2019年7月15日に最新版であるV10 PSP9がリリースされました!!
今回も使える機能追加が非常に豊富なので順番に紹介していきます。
そこでまずは今回紹介するのは暗号化です。
昨今のGDPR対応、情報漏えい対策としてストレージでも対策として暗号化を求める声が高まっていることにこたえての実装です。
使用しているAPIはCryptography API: Next Generationです。
下図のようなシチュエーションで内容を保護することができます。
- 例えばバックエンド(物理)ストレージがiSCSI接続のときにIPアドレスやIQNを詐称したり、ストレージ側の設定を勝手に変更して別のデータコアサーバーでバックエンドストレージをマウントしようとした時
- バックエンドストレージを丸ごと盗まれた時、譲渡、売却、リースアップ返却時に他のデータコアサーバーに接続して中身を盗み見ようとした時
左の暗号化されていないvDiskはデータコアサーバー2でディスクプールをインポートして、該当vDiskを任意のホストにサーブ(提供)してマウントすると読み書きできてしまいます。
一方、右の暗号化されたvDiskであれば例え物理ディスクを丸ごと盗まれてしまっても、vDiskをマウントしようとしてもエラーが発生してうまくできません。下記の図だとデータコアサーバー2は鍵がないため復号することができないので中身にアクセスすることができません。
まずやり方を見てみましょう。暗号化の設定はvDiskを作成するタイミングで[Enrypted]にチェックを入れるだけです!簡単ですね。
※作成済み、使用中のvDiskをあとから暗号化vDiskに変更することはできません。
では実際に暗号化vDiskが含まれるディスクプールを他のデータコアサーバーでインポートしようとするとどうなるか試しみます。インポート時にこんな警告画面が出ます。
それでも構わずインポートし、暗号化されたvDiskをサーブ(提供)して、ホストでマウントしようとするとこのようなエラーが出て中を参照することができません。
ちゃんと内容が保護されていることが分かりますね。
注意点はデータコアサーバーがクラッシュして再インストールが発生した時です。何も対策をしていないと誰もディスクの内容を読み出せなくなってしまいます。そうなる前に鍵をバックアップしておく必要があります。
やり方はここに書いてあるとおり、パワーシェルでエクスポートできます。構築が終わった時点でコンフィグファイルと一緒に外部に安全なところに保管しておきましょう。
0 件のコメント:
コメントを投稿