Fangen wir bei den Grundlagen an: Verschlüsselung wird definiert als ein Prozess, der Daten so kodiert oder verschlüsselt, dass ausschließlich autorisierte Personen Zugriff auf diese haben. Zu den Unternehmen, die zum Schutz sensibler Daten eine Verschlüsselung benötigen, gehören Bundes-, Landes- und Kommunalverwaltungen, das Gesundheitswesen, die Finanzbranche und jede Branche mit strengen Compliance-Anforderungen, wie z. B. DSGVO. Der Gedanke hinter einer Verschlüsselung ist daher ganz einfach erklärt: Selbst, wenn jemand eine Festplatte entwendet, kann er nicht auf die Daten zugreifen – da ausschließlich der Eigentümer den Schlüssel für die Entschlüsselung der Daten hat.
DataCore hat SANsymphony mit einer Verschlüsselungsfunktion (Encryption) ausgestattet, die eine zusätzliche Sicherheitsebene bietet. Das Einschalten dieser Funktion ist mit geringen Kosten verbunden (1 bis 3 Prozent CPU ohne Auswirkung auf den RAM). Es sind auch keine Konfigurationsänderungen erforderlich, die vom Endbenutzer – manuell oder anderweitig – vorgenommen werden müssen.
Wie funktioniert die Verschlüsselung in SANsymphony?
Wir setzen auf die kryptografische Next Generation API von Microsoft, die den AES‑XTS‑Algorithmus mit 256‑Bit‑Verschlüsselung nutzt (zur Einordnung: Die US‑Regierung nutzt 128‑Bit‑Verschlüsselung für „Secret“‑ und 256‑Bit für „Top Secret“‑Informationen). Windows Server 2016 und höher unterstützen den Kernel‑Mode für die Microsoft CNG Library – eine Voraussetzung, um die neue Funktion nutzen zu können.
Data@Rest Encryption ist flexibel
Anwender können neue virtuelle Festplatten („vDisks“) erstellen, auf denen gespeicherte Daten verschlüsselt werden. Die Verschlüsselung ist nur für gespeicherte Daten – beispielsweise auf dem Speichermedium, verfügbar, nicht jedoch für Daten während der Übertragung. Für die Anwendungshosts ist der Verschlüsselungsprozess komplett transparent. Das heißt, dass sie den Speicherplatz weiterhin ohne Beeinträchtigung nutzen können. Ein weiterer Vorteil für die Kunden: Sie können „gemischte” Pools aus verschlüsselten und unverschlüsselten Festplatten verwenden. Die Verschlüsselung selbst ist ganz einfach: Bei vDisks müssen die Nutzer lediglich die Verschlüsselungsfunktion aktivieren, während sie eine solche erstellen (siehe Screenshot). Die Funktion macht vor allem dann Sinn, wenn die Anwender keine Festplatten mit einer Selbstverschlüsselung haben und die Daten auf der Disk schützen müssen.
Wurde eine verschlüsselte vDisk erstellt, kann sie nicht mehr in eine unverschlüsselte umgewandelt werden – und andersherum. Wie bereits erwähnt, lässt sich jedoch ein „Hybrid-Pool“ einrichten, in dem Sie einen Mix aus verschlüsselten und unverschlüsselten vDisks erstellen können. Die software‑basierte Verschlüsselung funktioniert mit allen Speichermedien. Dafür greift sie auf den lokalen Windows Keystore zu, um die kryptografischen Schlüssel zu erstellen und zu speichern. Die Verschlüsselung selbst findet auf der untersten Ebene des von SANsymphony verwalteten Thin‑Provisioning‑Pools statt.
Wem das Konzept noch immer fremd ist, dem hilft vielleicht der folgende Vergleich: Selbstverschlüsselte Pools ähneln im Grunde selbstverschlüsselnden Festplatten, mit denen einige vielleicht schon vertraut sind. Sie sind eine bewährte Methode, um verschlüsselte Daten genauso zu speichern, wie Sie es mit Ihren unverschlüsselten Daten auch tun.
Fazit
Verschlüsselung ist ein wertvolles Feature für Kunden und Unternehmen, die ihre eigenen Daten oder die ihrer Kunden schützen wollen. Sie schlagen damit zwei Fliegen mit einer Klappe: Sie schaffen einen Value‑Added‑Service und erfüllen gleichzeitig Regierungs‑ oder Branchenvorgaben.
Wenn Sie weitere Informationen zum Thema Verschlüsselung suchen, besuchen Sie unsere Encryption‑Seite. Um mehr über SANsymphony, der Speicherplattform der nächsten Generation, zu erfahren, klicken Sie hier.
