皆様こんにちは。ピュア・ストレージ・ジャパンの堀口です。今回は、データ暗号化に伴うストレージ効率の課題を解決するソリューションをご紹介します。なお、本ブログは、技術部門副社長 ヴォーン・スチュワート(Vaughn Stewart)による記事を参考に、私堀口が日本語化および加筆、再構成したものです。
サンフランシスコで開催された RSA Conference 2019 において、ピュア・ストレージとタレス社は、IT およびセキュリティ業界初のデータ削減を効率的に実現するエンドツーエンドのデータ暗号化フレームワークとして、Vormetric Transparent Encryption for Efficient Storage(ストレージ効率化のための透過的暗号化)を発表しました。
ホストデータの暗号化とストレージデータの削減は、簡単に組み合わせることが困難な水と油の関係でした。この新しいソリューションは、タレス社によるきめ細かなセキュリティアクセス制御とピュア・ストレージのデータ削減技術により、暗号化とストレージデータ削減の両立を可能にしました。
昨今、機密情報として取り扱われるデータとセキュリティへの配慮は、強化の一途をたどるプライバシー規制により増大する一方です。IDC による調査・分析結果をまとめた 2019 Thales Data Threat Report – Global Edition によると、60 %の組織がこれまでに少なくとも 1 回のデータ侵害を受けており、30 %の組織が過去 12 か月以内にデータ侵害を経験しています。
組織がセキュリティを適用するデータを一部の範囲のみに制限する主な理由は、コストと複雑性です。タレス社は、ピュア・ストレージがオペレーションの簡素化とデータ削減の領域で業界のリーダーとして認知されていること、また、かつて共同でキー管理統合を実施した経験から、Vormetric Transparent Encryption(VTE)と統合したデータ削減機能を提供する最初のパートナーとしてピュア・ストレージを選択しました。
暗号化データのストレージコスト
コンプライアンスおよびビジネス要件を満たすためにデータの暗号化が必要となる場合がありますが、通常ではデータの暗号化を行うことによってストレージのコストが増大します。HDD や SSD などの永続メディアへデータを暗号化して保存することにより、盗難や不適切な取り外し等の物理的なアクセスが行われた場合にもデータの漏洩を防止する「Data at Rest Encryption」(保存データ暗号化:以下、 D@RE)があります。ストレージレイヤーのデータ暗号化を D@RE で実施する場合においても、ソフトウェアまたは自己暗号化ドライブ(SED)を介し、ほとんどのストレージプラットフォームで追加費用が必要となります。
しかし、ピュア・ストレージの FlashArray は違います。FlashArray は D@RE を標準実装しており、追加費用なしでご利用いただけます。
D@RE は、複数の物理メディアで構成されるエンタープライズストレージよりも、ノートパソコンなどの情報端末のストレージに適していると思われるかもしれません。しかし、年々 SSD の高密度化が進み、エンタープライズストレージも高密度化され、少数の物理メディアで大容量を構成することが可能になりました。重要なデータが保管されるエンタープライズストレージにおいて、 1 本ごとの物理メディアのコンテンツを保護する重要性はより増大しています。
最新の FlashArray//X シリーズでは、6 RU で 3 PB という大容量を格納することができ、全てのデータは暗号化されて保存されます。
しかし、厳密なセキュリティガイドラインを持つ組織では、アプリケーションやエンドユーザーから書き込まれるデータを暗号化し、ホストやサーバーを侵害する不正アクセスから保護する必要があることから、D@RE では満たせない要件があると私共は認識しています。
ホストからのデータを暗号化することは、暗号化がアプリケーションおよびユーザーには認識されないため、透過的暗号化(TDE: Transparent Data Encryption)と呼ばれます。透過的暗号化を実施した場合には、圧縮や重複排除といったデータ削減機能の効果が得られず、暗号化されていないデータを保管する場合と比較してストレージ容量の要件が増大し、5 倍程度必要になるケースもあります。
VTE では透過的暗号化をさらに進化させ、きめ細かいアクセス制御、特権ユーザーアクセスポリシー、詳細な監査ログにより、セキュリティを強化しています。FlashArrayとVTE を統合した構成により、データ削減効果とセキュリティ強化の両方を実現します。
VTE と FlashArray を統合した構成でのデータ削減効果について、次のセクションで詳しく説明します。
エンドツーエンドでデータ削減可能なデータ暗号化
図 3 は、Enron Email Dataset* を使用して行ったテストの結果です。透明性のために、どなたでもご自身の環境でテストを再現できるよう、公表されているデータセットを利用しています。
*米エンロン社の電子メール 5.3 GB 分(150 万通超)からなる、公開されているデータセット。
データを次の条件で保管し、データ削減効果を記録しました。
- Non-Encrypted(データを暗号化せずに保管する)— データ削減効果 4.8 倍、ストレージ容量 79.1 %削減
- Encrypted(VTE との統合を無効化した環境でデータを暗号化し、保管する)— データ削減効果なし
- Encrypted with VTE(VTE との統合を有効化した環境でデータを暗号化し、保管する)— データ削減効果 4.8 倍(暗号化なしのデータ保管と同等の削減効果)
このテスト結果が示すように、タレス社とピュア・ストレージは、これまで困難とされていたデータ暗号化とデータ削減の両立を可能にしました。データをエンドツーエンドで暗号化し、セキュリティおよびコンプライアンス要件を満たしながらデータを削減して、ストレージのコストを低減させます。
効率的なストレージのための透過的暗号化の技術概要
図 4 は、VTE と FlashArray を統合したソリューションの概要です。
① Vormetric File System エージェントを Linux ホストへインストール
② ホストにインストールされたエージェントにより、Vormetric Data Security Manager(DSM)から暗号化キーを確認
③ FlashArray は DSM に KMIP クライアントとして登録し、ホスト暗号化キーを確認
④ ホストから FlashArray に暗号化されたデータを書き込み
⑤ FlashArray は、ホストキーを使用してデータを復号化しデータを縮小して、Flash に書き込む前に FlashArray キーで再暗号化
※ホストキーを使用したデータの復号化は、本統合により導入された追加のステップです。
⑥ ホストがデータを読み取ると、FlashArray は FlashArray キーを使用してデータを復号化し、データをホストに送信する前にホストキーで再暗号化
※データの再暗号化は、本統合により導入された追加のステップです。
上記①〜⑥の処理により、ホストと FlashArray 間の通信経路上もデータが暗号化され、ストレージの保管データも暗号化されます。さらに、VTE によるホストのアクセス制御および特権ユーザーアクセスポリシー、監査ログにより、強固なセキュリティレベルのシステムの構成が可能となります。
まとめ
今回は、Purity の次期バージョン(Puirty 5.3)に実装が予定されている VTE と FlashArray の統合ソリューションをご紹介しました。本ソリューションのリリース時には、実検証の結果もご紹介したいと考えております。
今後ともピュア・ストレージをよろしくお願いいたします。