À medida que os regulamentos de segurança apertam e os avanços da computação quântica, as organizações estão priorizando a segurança cibernética, tornando a criptografia cada vez mais essencial. A família de dispositivos de rede de armazenamento da Cisco MDS 9000 oferece soluções de criptografia de ponta, especificamente através da criptografia de hyperlink do Cisco TrustSec Fiber Channel, garantindo a transmissão de dados seguros nas redes de canal de fibra (FC).
Ameaças e regulamentos de segurança exigem posturas de segurança mais fortes
Os dados estão entre os ativos mais importantes para qualquer corporação, portanto, proteger os dados do acesso e uso indevido não autorizados é uma preocupação importante. Com o surgimento do trabalho híbrido, a adoção de serviços em nuvem e o uso malicioso de ferramentas baseadas em IA, as cibermeaturas se tornaram mais avançadas e impactantes. Ao mesmo tempo, novos regulamentos de privacidade e segurança estão exigindo que as organizações obtenham uma postura de segurança melhor e mais abrangente. Como resultado, a segurança cibernética é a principal prioridade entre as implantações de IA, de acordo com o Índice de prontidão Cisco 2024 AIe a criptografia de dados agora está em alta demanda de empresas de todos os tamanhos e indústrias.
Com a FC sendo o protocolo de escolha para acessar os conjuntos de dados corporativos críticos de negócios, uma faceta importante de uma postura de segurança é validar a identidade de interruptores adjacentes e criptografar dados enquanto estiver em trânsito em uma rede de área de armazenamento (SAN). Esses recursos são oferecidos nos dispositivos de rede de rede de armazenamento da Cisco MDS 9000 usando a criptografia Cisco TrustSec FC Hyperlink. Com o código NX-OS recente, um novo Cypher foi introduzido para suportar os cálculos de força bruta que podem superar os padrões atuais de criptografia com computação quântica, apresentando uma configuração direta. Disponível sob vantagem e camadas de licença Premier, esse recurso suporta switches de diretor, interruptores de configuração fixos e interruptores multiprotocol, beneficiando ambientes de mainframe e de sistema aberto.
Autenticação é um pré -requisito para a criptografia
Os comutadores da série Cisco MDS 9000 implementam o protocolo de segurança do Fiber Channel (padrão FC-SP-2, ANSI Incits 496-2012), permitindo a autenticação de mudança de mudança e host-toch para enfrentar os desafios de segurança nos tecidos corporativos. O Diffie-Hellman Problem Handshake Authentication Protocol (DHCHAP) é um protocolo FC-SP que fornece autenticação entre os comutadores da série Cisco MDS 9000 e outros dispositivos. O DHCHAP combina o protocolo CHAP com a troca Diffie-Hellman (DH), garantindo que apenas dispositivos confiáveis possam ingressar em um tecido, impedindo assim o acesso não autorizado.
O DHCHAP é um protocolo de autenticação de troca de chaves segura baseado em senha, que suporta autenticação de mudança para switch-to-switch e host-switch. Esse configuração Requer definir senhas de troca native e de pares, com os algoritmos de hash de negociação do DHCHAP e grupos DH. Com o NX-OS 9.4 (3), a autenticação baseada em algoritmo SHA-1 é padrão, configurada no nível físico da interface FC.
Cisco TrustSec Fiber Channel Hyperlink Criptografia
O padrão de criptografia avançado (AES) é um algoritmo de cifra de bloco de alta segurança e tecla simétrica adotada globalmente desde 2002. Ele suporta vários aplicativos, incluindo criptografia de disco, sistemas VPN e programas de mensagens. Sua rede de prêmio de substituição envolve operações sofisticadas de bits, com execução com eficiência de {hardware}.
A criptografia de hyperlink Cisco TrustSec FC estende o Protocolo de Segurança do Fibre Channel (FCSP), garantindo a integridade e a confidencialidade da transação usando o DHCHAP para autenticação por pares. A configuração de criptografia envolve a definição de associações de segurança em interfaces, definindo uma chave e usando um sal para melhorar a segurança, diferenciando padrões de texto criptografados.
A criptografia de hyperlink Cisco TrustSec FC permite AES-GCM (padrão, criptografia e autenticação) ou AES-GMAC (somente autenticação). Os principais comprimentos suportados são 128 bits para dispositivos 32G e de 128 bits e 256 bits para dispositivos 64G, oferecendo flexibilidade e escolha. Se executado no software program, o AES-128 é marginalmente mais rápido e precisa de menos recursos do sistema, enquanto o AES-256 fornece maior resiliência contra ataques de força bruta e eleva a solução para se tornar resistente ao quantum. Os comutadores do Cisco MDS 9000 alavancam a implementação AES assistida por {hardware} avançada, para que o AES-128 e o AES-256 sejam executados com o mesmo nível perfect de desempenho.
Desempenho e taxa de transferência líder do setor
O módulo de comutação Cisco 64G FC fornece altos recursos de criptografia, suportando oito portas a 64 g de velocidades cada, alcançando 512g de rendimento criptografado agregado por módulo. Esse desempenho líder do setor resulta do design ASIC avançado, manipulando a criptografia sem penalidade de desempenho. A arquitetura de armazenamento e encaminhamento garante latência inalterada entre configurações criptografadas e não criptografadas, tornando os comutadores SAN 9000 MDS 9000 exclusivos para manter a eficiência com o mais alto nível de segurança. Os interruptores de configuração e multisserviço corrigidos aproveitam os mesmos recursos, mas o número de portas criptografadas depende do modelo de comutação. Por exemplo, no Cisco MDS 9124V, existem quatro portas que podem ser criptografadas, no Cisco MDS 9148V, existem oito e, no Cisco MDS 9396V, existem 16.
Independência do porto e disponibilidade de serviços
Nas implantações do mundo actual, a independência do porto é essential para manter a conectividade durante as interrupções. Os interruptores da Cisco MDS 9000 Collection se destacam nisso, com uma arquitetura ASIC otimizada e separação de caminho de quadros, não garantindo nenhum impacto em outras portas criptografadas durante eventos como porta errdisable ou cabo/pull sfp. Esse recurso aprimora significativamente a disponibilidade de serviços.
Interruptores de tecido como Cisco MDS 9124V, 9148V e 9396V suportam várias portas criptografadas sem reduzir o número complete de portas utilizáveis, diferentemente dos produtos concorrentes. Esse recurso garante alocação de recursos consistente, independentemente do standing de criptografia.
Suporte à distância e compatibilidade com Analytics SAN
A ativação da criptografia nos dispositivos da série MDS 9000 não afeta distâncias suportadas, preservando créditos de buffer e permitindo operações inalteradas de longa distância. Os usuários podem manter os mesmos recursos de distância com criptografia, eliminando as restrições de design durante o planejamento da segurança.
A Cisco San Analytics oferece uma visibilidade de tráfego profunda e é a referência da indústria. Pode ser totalmente aplicável ao tráfego criptografado, mantendo garantia e insights sem comprometer a visibilidade. A arquitetura avançada da série Cisco MDS 9000 garante que sempre seja possível inspecionar cabeçalhos, para que a análise da SAN possa ser aplicada ao tráfego criptografado que entra no interruptor ou a deixa.
Comprimento da chave, rekeying e quântica resistência
O AES-GCM suporta chaves de 128 e 256 bits. A seleção de chaves nos dispositivos 64G oferece flexibilidade, com a reformulação periódica handbook disponível como uma medida de segurança adicional. O AES-256 é favorecido para resistência quântica e proteção contra as ameaças emergentes colocadas por computadores quânticos, em conjunto com Algoritmo de Grover. A capacidade aprimorada do TrustSec no MDS 9000 é considerada segura pelo menos até 2050, de acordo com o ETSI GR QSC 006 V1.1.1, os esforços de segurança à prova de futuro.
Suíte de segurança abrangente
A Cisco MDS 9000 Collection oferece extensos recursos de segurança, tanto intrínsecos quanto configuráveis. Os recursos intrínsecos incluem a tecnologia segura de inicialização e anti-concorrência, enquanto as opções configuráveis abrangem VSANs, zoneamento rígido, segurança portuária, encadernação de tecidos, registro de syslog seguro, apagamento seguro, segurança da camada de transporte (TLS) 1.3, Easy Gerenciamento de rede Versão 3 (SNMPV3), shell segura versão 2 (SSHV2), entre outros. Esses recursos suportam a continuidade dos negócios e a recuperação de desastres entre os knowledge facilities, oferecendo criptografia nos hyperlinks inter-switch FC e FC sobre IP (FCIP) (ISLs) através da tecnologia TrustSec e IPsec, respectivamente (Figura 1).
Conclusão
Os comutadores Cisco MDS 9000 fornecem criptografia incomparável para SANS, distinguida pelo design ASIC avançado, arquitetura de {hardware} superior e controle sofisticado de software program. A criptografia de hyperlink FSC FC é important para interconectar com segurança os tecidos de SAN entre os knowledge facilities usando hyperlinks FC. Com os dispositivos Cisco MDS 9000 64G, você pode se estender sem segurança, aprimorando a postura de segurança em preparação para a computação quântica sem compromisso.
Recursos adicionais:
Guia de configuração de segurança da série Cisco MDS 9000
Rede de área de armazenamento da Cisco
Produtos de rede de armazenamento
O que é uma rede de área de armazenamento (SAN)?
Compartilhar: