Paul Arends
Naarmate de beveiligingsvoorschriften strenger worden en de vooruitgang in kwantumberekening vordert, geven organisaties prioriteit aan computerveiligheid, waardoor codering steeds essentiëler wordt. De Cisco MDS 9000 Family of Storage Network Devices biedt cutting-edge oplossingen, met name via Cisco TrustSec Fiber Channel Link-codering, waardoor de overdracht van veilige gegevens via de FC-netwerken van Fiber Channel (FC) wordt gewaarborgd.
De bedreigingen en veiligheidsvoorschriften leggen een sterkere veiligheidshouding op
Gegevens zijn een van de belangrijkste bronnen voor elk bedrijf, waardoor het beschermen van gegevens tegen ongeautoriseerde toegang en misbruik een belangrijke zorg is. Met de opkomst van hybride werken, de adoptie van cloudservices en het schadelijke gebruik van op kunstmatige intelligentie gebaseerde tools, zijn de malware-aanvallen geavanceerder en hebben ze een grote impact. Tegelijkertijd vereisen nieuwe privacy- en beveiligingsvoorschriften dat organisaties een betere en uitgebreidere veiligheidspositie bereiken. Daarom is IT-beveiliging de hoogste prioriteit onder kunstmatige intelligentiedistributies, volgens de Readiness Index van de AI Cisco 2024, en is codering nu zeer in trek bij bedrijven van alle groottes en industrieën.
Met FC als het voorkeursprotocol voor toegang tot de set bedrijfsgegevens van een bedrijf, is het belangrijk om de identiteit van de aangrenzende switches te valideren en gegevens te versleutelen tijdens het transport via een SAN. Deze functionaliteiten worden aangeboden op de Cisco MDS 9000 Family of Storage Networking-apparaten met behulp van Cisco TrustSec FC Link-codering. Met de recente NX-OS-code is een nieuwe cipher geïntroduceerd om Brute Force-berekeningen te weerstaan die de huidige coderingsstandaarden met kwantumberekening kunnen doorbreken, met een eenvoudige configuratie. Deze functie, beschikbaar op basis van een advantage en premier licentie, ondersteunt deze feature directeur van directeur, fixed configuration en multi-service switch, ten behoeve van zowel mainframe als open systeemomgevingen.
Verificatie is een vereiste voor codering
De switch van de Cisco MDS 9000-serie implementeert het Fiber Channel Security Protocol (FC-SP-2 Standard, ANI Incite 496-2012), waardoor switch-to-switch en host-to-view authenticatie mogelijk is om de veiligheidsuitdagingen in bedrijfsstoffen aan te gaan. Het Diffie-Hellman Challenge Handshake (DHCHAP) authenticatieprotocol is een FC-SP-protocol dat authenticatie biedt tussen de switch van de Cisco MDS 9000-serie en andere apparaten. DHChap combineert het CAP-protocol met de Diffie-Hellman (DH)-uitwisseling, zodat alleen vertrouwde apparaten zich kunnen aansluiten bij een stof, waardoor ongeautoriseerde toegang wordt voorkomen.
DHChap is een wachtwoord- en wachtwoordgebaseerd Key Exchange-authenticatieprotocol dat Switch-to-Switch en Host-TA-Suk-authenticatie ondersteunt. Deze configuratie vereist de wachtwoordinstelling van lokale switches en peers, waarbij DHChap onderhandelt over hash-algoritmen en DH-groepen. Met NX-OS 9.4 (3) is authenticatie op basis van SHA-1-algoritme vooraf gedefinieerd, geconfigureerd op het FC-FCA-interface niveau.
Cisco TrustSec Fiber Channel Link-codering
De Advanced Encryption Standard (AES) is een veilig algoritme voor symmetrische encryptie dat sinds 2002 wordt gebruikt. Het biedt ondersteuning voor verschillende toepassingen, waaronder schijfcodering, VPN-systemen en berichtenprogramma’s. Het vervangende permutatienetwerk voorziet in geavanceerde bitbewerkingen, met efficiënte hardware-implementatie.
De Cisco TrustSec FC Link-codering breidt het beveiligingsprotocol van de Fiber Channel (FCSP) uit, waardoor de integriteit van transacties en vertrouwelijkheid wordt gewaarborgd met behulp van DHChap voor peer-authenticatie. De coderingsconfiguratie omvat het definiëren van beveiligingsassociaties op interfaces, het instellen van een sleutel en het gebruik van een zout om de veiligheid te verbeteren door de versleutelde tekstmodellen te differentiëren.
Cisco TrustSec FC Link-codering schakelt AES-GCM in (vooraf gedefinieerde instelling, codering en authenticatie) of AES-GMAC (alleen authenticatie). De ondersteunde sleutellengtes zijn 128 bit voor 32G-apparaten en zowel 128 bit als 256 bit voor 64G-apparaten, wat flexibiliteit en keuze biedt. Indien uitgevoerd in de software, is AES-128 marginaal sneller en vereist het minder systeembronnen, terwijl AES-256 een grotere veerkracht biedt tegen brute force-aanvallen en de oplossing versterkt om kwantumbestanden te worden. De Cisco MDS 9000-switch maakt gebruik van de AES-implementatie die wordt ondersteund door geavanceerde hardware, zodat zowel AES-128 als AES-256 presteren met hetzelfde optimale prestatieniveau.
Prestaties en sectorleider in doorvoer
De Cisco 64G FC-switchmodule biedt een hoge coderingscapaciteit, met ondersteuning voor acht poorten tot 64G-snelheid elk, waardoor een geaggregeerde gecodeerde doorvoer van 512G per module wordt verkregen. Deze toonaangevende prestaties in de sector zijn te danken aan het geavanceerde ASIC-ontwerp en de efficiënte hardware-implementatie van codering zonder prestatieverlies. De Shop-E-Needle-architectuur garandeert een consistente latentie tussen gecodeerde en niet-gecodeerde configuraties, waardoor de SAN MDS 9000-switchen efficiënt blijven werken op het hoogste beveiligingsniveau. De fixed configuration en multi-service switches maken gebruik van dezelfde functies, maar het aantal gecodeerde poorten is afhankelijk van het schakelmodel. Bijvoorbeeld, op de Cisco MDS 9124V zijn er vier poorten die kunnen worden gecodeerd, op de Cisco MDS 9148V zijn er acht en op de Cisco MDS 9396V zijn er 16.
Poortonafhankelijkheid en servicecontinuïteit
In echte wereldimplementaties is poortonafhankelijkheid essentieel om connectiviteit te behouden tijdens onderbrekingen. De Cisco MDS 9000-switch excelleert hierin, met een geoptimaliseerde ASIC-architectuur en scheiding van het chassispad die geen invloed heeft op andere gecodeerde poorten tijdens gebeurtenissen zoals Port Erdisable of Cable/SFP. Dit vermogen verbetert aanzienlijk de beschikbaarheid van de service.
De stofswitches zoals de Cisco MDS 9124V, 9148V en 9396V ondersteunen meerdere gecodeerde poorten zonder dat het totale aantal bruikbare poorten wordt verminderd, in tegenstelling tot concurrerende producten. Deze mogelijkheid waarborgt een consistente toewijzing van middelen, ongeacht de status van de codering.
Ondersteuning op afstand en SAN-analysecompatibiliteit
Het inschakelen van codering op de MDS 9000-serie apparaten heeft geen invloed op de ondersteunde afstanden, handhaving van buffercredits en toestaan van ongewijzigde langeafstandsbewerkingen. Gebruikers kunnen dezelfde afstandsvermogens behouden met codering, waardoor ontwerpbeperkingen tijdens beveiligingsplanning worden geëlimineerd.
Cisco SAN Analytics biedt diepgaand inzicht in het verkeer en is de benchmark in de sector. Het kan volledig worden toegepast op gecodeerd verkeer, waarbij garantie en inzichten worden gehandhaafd zonder de zichtbaarheid in gevaar te brengen. De geavanceerde architectuur van de Cisco MDS 9000-serie zorgt ervoor dat het altijd mogelijk is om de koptekst te inspecteren, zodat SAN-analyse kan worden toegepast op gecodeerd verkeer dat de switch binnenkomt of verlaat.
Sleutellengte, beveiligingsniveau en kwantumweerstand
AES-GCM ondersteunt 128 en 256 bit sleutels. De keuze van sleutellengte op 64G-apparaten biedt flexibiliteit, met periodieke handmatige intrekking beschikbaar als extra beveiligingsmaatregel. AES-256 wordt aanbevolen voor kwantumweerstand en bescherming tegen opkomende bedreigingen van kwantumcomputers, in combinatie met het Grover-algoritme. De verbeterde TrustSec-capaciteit op MDS 9000 wordt tot minstens 2050 als veilig beschouwd, volgens ETSI GR QSC 006 v1.1.1, toekomstige veiligheidsinspanningen.
Complete beveiligingssuite
De Cisco MDS 9000-serie biedt uitgebreide beveiligingsfuncties, zowel intrinsiek als configureerbaar. De intrinsieke functies omvatten veilige opstarttechnologie en anti-cultivatie, terwijl configureerbare opties vsans, harde bestemmingsplannen, poortbeveiliging, stofbinding, syslog secure logging, secure erase, Transport Layer Security (TLS) 1.3, Simple Network Management Protocol version 3 (SNMPV3), Secure Shell version 2 (SSHV2), onder andere. Deze functies ondersteunen bedrijfscontinuïteit en noodherstel tussen datacenters, en bieden codering op inter-switch FC- en FCIP-verbindingen (ISLS) via respectievelijk TrustSec en IPsec.
Conclusie
De Cisco MDS 9000-switch biedt ongeëvenaarde encryptie voor SAN’s, dankzij geavanceerd ASIC-ontwerp, geavanceerde hardwarearchitectuur en geavanceerde softwarebesturing. TrustSec FC Link Encryption is essentieel om de SAN-stoffen in het SAN Data Center veilig met elkaar te verbinden via FC-verbindingen. Met Cisco MDS 9000 64G-apparaten is het mogelijk om veilig uit te breiden, waardoor de beveiligingshouding wordt verbeterd ter voorbereiding op kwantumberekening zonder compromissen.
Aanvullende bronnen:
Gids voor het configureren van de beveiliging van de Cisco MDS 9000-serie
Netwerken van het Cisco-opslaggebied
Resoep netwerkproducten opnieuw
Wat is een opslagnetwerk (SAN)?
Deel:
