Garantire data security significa affrontare una strategia globale che riguarda la protezione delle informazioni ovunque si trovino. Secondo una definizione condivisa, la superficie di attacco di un ambiente software è rappresentata dalla somma dei vettori di attacco, ossia di diversi punti nei quali un aggressore può tentare di accedere ai dati ed estrarli; minimizzare dunque il più possibile tale superficie significa mettere in atto una misura base di sicurezza. È proprio sulla base di questa consapevolezza che si fonda l’approccio Infinidat alla data security.
Crittografia, come fare per aumentare la data security
Se il CISO e il responsabile storage collaborano nella strategia di data security, molto probabilmente i dati saranno criptati nello storage layer. Nello specifico, gli array di storage possono attivare la crittografia istantaneamente senza riduzione delle prestazioni. Nonostante la maggior parte degli AFA (se non tutti) offrano una crittografia a livello di disco, essa rappresenta l’unico livello di crittografia da essi consentita. Se i dati sono criptati altrove, gli AFA non possono effettuarne la riduzione tramite la deduplica (sulla quale basano la propria competitività in termini economici) e sono responsabili di un aumento della superficie d’attacco in quanto non consentono l’attivazione della crittografia End-to-End.
Interessanti vantaggi possono derivare dalla crittografia ai livelli superiori dello stack. Prima di tutto sul fronte della distribuzione del carico di lavoro e sulle performance. Con l’eccezione dei Self Encrypting Drive (SED), la crittografia richiede un po’ di potenza della CPU. Uno stack IT ha sempre più host che array di storage; spostare quindi il task della crittografia dei dati a un livello più elevato dello stack comporta una maggiore distribuzione del carico di lavoro, riducendo quest’ultimo a livello dei singoli dispositivi e, pertanto, migliorando la performance generale.
Inoltre, più alto è il livello della crittografia nello stack, migliore è la granularità. Spostare la crittografia ai livelli più alti dello stack è, poi, un prerequisito per qualsiasi migrazione al cloud nel caso in cui i dati debbano mantenere lo stesso livello di protezione, anche sulla rete (WAN). I dati criptati possono spostarsi o entrare nel cloud in sicurezza senza necessità di ulteriori meccanismi di sicurezza (quale la gestione della crittografia a livello di cloud).
Infine, integrare i livelli OS, DB o hypervisor ha uno specifico beneficio: ci sono pochi flavor di ciascuno di essi, a fronte di molte applicazioni nell’ambiente. Da un punto di vista delle operazioni, ciò può ridurre la complessità.
Data security: il ruolo di InfiniGuard
Le indicazioni strategico organizzative di Infinidat rispetto alla data security riguardano una corretta pianificazione della protezione dei dati che preveda, tra l’altro, l’impostazione della deadline per le nuove applicazioni da progettare con la crittografia sin dal primo giorno. Nel contesto delle applicazioni esistenti in seguito a un’accurata analisi delle modalità adottate per proteggere le informazioni, viene suggerito di elaborare un piano di transizione per crittografare le app legacy che gestiscono dati riservati o sensibili.
L’intera strategia di prodotto di Infinidat ha l’obiettivo di offrire soluzioni di data storage che garantiscono il 100% di disponibilità, elevate prestazioni e il TCO – Total cost of ownership – più basso possibile su scala multi-petabyte. Nello specifico, nel portfolio Storage Enterprise di Infinidat sono inclusi Infinibox, InfiniGuard e Neutrix Cloud. In particolare, il compito della data protection è affidato a InfiniGuard che assicura velocità e affidabilità nel back up dei dati e nella capacità di restore per garantire business continuity e disaster recovery.
La soluzione è costruita usando InfiniBox come storage layer (capace di consolidare file di storage enterprise legacy in un unico sistema, eliminando lo sviluppo incontrollato di storage array e filer) al quale si aggiungono i nodi di deduplica in alta affidabilità che consentono di ottenere una ottimizzazione della capacità utilizzata. InfiniGuard consente di massimizzare la capacità effettiva per ambienti multi-petabyte ed è progettato usando un’innovativa architettura self-healing basata su componenti hardware ridondanti e supporta la crittografia automatica promettendo così una sicurezza dati completa sia a livello locale che nella replica dei dati su lunga distanza.