alunablue - stock.adobe.com
Schutz für HPC-Daten: Panasas mit Thales CipherTrust Manager
Daten auf HPC-Systemen enthalten oft sensible Information, die besonderen Schutz benötigen. Panasas und Thales haben eine Lösung dafür entwickelt, die wir hier erklären.
Beim High Performance Computing (HPC) werden große Datenmengen erzeugt, die oft sensible Informationen darstellen, beispielsweise Forschungsergebnisse, medizinische Analysen oder behördliche und militärische Daten.
Das stellt Backups und Data Protection für diese Daten oft vor große Herausforderungen. Die Speichersysteme müssen leistungsstark, hoch kapazitiv und skalierbar sein. Darüber hinaus dürfen Anwendungen für die Datensicherung und Data Protection die Performance nicht beeinflussen. Eine gute Verzahnung beziehungsweise Integration von Hardware, Software und dem Betriebssystem ist essenziell.
Eine der wichtigsten Funktionen für die Sicherung und Absicherung sensibler Daten ist die Verschlüsselung. Allerdings erfordert das im HPC-Bereich spezifische Voraussetzungen: Das System muss performant genug sein, um die Verschlüsselung der Daten optimal umzusetzen – je nachdem, wo die Verschlüsselung stattfindet, zum Beispiel in der CPU. Je mehr Daten entstehen und verschlüsselt werden müssen, so müssen sowohl die Hardware als auch die Software des Systems skalierbar sein. Ein weiteres Problem bei wachsenden Datensätzen ist die steigende Anzahl der Verschlüsselungsschlüsseln, Schlüsselspeichern und Zugriffsrichtlinien, die linear zur Datenmenge wächst. Dies bedeutet einen erheblichen Verwaltungsaufwand für die Verschlüsselung und die damit verbundenen Schlüssel-Lebenszyklen.
Um Anwendern im HPC-Umfeld Sicherheit und erfolgreiche Backups gewährleisten zu können, haben verschiedene Storage-Anbieter Allianzen mit entsprechenden Unternehmen geschlossen. So auch die Firma Panasas, die eine Lösung mit Security-Spezialist Thales entwickelt hat.
ActiveStor mit CipherTrust Manager
Um besseren Schutz auf der Verschlüsselungsebene zu bieten, haben Panasas und Thales eine integrierte Lösung für HPC-Umgebungen entwickelt. Hierbei handelt es sich um eine Kombination der Speicherlösung ActiveStor und dem Schlüssselmanagement-Tools CipherTrust Manager.
ActiveStor verfügt mit PanFS über ein paralleles Scale-Out-Dateisystem und soll hohe Bandbreite, flexible Skalierbarkeit sowie beschleunigten Datendurchsatz für datenintensive Anwendungen bieten. Durch die Trennung von Storage- und Metadaten-Nodes sowie dem sich an ändernde Dateigröße anpassenden Datenbeschleuniger können gemischte Workloads laut Hersteller besser bedient werden. IT-Administratoren können bis zu Petabytes an Speicher verwalten. Das System umfasst bereits Datenverschlüsselung von Daten im Ruhezustand (Data at Rest), die keine Leistungseinbußen verursacht.
Allerdings wird es immer wichtiger ein ebenso leistungsfähiges Tool für die Verwaltung der Schlüssel über ihren Lebenszyklus hinweg zu haben, insbesondere bei großen Datenmengen, die eine ebenso große Anzahl an Schlüsseln mit sich bringt. Damit hier optimaler Zugriffsschutz gewährleistet werden kann, wurde die Thales-Lösung integriert.
Die CipherTrust-Schlüsselmanagement-Plattform soll robuste Verschlüsselungssicherheit und umfangreiche Verwaltungsfunktionen bieten, um Compliance-Anforderungen zu erfüllen und Best-Practice-Sicherheit zu gewährleisten. Die selbstverschlüsselnden PanFS-Laufwerke speichern ihre Schlüssel extern in CipherTrust Manager, wo sie während ihres gesamten Lebenszyklus verwaltet werden. Die Zentralisierung der Schlüsselspeicherung und -verwaltung verbessert laut Anbieter die Sicherheit, da Überwachung, Rotation und Löschung vereinfacht werden. Durch richtlinien- und rollenbasierte Zugriffskontrollfunktionen können Unternehmen Aufgaben trennen, so dass kein einzelner Administrator sowohl für Daten als auch für die Schlüssel zur Sicherung dieser Daten verantwortlich ist. Durch die Vereinheitlichung und Zentralisierung der Richtlinienverwaltung, Protokollierung und Prüfung sind die Informationen außerdem leichter zugänglich, wenn es darum geht, die Einhaltung gesetzlicher Vorschriften nachzuweisen.
Zentralisierte Verwaltung von Verschlüsselungsschlüsseln
Wenn Unternehmen nicht aufpassen, kann die Verwendung von Verschlüsselungslösungen schnell zu einer Ansammlung von Sicherheitssilos führen. CipherTrust Manager konsolidiert Panasas Verschlüsselungsschlüssel in einer Verwaltungsplattform, auf der Unternehmen sie verwalten und zwar mit Schlüsseln aus einer Vielzahl von Verschlüsselungslösungen, darunter: das Thales Data Security Portfolio, selbstverschlüsselnde Laufwerke, Bandarchive, Storage Area Networks, Cloud Service Provided-Verschlüsselung und eine ständig wachsende Liste von Anbietern, die den OASIS Key Management Interoperability Protocol (KMIP)-Standard unterstützen.
Protokollierung, Prüfung und Berichterstattung zur Einhaltung von Vorschriften
CipherTrust Manager zeichnet detaillierte Schlüssel- und Zugriffsinformationen in zentralisierten Protokollen auf, um die Prüfung und das Reporting über den Zugriff auf Daten und Verschlüsselungsschlüssel zu vereinfachen. Die Nachverfolgung dieser Informationen von einem zentralen Ort aus soll eine erhöhte Sicherheit für die Daten offerieren und die Möglichkeit, die Einhaltung von Vorschriften wie PCI DSS, HIPAA und DSGVO nachzuweisen.
CipherTrust Manager ist mit einem FIPS 140-2 Level 3 konformen Hardware-Sicherheitsmodul (HSM) erhältlich. HSMs bieten sowohl logische als auch physische Sicherheit für Verschlüsselungsschlüssel, um sicherzustellen, dass sie vor einer Vielzahl von Angriffsvektoren geschützt sind.
Panasas PanFS auf ActiveStor
PanFS ist eine integrierte mobile Speicherplattform, die ein verteiltes und geclustertes paralleles Dateisystem, einen Volume-Manager und softwarebasierte Data Protection mit Erasure Coding kombiniert. Es läuft auf vernetzten Commodity-Servern und nutzt parallelen und redundanten Zugriff auf Datenspeicherknoten. PanFS ist eine autonome Daten-Engine, die vernetzte Server in ein einziges Dateisystem orchestriert. Datenintegrität wird durch Scrubbing und Verschlüsselung gewährleistet.
Das parallele Dateisystem PanFS besteht aus drei grundlegenden Komponenten: Speicherknoten (Storage Nodes), Metadaten-Direktorknoten (Director oder Meta Data Node) und dem DirectFlow-Treiber auf Client-Systemen. Bei den Director- und Storage-Knoten handelt es sich um handelsübliche Server mit Hochgeschwindigkeits-Netzverbindungen, auf denen die PanFS-Software läuft. Die Arbeitslasten des Dateisystems werden zwischen Director-Knoten, die Metadaten verarbeiten, und Storage-Knoten, die Daten verarbeiten, aufgeteilt.
DirectFlow-Clients arbeiten mit Director-Nodes und Storage-Nodes zusammen, um ein vollständig POSIX-konformes und Cache-kohärentes Dateisystemverhalten von einem einzigen Namensraum aus für alle Server im Compute-Cluster bereitzustellen. Für jede Datei, auf die eine Anwendung zugreift, liest und schreibt der DirectFlow-Client direkt und parallel auf allen Speicherknoten, die die Daten dieser Datei enthalten.
Die Director Nodes sind zugleich Gateways um Datenzugriff über NFS und SMB zu ermöglichen. Dadurch können Clients wie Laptops und Workstations auf denselben Namespace und dieselben Daten zugreifen. Die Skalierung von Storage-Leistung und Kapazität erfolgt über das Hinzufügen von Speicherknoten. Wird mehr Performance bei der Verarbeitung der Metadaten benötigt, so lässt sich dies durch zusätzliche Director-Nodes ausgleichen.
PanFS verwendet softwarebasiertes, über das Netzwerk verteiltes Erasure Coding, um einzelne Dateien separat zu schützen, im Gegensatz zu herkömmlichen RAID-Gruppen, die nur Schutz auf Laufwerksebene bieten. Dadurch werden die vielfältigen Risiken, Kosten und Leistungseinbußen herkömmlicher RAID-Architekturen eliminiert.
Für die Sicherheit und den Schutz vor unbefugten Datenzugriffen unterstützt das System Zugriffskontrolllisten (ACL), SELinux-Sicherheitslabels und hardwarebasierte Verschlüsselung von Daten im Ruhestand (Data at Rest). ActiveStor ist ein Scale-up-System, das Funktionen wie Snapshots, Re-Portierung oder Benutzerquoten bietet.
Thales CypherTrust Manager
Der CipherTrust Manager ist ein zentrales Verwaltungs-Tool für kryptografische Schlüssel – entweder für Thales-Produkte oder für die von Drittanwendern. Die Schlüssel werden dabei während ihres gesamten Lebenszyklus gemanagt: von der Schlüsselerstellung, über Backup/Wiederherstellung und Clustering, bis hin zur Deaktivierung und Löschung. Die Lösung umfasst rollenbasierte Zugriffskontrolle auf Schlüssel und Richtlinien, Mandantenfähigkeit sowie zuverlässige Überprüfung und Meldung aller Schlüsselverwaltungs- und Verschlüsselungsoperationen. Über so genannte Data Protection Connectors in der Verwaltungskonsole lassen sich Daten erkennen und klassifizieren und dort schützen, wo sie aufbewahrt sind.
Der CipherTrust Manager ist sowohl virtuell als auch als physisches Gerät erhältlich und speichert Master-Schlüssel mit einem starken Vertrauensanker sicher mithilfe von gemäß FIPS 140-2 validierten Thales Luna oder anderer Hardware-Sicherheitsmodule (HSMs). Die entsprechenden Anwendungen können sowohl am lokalen Standort als auch in Private oder Public Cloud-Infrastrukturen bereitgestellt werden. Darüber hinaus steht ein Self-Service-Portal für die Lizenzierung und Überblick über alle verwendeten Lizenzen zur Verfügung. Bereitstellungsoptionen über Cloud-Anbieter umfassen unter anderem AWS, Azure, Google Cloud, VMWare und Oracle Cloud Infrastructure.
Zentrale Funktionalitäten sind
- Vollständiges Key-Lifecycle-Management und automatisierte Abläufe
- Zentrale Verwaltung und Zugriffssteuerung
- Datenerkennung und -klassifizierung
- Self-Service-Portal für Lizenzierungen
- Secrets Management: (Erstellung und Verwaltung versteckter und undurchsichtiger Objekte)
- Mandantenfähigkeit
- Support für REST-APIs (zum Beispiel KMIP, NAE-XML)
- Flexibles HA-Clustering und Intelligent Key Sharing
- Prüfung und Berichterstattung (Tracking der Statusänderungen bei Schlüsseln, Änderungen des Administratorzugriffs und der Richtlinien in mehreren Protokollformaten)
- Hochgeschwindigkeitsschnittstellen mit NIC Bonding (2x1GB/2x10GB- Netzwerkkarten optional)
Der CipherTrust Manager steht mit zwei Modellen als physisches System zur Verfügung. Die virtuelle Lösung ist ebenso in zwei Versionen erhältlich. Dabei ist eine der virtuellen Appliance für kleinere Umgebungen konzipiert und unterstützt nur maximal 25.000 Schlüssel, wohingegen die drei anderen Angebote bis zu einer Million an Schlüsseln verwalten können.