ז
אב יהלום, CTI ISRAEL
עלייתם של הדיסקים עם ההצפנה העצמית
(SED – Self Encrypting Drives)
עם עליית הניידות של כוח העבודה המודרני, פרצות אבטחה בשל אובדן או גניבה של מכשירים ניידים הפכו לבלתי נמנעות, ויקרות לטיפול. בנוסף, בכל יום עוזבים כ-50,000 כוננים קשיחים מרכזי נתונים ברחבי העולם כאשר 90% מהם מכילים נתונים שלא טופלו כלל, ואף הם מהווים סיכון לפרצות אבטחה. הכמויות והעלויות הנלוות של פרצות אבטחה אלו דוחפות את החיפוש אחר פתרונות אפקטיבים לטיפול בבעיה. דיסקים בעלי הצפנת נתונים עצמית מהווים פתרון הצובר פופולריות ויחסית פשוט ליישום.
מחקר שנערך בשנת 2011 צפה כי בשנת 2017 כל הכוננים הקשיחים (HDD) יהיו בעלי הצפנה עצמית, המחקר גם צפה כי כל כונני ה- (Solid State Drive) יהיו בעלי הצפנה עצמית עוד קודם לכן בשנת 2014.
יחד עם זאת, התקנת כונני SED לכשעצמה אינה מבטיחה שמירה על הנתונים. למרות שכונני ה-SED מתוצרת חברת SEAGATE מתוכננים להצפין את הנתונים הנמצאים על הכונן יש עדיין להגן על הנתונים גם על ידי שימוש בסיסמאות או אמצעי אבטחה אחרים.
יישום הפתרון של
כונני SED
כאשר מיישמים פתרון SED הלקוחות יכולים לבחור כמה דרגות של הגנה, בין אם היישום הוא על מחשב בודד או במרכז נתונים ארגוני. רמת האבטחה נקבעת על ידי הפתרון המיושם.
כונני ה-SED של חברת SEAGATE מגיעים עם האפשרות לתמיכה בשלוש רמות אבטחה, הראשונה ISE-
Instant Secure Erase, המאפשרת מחיקה קריפטוגרפית של כל הנתונים על ידי שינוי מפתח ההצפנה של הנתונים והפיכתם לבלתי מובנים. על ידי שימוש בתכונה זאת ניתן ביתר קלות לבצע שימוש חוזר בכוננים ו/או להוציאם מאירגון לצרכי שרות וכד’.
שימוש בפונקצית ה-ISE טוב לשימוש בסוף מחזור החיים של הכונן. אולם, במהלך חיי הכונן נוטים משתמשים רבים לאמץ פתרונות צד שלישי לצורך ניהול מערכי כונני SED.
על מנת להשיג רמת הגנה גבוהה יותר לנתונים יש להשמש בכלים בעלי תאימות ל- (Trusted Computing Group) המתאימים ללקוח הקצה ולדרישות האבטחה שלו בין אם למחשב בודד או למרכז נתונים אירגוני. ברמה הגבוהה ביותר של היישום וכאשר משתמשים בדיסקים Seagate FIPS validated SED ניתן לנטר כל שינוי שנעשה בכונן. FIPS – Federal Information Processing Standards הם התקנים המומלצים ביותר להגנה על ידי ה-NSA ויתר גופי הממשל האמריקאי.
מדוע יש לנהל את כונני
ה-SED
כאמור התקנת כונני SED לכשעצמה אינה פותרת את בעיות האבטחה אלא מהווה פלטפורמה להתקנה של אמצעי ניהול והצפנת הנתונים. התקנת כונני SED ללא יישום של אמצעי ניהול אבטחה משולה להתקנת כספת והשארתה פתוחה, וכל אחד יוכל לגשת לנתונים כאילו היו מותקנים על כונן רגיל.
ניהול הגנה על מחשבים ניידים עם כונני SED
כאמור האופציות להגנה בין של מחשב נייד, לבין למרכז נתונים אירגוני שונות ומגוונות. אולם, כל סוגי ההגנות צריכות לגשר על התקשורת בין מערכת ההפעלה לבין הכונן הקשיח. עבור מחשבים ניידים, הדרך החדישה ביותר לניהול כונני SED היא על ידי שימוש בתכונות המסופקות על ידי Windows 8 וטכנולוגית ה-eDrive. הפלטפורמה של Win 8 מספקת תמיכה ב-SED כחלק ממערכת ההפעלה. על ידי שימוש
ב-Windows 8 Pro עם Bit Locker מוצפנת הסיסמא של המשתמש ב-Windows לצורך הגנת המערכת. ארגונים המבקשים להגן על נכסי הארגון, ויחידים המבקשים הגנה טובה יותר יכולים להשתמש בפתרון זה בקלות. בנוסף, בשל הצפנת הסיסמא, הופכת המערכת לבלתי נגישה להתקפות חיצוניות.
קיימים פתרונות נוספים לניהול כונני SED על ידי ספקי פתרונות אחרים כגון חברת Opal שבחרה בפתרון של ניהול מפתח האימות המשמש לנעילת ופתיחת כונן
ה-SED. ספקי פתרונות אחרים מספקים גם תכונות של זיהוי משתמש, גיבוי ושחזור.
על ידי שימוש בכונני SED ותוכנות ניהול להפעלת וניהול ההצפנה, יכול המשתמש להבטיח שכל הנתונים מוצפנים עד שתינתן הרשות להשתמש בהם. אימות הזהות יכול להיות על ידי שימוש בטביעת אצבע, כרטיס חכם או כל אמצעי זיהוי אחר.
ניהול הגנה על כונני SED באירגונים
בארגונים העושים שימוש בכונני SED קיימת דרישה למספר רמות של הגנה לצרכים שונים:
שימוש מחדש בכונן, או הוצאת כונן משרות. על ידי שימוש בפונקצית Instant Secure erase
הגנה על כוננים במצב מנוחה, על ידי כלים בעלי תאימות (Trusted Computing Group)
הגנה על כוננים וזיהוי שינוי נתונים, על ידי כלים בעל תאימות TCG וכוננים בעלי תקן FIPS
השימוש בפונקצית ה-ISE ברור, מידי יום מוצאים משרות כ-50,000 כוננים במרכזי נתונים ברחבי העולם. הכוננים כוללים מידע רב הניתן לשימוש ומהווה פרצת אבטחה. פונקצית ה-Seagate ISE מאפשרת מחיקת נתונים מהירה ובטוחה מכוננים לפני הוצאתם ממרכז הנתונים או מהארגון. יש לציין כי למיצוי היכולות המשלבות בין מחיקת נתונים מהירה והשמשת כוננים, לבין הגנה מגניבת נתונים בארגון, יש לעשות שימוש בבקר תומך (HBA/RAID Controller) שיותקן ברמת ה System לצורך ניהול ה-SED.
לבקרי ה-RAID תפקיד חשוב בניהול מפתחות כונני ה-SED בתוך מרכז הנתונים הארגוני. על ידי שימוש בפונקצית
ה-Auto-Lock המתאפשר על ידי שילוב הבקר והתוכנת הניהול, ננעלים הכוננים מיד עם התקנתם על ידי מפתח זיהוי. בכך מושגת המטרה שבה כל הנתונים על הכונן מוגנים כל הזמן, מאחר וכאשר הכונן מכובה או נשלף ממקומו תדרש סיסמא לצורך גישה לנתונים. פונקצית
ה-Auto-Lock מגינה כנגד איומי גניבה הן חיצוניים והן פנימיים של כונן בודד או מערכת.
סיכום
הסכנות שבאובדן נתונים וגניבתם, הפכו זה מכבר לידועות לאירגונים מכל הגדלים והסוגים. כונני ה-Seagate SED מציעים את דרגת ההגנה הגבוהה ביותר תוך שמירה על ביצועי המערכת ויעילותה. למרות שכונני ה-SED מהווים נדבך חשוב על ידי הצפנת הנתונים, הם לבדם לא מספקים את כל נדבכי ההגנה הנדרשים. לצורך כך, ניהול עצמי של כונני ה-SED יאפשר מיצוי מלא של חיי הכונן תוך שמירה רציפה על נתונים מוצפנים והמנעות מהוצאות כבדות הנגרמות בשל אובדן נתונים.
זאב יהלום הינו מנכ”ל CTI ISRAEL מפיצת מוצרי Seagate Technology בארצות הברית וישראל.
