Learn Storage Networking #3
วันนี้ขอคั่นรายการ Learn Storage Networking ไว้ก่อนด้วยเรื่องนี้ครับ พอดีเห็นว่าเป็นประเด็นน่าสนใจและเกี่ยวข้องกับ Storage Networking ของเราด้วยเลยเอามาให้ดูก่อนครับ

คือผมเข้าไปตอบคำถามในเวป pantip ห้องเทคโนโลยีแล้วเจอคำถามนี้ครับ

ตัดเอาเฉพาะที่ผมตอบมาแปะไว้ที่นี่ครับ




สอบถามการเข้ารหัสสำหรับฮาร์ดดิส

คือว่าดิฉันอยากทำให้เครื่องคอมมีความปลอดภัย ถึงแม้ว่าดิฉันจะเข้ารหัสแอคเค้าการใช้งาน แต่ถ้าหากมีคนเอาเครื่องไปแล้วพ่วงฮาร์ดดิส หรือไม่ก็ใช้ hiren ในการเคลียร์พาสเวิดก็ทำให้ข้อมูลในฮาร์ดดิสหลุดออกไปได้ เนื่องจากข้อมูลในนั้นเป็นรายชื่อลูกค้าของบริษัท จึงมีความสำคัญอย่างมาก

อยาก ทราบว่ามีวิธีใดบ้างที่ทำได้คะ

จากคุณ : หนูแพต




ถ้าง่ายๆก็ zip แล้วเข้ารหัสไว้ก็ได้ครับ เวลาจะใช้ก็ค่อย unzip ออกมาแล้วก็ใส่รหัส
ถ้าไฟล์เป็น Excel เราก็ใส่รหัสผ่านให้มันได้ครับแต่ไฟล์อาจจะไม่ได้ encrypt

ถ้าจะให้ ง่ายและดี ก็ต้องทั้งสองอย่างคือต้ังรหัสผ่านใน Excel แล้วค่อยใช้ Winzip zip ติดรหัสอีกทีนึง มันโอเคนะครับ เพราะมันเข้ารหัสทั้งไฟล์ด้วย AES encryption 128-256 bit เลยทีเดียว

ถ้าอยากให้ยากกว่านั้นก็ไปลองหา โปรแกรมอื่นๆมาเข้ารหัสแทนครับ อาจจะเลือกได้ว่าให้เข้ารหัสเป็นเฉพาะราย folder ก็ได้ครับ

จากคุณ : Karz


อ่านกระทู้เต็มๆได้ที่นี่ครับ
//www.pantip.com/tech/comsci/topic/CT2908126/CT2908126.html



เรื่องนี้เห็นว่าเป็นประเด็นที่น่าสนใจดีและเป็น trend ของ storage networking ด้วยครับเลยขอหยิบมาอธิบายเพิ่มครับ

ในกระทู้ผมไม่ได้อธิบายถึงการเข้ารหัส disk ทั้งก้อนครับ แล้วก็ยังไม่ได้ search ดูว่ามีโปรแกรมอะไรทำแบบนี้รึเปล่า เพราะจริงๆการเข้ารหัส disk ทั้งก้อนนั้นจะมีปัญหาติดอยู่ที่ส่วนของ Bootstrap ครับเพราะถ้าเข้ารหัสไปแล้วเครื่องจะไม่สามารถ boot ขึ้นมาได้

Network Storage ของ IBM นั้นมีเทคโนโลยีในการเข้ารหัส disk ทั้งก้อนครับ แต่ถ้านำมาทำ boot disk เข้าใจว่าจะเว้นบริเวณ Bootstrap เอาไว้เพื่อให้ boot ขึ้นมาได้ แต่นั่นหมายความว่าไม่ได้เป็นการเข้ารหัส disk ทั้งก้อน

ในการใช้งาน network storage ปกตินั้น ไม่จำเป็นเสมอไปที่ต้องเอาไปใช้ทำ boot disk ครับ การเอาไปทำ boot disk แบบนี้เรียกว่า Boot from SAN ซึ่งส่วนมากจะเป็นการเอาไป implement บน Blade server แล้วปล่อย boot disk กับ data disk มาจาก SAN แต่เมื่อเทียบเปอร์เซ็นต์ implementation แบบนี้กับการใช้ disk ใน SAN ธรรมดาก็เรียกได้ว่าเปอร์เซ็นต์ต่างกันมากครับ หมายถึงการทำ Boot from SAN นั้นพบน้อยเมื่อเทียบเปอร์เซ็นต์แบบนี้ ดังนั้นการเข้ารหัส disk ทั้งก้อนจะหมายถึงการเข้ารหัสเฉพาะ data disk ครับ

Network storage จากบริษัทอื่นที่ผมทราบมาว่ามีการเข้ารหัส disk ได้ทั้งก้อนคือ NetApp ครับ แต่ว่าการเข้ารหัสนี้ไม่สามารถทำได้ที่ตัว storage เอง แต่ต้องใช้ encryption/decryption device มาต่อคั่นระหว่าง server กับ storage เอาไว้ก่อนครับ server ก็ยังมี request ไปหา storage เป็นปกติและไม่มีการเข้ารหัสถอดรหัสแต่อย่างใด คนที่ทำหน้าที่เข้า/ถอดรหัสนี้เป็นของอุปกรณ์พิเศษตัวนั้นแหล่ะครับ เค้าเรียกมันว่า DataFort ครับ

ข้อดีของการทำ Full Disk Encryption ที่ IBM นำมาใช้คือการทำได้เองจากตัว storage ครับ แต่นั่นหมายความว่าทำได้เฉพาะกับ storage เครื่องนั้น ส่วนวิธีการของ NetApp คือการนำไปเข้ารหัสของ SAN ทั้ง island ที่มันต่อผ่านอยู่ นั่นหมายความว่า ถ้า island นั้น (ตอนนี้คำว่า island ไม่ค่อยได้เห็นใช้กันแล้วครับ เพราะแม้ island ที่แยกออกมาเล็กๆก็ยังถือว่าเป็น fabric) มี storage ต่ออยู่มากกว่าหนึ่งตัว มันก็จะถูกเข้ารหัสทุกตัว รวมไปถึงหากว่ามี Tape ต่ออยู่ด้วย ตัวข้อมูลในเทปก็จะถูกเข้ารหัสด้วยเหมือนกันครับ ส่วนข้อเสียก็คือต้องซื้อ box แยกต่างหากนั่นแหล่ะ ^^'

นอกจากนี้ เนื่องจากอย่างที่บอกแล้วว่ามันเป็นประเด็นของทางด้านความปลอดภัยของ Storage Networking พูดง่ายๆก็คือมันเป็นความเสี่ยงของอุปกรณ์ที่อยู่ใน SAN นั่นแหล่ะครับ Brocade ก็เลยพัฒนา SAN switch ที่สามารถเข้ารหัส data ที่วิ่งอยู่ใน fabric ของมันได้

แล้วก็มีปัญหาเกิดขึ้นครับ เรื่อง speed ล่ะว่างัย? เราก็รู้กันอยู่ว่าหาก CPU (ไม่่ว่าจะเป็นฝั่งของ server หรือฝั่งของ storage เอง ถ้าเอาไปใช้ทำอย่างอื่น (เช่น encryption/decryption) มันจะทำให้เกิด performance impact คำตอบของเรื่องนี้ก็คือเรื่องวิธีการ address ปัญหานี้ของ vendor แต่ละรายนั่นแหล่ะครับ เช่นอาจจะไปออกแบบในส่วนของ encrypt/decrypt application ให้ sensitive กับ interrupt call ของ CPU เพื่อไป utilize เอา CPU time มาใช้ในการ encrypt/decrypt ครับ vendor เหล่านี้ถึงได้มีการทำ Prove of Concept เพื่อให้ลูกค้าได้ดูได้วัดถึง performance impact เหล่านั้น ซึ่งจริงๆมันก็แทบจะเป็นไปไม่ได้ว่าจะไม่มี performance impact เลยครับ แต่เรื่องนี้มันอยู่ใน security risk ที่ enterprise จะรับได้หรือรับไม่ได้ ถ้ารับได้ จะรับได้ที่จุดไหนมากกว่า

อีกนิดกับ FDE (Full Disk Encryption) นะครับเพราะไหนๆก็เป็นเกร็ดความรู้ จากคำถามที่เกริ่นไว้ว่าเป็นเรื่องของการเข้ารหัส hard disk (ซึ่งทำให้เราเข้าใจว่าเป็นการเข้ารหัสทั้งก้อน) (ทั้งๆที่เจ้าของคำถามอาจจะต้องการ protect แค่ไฟล์บางไฟล์ที่เก็บรายชื่อลูกค้า การเข้ารหัส Disk ทั้งก้อนนั้นก็มีสองแบบครับ เป็นแบบ hardware based กับ file system level ซึ่ง hardware based นั้นจะเป็นการใช้ key เดียวในการเข้ารหัสซึ่งการเข้ารหัสแบบ hardware level นี้จะเข้ารหัส filesystem metadata ด้วยครับเช่น directory structure ในขณะที่ Filesystem based นั้นสามารถใช้ key ในการเข้ารหัสได้หลาย key ทำให้สามารถเข้ารหัส hard disk โดยแยกเป็นส่วนๆได้ครับ ประโยชน์ก็คือถ้า hacker เจาะได้แค่คีย์เดียวก็จะได้ข้อมูลไปแค่ส่วนเดียวเท่านั้นครับ

ส่วนเรื่อง DAS, NAS, SAN ของเรายกไปไว้คราวหน้า (อีกแล้ว) นะครับ ^^'

Have a good time krub.







Create Date : 12 มิถุนายน 2553
Last Update : 13 มิถุนายน 2553 5:07:02 น.
Counter : 1717 Pageviews.

0 comments
ชื่อ :
Comment :
 *ใช้ code html ตกแต่งข้อความได้เฉพาะสมาชิก
 

Karz
Location :
กรุงเทพฯ  Thailand

[ดู Profile ทั้งหมด]
ให้ทิปเจ้าของ Blog [?]
 ฝากข้อความหลังไมค์
 Rss Feed
 Smember
 ผู้ติดตามบล็อก : 126 คน [?]





สงวนลิขสิทธิ์
มิถุนายน 2553

 
 
1
2
3
4
5
7
8
9
11
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
 
12 มิถุนายน 2553