Test: Decru Datafort E510
Sichere Datenhaltung
Die Verschlüsselungs-Appliance Datafort von Decru ist eine Security-Lösung für Speichernetze jeder Couleur - FC, NAS und iSCSI. Das Gerät speichert die Daten in verschlüsselter Form und stellt sicher, dass nur berechtigte Personen darauf zugreifen dürfen.
Mit "Datafort" hat das amerikanische Startup-Unternehmen Decru eine Security-Appliance
entwickelt, die Daten verschlüsselt, bevor sie auf Storage-Systemen gespeichert werden. Das Produkt
ist zudem in der Lage, für die zu sichernden Verzeichnisse die vorhandenen ACLs (Access Control
Lists) durch eigene zu ersetzen. Dadurch müssen sich Anwender direkt gegenüber der Appliance
authentifizieren.
Decru hat Lösungen für Fibre-Channel- und für Ethernet-NAS-Umgebungen entwickelt. Von der
FC-Version Datafort FC520 gibt es auch eine Variante, mit der sich die verschlüsselten Daten für
die Sicherung auf Bandlaufwerke komprimieren lassen. LANline testete das NAS-Produkt Datafort E510,
das die Dateisysteme NFS (Unix, Linux) und CIFS (Windows) unterstützt.
Für Server und Storage-Systeme ist die Datafort-Appliance völlig transparent. Die Lösung kommt
ohne Agentensoftware auf den beteiligten Systemen aus.
Full-Proxy-Server für WWNs
Jede Datafort-Box verfügt über einen In- und einen Out-Port, der das Gerät mit dem Ethernet-
oder FC-Switch verbindet. Die Ethernet-Variante für NAS-Umgebungen sitzt direkt im Datenpfad,
sodass auch die nicht verschlüsselten Daten die Box passieren müssen. Beim Fibre-Channel-Modell
dagegen laufen nur diejenigen Datenströme durch die Appliance, die auch verschlüsselt werden. Dies
ist möglich, weil Datafort als Full-Proxy-Server für WWNs (World Wide Names) agieren kann und
dadurch in der Lage ist, WWNs beliebig zu modifizieren.
Zentrale Verwaltung der Schlüssel
Um den Aufwand für die Verwaltung der Schlüssel möglichst gering zu halten, bietet Decru ein
einheitliches Schlüsselmanagement für alle Speichernetztopologien an. Die "Lifetime Key Management"
genannte Software verwendet einen Mysql-Server und verwaltet die Schlüssel von allen
Datafort-Systemen in einem Unternehmen. Die Keys werden dabei verschlüsselt gespeichert.
Im Inneren der Appliance besteht die eine Hälfte aus einem Intel-Server auf Linux-Basis für die
Verwaltung des Systems. Er kommt ohne Festplatten aus, da Linux im Non-volatile RAM (NVRAM) läuft.
In der anderen Hälfte der Box sind die Asics für die Verschlüsselung untergebracht. Decru hat ein
eigenes Entwicklungsteam, das die programmierbaren Asics herstellt und bei Bedarf deren Funktionen
anpassen kann. Für die Verschlüsselung der Daten setzt Decru die 256-Bit-AES-Verschlüsselung ein
(Advanced Encryption Standard). Die Datafort-Appliance ist darüber hinaus in der Lage, auch die
Datenzugriffe kontrollieren, indem sie die vorhandenen durch eigene ACLs ersetzt. Dies erhöht die
Datensicherheit, da nur noch diejenigen Anwender Zugriff auf ein Verzeichnis erhalten, die zuvor
von der Datafort-Box explizit autorisiert wurden.
Um verschlüsselte Daten zu einem späteren Zeitpunkt zu löschen, genügt es, die zugehörigen Keys
zu löschen. Damit kann diese Daten niemand mehr lesen. In FC-SANs erzeugt Datafort pro LUN einen
Key, in NAS-Umgebungen einen pro verschlüsseltem Verzeichnis, bei der Tape-Sicherung entweder pro
Laufwerk oder pro Band einen Schlüssel.
Installation und Konfiguration
Für den LANline-Test stellte Decru zwei Datafort-Appliances vom Typ E510 zur Verfügung, die in
einer NAS-Umgebung mit Filern von Network Appliance als Cluster mit Failover-Funktion aufgesetzt
wurden. Der Listenpreis für diese Konfiguration liegt inklusive LKM-Lizenz bei 110.000 Euro. Pro
Cluster lassen sich bis zu 32 Datafort-Systeme zusammenschalten. Sie kommunizieren dabei über ein
dediziertes Ethernet-Management-Netz miteinander. Das Load Balancing erfolgt bislang lediglich
statisch, indem der Administrator die einzelnen Server unterschiedlichen Datafort-Systemen zuweisen
kann.
Als Test-Clients kamen Windows-Server zum Einsatz, die Mitglied einer Windows-Domäne waren. Aus
Gründen der Ausfallsicherheit ist der Einsatz von mindestens zwei Boxen zu empfehlen. Über eine
Bypass-Funktion, die beim Ausfall der Verschlüsselungs-Appliance die In-/Out-Ports direkt
durchschalten würde, verfügt Datafort bislang nicht.
Um unbefugte Zugriffe auf das Gerät selbst und auf die LKM-Datenbank mit den Schlüsseln zu
verhindern, verwendet Decru ein ausgeklügeltes Sicherheitssystem mit mehreren Smart-Cards. Zu
Beginn der Installation muss die Box deshalb zunächst die Schlüssel für diese Karten erzeugen.
Datafort überträgt die neuen Keys sowie die zugehörigen Metadaten, zum Beispiel zu welchem
Verzeichnis oder welcher LUN ein Key gehöhrt, automatisch an die LKM-Datenbank. Der Zugriff auf den
LKM-Server und auf die Appliance ist nur mit diesen Smart-Cards möglich. Ein Unternehmen kann dabei
zwischen verschiedenen Sicherheitsstufen wählen. Die Minimalanforderung sind zwei Karten und zwei
Personen, maximal sind insgesamt fünf Karten möglich.
Administration per Browser-GUI oder CLI
Die Verwaltung der Systeme erfolgt wahlweise über ein Browser-GUI (HTTPS) oder per Kommandozeile
mithilfe eines Web-CLI. Nachdem die Appliance mit dem Netzwerk verbunden war, erfolgte das
eigentliche Setup, bei dem unter anderem die Windows-Domäne, die Fileserver und Client-Rechner
sowie die Storage-Systeme ausgewählt wurden. Datafort liest dabei automatisch alle vorhandenen
Shares ein, sodass der Administrator die zu verschlüsselnden Verzeichnisse schnell auswählen
kann.
Für die Steuerung der Zugriffe stehen mehrere Möglichkeiten zur Verfügung. Bei der einfachsten,
aber auch am wenigsten sicheren Methode verwendet die Appliance die Berechtigungen von Windows-
oder Unix-Benutzern und -Gruppen (AD, LDAP, NIS). Eine deutlich höhere Sicherheit bietet die
Datafort-Authentifizierung, da hierbei die Box die vorhandenen ACLs durch eigene ersetzt. Der
Zugriff auf Daten ist damit erst nach einer Authentifizierung durch die Appliance möglich.
Allerdings ist der Verwaltungsaufwand höher, da jeder Anwender bei der ersten Anmeldung in der
Datafort-Box mit Name und Passwort registriert werden muss.
Flexible Gefahrenabwehr
Wie das System auf unberechtigte Zugriffe reagiert, legt der Administrator über die so genannten
Defense-Settings fest. Bei der niedrigsten Alarmstufe wird lediglich der Administrator
benachrichtigt. In der höchsten Stufe löscht die Box alle Daten, indem sie diese mit Nullen
überschreibt. Die Daten lassen sich dann nur mithilfe des Backups und der definierten Anzahl von
Admin-Smart-Cards wieder herstellen.
Um auch in FC-SANs eine bessere Zugriffskontrolle zu ermöglichen, bietet Decru als Zusatzmodul
die Decru Client Services (DCS) an, mit denen sich anhand einer White List nur bestimmte Prozesse
Zugriff erhalten. Damit lässt sich die Box so konfigurieren, dass sie für eine verschlüsselte LUN
zum Beispiel den Backup-Prozess selber zulässt, aber die Backup-User vom Zugriff ausschließt.
Verschlüsselung in Leitungsgeschwindigkeit
Um die Verschlüsselungsfunktionen und die Leistungsfähigkeit der Appliance zu testen, wurde ein
DFS-Szenario mit einem Einstiegs-Share eingerichtet. Alle hierunter liegenden Dateien sollten
verschlüsselt werden. Damit die Verschlüsselung für die Clients transparent bleibt, virtualisiert
Datafort deren IP-Adressen. Dadurch "bemerken" sie gar nicht, dass die Daten über die Appliance
laufen. Zudem ist die Box auf diese Weise in der Lage, die User-Authentifizierung anhand eigener
ACLs durchzuführen. Der Administrator kann in verschlüsselten Verzeichnissen nach wie vor
Dateinamen, Berechtigungen und Metadaten wie Erstellungs- und Änderungsdatum einsehen und
verändern. Die Dateiinhalte kann er jedoch nicht mehr lesen. Wenn gewünscht, verschlüsselt Datafort
auch die Dateinamen.
Die Appliance erzielt bei der Verschlüsselung laut Hersteller Datendurchsätze von knapp 100
MByte/s, was der Leitungsgeschwindigkeit von Gigabit Ethernet entspricht. Die während der Tests
durchgeführten Verschlüsselungsjobs brachten die Appliance zu keinem Zeitpunkt an ihre
Leistungsgrenze. Die durch die Box verursachte zusätzliche Latenz liegt bei unter 100
Mikrosekunden. Die NAS-Version von Datafort kann auch Snapshots, NDMP und die Snap-Mirror-Technik
von Network Appliance nutzen. IPSec-Support ist ebenfalls vorhanden, um die Daten auf dem Weg
zwischen Client und Appliance zu verschlüsseln. In FC-Netzen erreicht Datafort nach Angaben des
Herstellers Durchsatzraten zwischen 160 und 180 MByte/s, für die Latenz werden 40 bis 80
Mikrosekunden genannt.
Fazit
Für Unternehmen, die sensible Datenbereiche gezielt schützen wollen, sind die Datafort-Systeme
von Decru eine sehr interessante Lösung. Mit ihr lassen sich die zu schützenden Datenbereiche fein
abgestuft auf Verzeichnis- oder LUN-Ebene verschlüsseln.
Info: Decru Tel.: 089/17319401 Web: www.decru.com
Lesen Sie mehr zum Thema
