנושא IT וגישה בלעדית לשיטות עבודה מומלצות ובדוקות, עצות וכלים, ראיונות עם מהנדסים מאחורי הקלעים, הדגמות, ביקורות של עמיתים ועוד ועוד.

בקר ב- Tech OnTap בקהילת NetApp‏ והירשם עוד היום.

סייר
סייר
מידע נוסף על פתרונות האבטחה של SafeNet‏

מידע נוסף על פתרונות הצפנת הנתונים וניהול המפתחות של SafeNet‏, הורד סקירה טכנית חינם:

סייר
 
TRUSTe
צור קשר   |   כיצד לרכוש   |   Feedback   |   משרות  |   מנויים   |   מדיניות פרטיות   |   ‎© 2014 NetApp