Какая из технологий наиболее подходит для защиты IP-сетей хранения
Если считать, что перевод сетей хранения на протокол IP логичен (а с этим сегодня согласно большинство), то наиболее подходящим кандидатом на роль средства защиты сетей хранения является технология IP Security. Правда, как отмечают представители IETF, такое решение способно вызвать раздражение у целого ряда производителей решений хранения и испуг у некоторых пользователей.
Вопросами использования IPSec в трех основанных на IP протоколах хранения (iSCSI, Fibre Channel over IP и Internet Fibre Channel Protocol) занимается в настоящее время рабочая группа Internet Engineering Steering Group (IESG), входящая в состав IETF.
«Уязвимость существующих технологий создает условия для несанкционированного доступа к информации, поэтому IESG настаивает на шифровании», — пояснил Скотт Бреднер, руководитель еще одной рабочей группы IP Storage Working Group, специализирующейся на транспортных технологиях.
К производителям, поддерживающим инициативу IESG, относятся компании Broadcom, IBM, Microsoft, Nishan Systems, Nortel Networks и Rhapsody Networks. Ими разработан проект стандарта, призванного обеспечить безопасность протоколов хранения IP, регламентирующих хранение данных блоками. Предварительный вариант этих спецификаций, представленный в органы стандартизации, предусматривает использование IPSec в каждом протоколе хранения.
«Делая ставку на протокол IPSec при решении вопросов безопасности в сетях хранения IP, мы можем упустить один очень важный момент, — подчеркнул Фил Грассо, основатель компании Sotera Networks, занимающейся разработкой технологий безопасного хранения информации в сетях IP. — Дело в том, что протокол IPSec, обеспечивающий безопасную транспортировку информации, необходим в основном для пересылки данных в сетях VPN, но он ничего не делает для защиты данных непосредственно на устройствах хранения. Для решения этой задачи нужны какие-то механизмы шифрования, например средства, реализующие алгоритмы Triple-DES или Advanced Encryption Standard».
По словам Грассо и его коллег из компании NeoScale Systems, кодирование Triple-DES представляет собой наилучший способ обезопасить систему хранения на базе IP, поскольку данные находятся в зашифрованном виде как в момент передачи, так и при записи на устройства и в подсистемы хранения. Кроме того, алгоритм Triple-DES позволяет шифровать информацию, пересылаемую через интерфейс Fibre Channel, и совместим с IPSec.
«Однако производители не спешат интегрировать средства поддержки IPSec в свои продукты, — заметил Джон Уэбстер из исследовательской компании Data Mobility Group. — Сначала они хотели бы получить гарантии того, что эта технология будет востребована. В предварительном варианте стандарта системным администраторам разрешено отключать механизм безопасности».
Учитывая разногласия, сопровождающие интеграцию протокола IPSec в устройства хранения, возможно, пользователям придется пожертвовать интероперабельностью (или, по крайней мере, точным соответствием спецификациям стандарта) ради безопасности.
Кроме того, велика вероятность роста цен. От производителей уже звучали заявления, что стоимость оборудования IPSec в три-четыре раза выше стоимости сетевого адаптера iSCSI.
Производители и пользователи опасаются также, что интеграция средств поддержки протокола IPSec в микросхемы систем хранения приведет к заметному снижению производительности.
«Мощности выпускаемых сейчас процессоров с тактовой частотой, измеряемой гигагерцами, вполне достаточно для того, чтобы обслуживать программные механизмы IPSec в сетях с пропускной способностью 100 Мбит/с, — сообщил инженер корпорации Intel по средствам сетевой безопасности Джесси Уокер, сторонник предлагаемого IETF стандарта безопасного хранения в сетях IP. — Но для создания среды, позволяющей осуществлять обмен информацией со скоростью 1 Гбит/с и выше, возможностей существующих процессоров уже не хватает».
Сопредседатель рабочей группы IETF IP Storage Дэвид Блэк указал, что степень воздействия IPSec на производительность будет зависеть от наличия в сети хранения IP свободных вычислительных ресурсов. Среди факторов, влияющих на конечный результат, следует выделить скорость передачи информации (100 Мбит/с или 1 Гбит/с), а также выбранный алгоритм шифрования (Triple-DES или AES) и аппаратную платформу (PowerPC или Pentium).
«Дать какой-то однозначный ответ здесь непросто», — подчеркнул он.
Делайте ставки
Производители не спешат интегрировать средства поддержки IPSec в свои продукты. Сначала они хотели бы получить гарантии того, что эта технология будет востребована
Alacritech
Продукт: AlacritechNetOctave 1000x1 Server and Storage Accelerator
Поддержка IPSec: Да
Поддержка других механизмов защиты: Нет
Назначение: Может быть использован как сетевой адаптер, iSCSI-адаптер или как адаптер двойного назначения
Доступность: Продается с апреля
NetOctave
Продукт: NSP4200 Security Processor
Поддержка IPSec: Да
Поддержка других механизмов защиты: Нет
Назначение: Интеграция средств поддержки протокола IPSec в микросхемы систем хранения
Доступность: Ожидается в IV кв. 2002
NeoScale Systems
Продукт: Технология Stateful storage processing
Поддержка IPSec: Нет, но обещана совместимость
Поддержка других механизмов защиты: Triple-DES
Назначение: Предназначена для шифрования данных при пересылке и непосредственно на устройствах хранения
Доступность: Устройство для интерфейса Fibre Channel, CryptoStor FC, ожидается в конце года. Поддержка протокола IP планируется в будущем
Sotera Networks
Продукт: Система хранения
Поддержка IPSec: Нет, но обещана совместимость
Поддержка других механизмов защиты: Triple-DES
Назначение: Предназначена для шифрования данных при пересылке и непосредственно на устройствах хранения
Доступность: Нет данных