Ciao a tutti, dopo un po' di lurking mi sono da poco (finalmente!) iscritto alla ML.
Lavoro come consulente in una grande Telco (segreto di Pulcinella), attualmente non mi occupo più al 100% di sicurezza ma resta pur sempre una passione. Vi scrivo perchè mi trovo a valutare una soluzione di disk encription su ambienti enterprise. Le applicazioni in oggetto sono fra loro relativamente autonome e basate su server HP-UX; lo storage è prevalentemente HP di nuova generazione. I FS (anche quelli condivisi in cluster) sono Veritas (VxFS) o ServiceGuard. Gli ambienti sono in cluster misti A/A e A/P (a due o a quattro nodi) estremamente critici dal punto di vista prestazionale e come disponibilità. Il requisito è quello avere alcuni FS sullo storage esterno cifrati, in modo trasparente agli applicativi e con una gestione il più semplice possibile, anche nell'ottica di replicare gli stessi FS in remoto sui siti di Disaster Recovery (per ora non ci sono altri indispensabili dettagli). Chiaramente il tutto ad impatto minimo, insomma, la solita botte piena con moglie avvinazzata :-). Il fornitore ci ha proposto, inizialmente, una scelta tra: - Cifratura SW: Feature EVFS del sistema operativo, è uno pseudo-driver che di fatto fa autenticazione e cifratura tra le chiamate di sistema e il LVM. E' una soluzione incompatibile con i CFS Veritas, e questo è molto penalizzante; gestione piuttosto complessa. - Cifratura HW: utilizzo di appliance NetApp DataFort, fisicamente in mezzo tra server e SAN; gestione meno complessa. Preferiremmo "a naso" la soluzione HW, anche per non dare impatto prestazionale alle macchine (al massimo si può tollerare la latenza aggiuntiva introdotta, comunque da quantificare e testare), ma vorrei sapere se qualcuno ha già avuto esperienza sul tema. Però non conosciamo NetApp, per stiamo cerchando anche degli equivalenti di mercato che ci siano più conosciuti. L'accesso allo storage non è uguale per tutti i sistemi, ci sono sia DB Oracle RAC che sistemi che lavorano in cache con accesso allo storage discontinuo. Ogni nodo (o cluster) lavorerebbe su 2-3 TB di FS cifrati. Come avrete immaginato non si tratta di cifrare i dati di un PC casalingo, parliamo di ambienti critici che lavorano H24 e il cui eventuale disservizio è quantificato in centinaia di K€ al secondo. Per il momento è tutto, ma mi sembra abbastanza :-) Ciao Alessio
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
