寂しい思いをしたので、ちょっとボヤいてみる。
そもそも、Self Encryption Drvieって何じゃいという話。
一言で言うと、暗号化機能を内蔵したHDD。
入力されたデータを、暗号化してからプラッタに書き込みます。読むときは復号するのね。
で、データの暗号化に使うキーは内部に持っています。
とまぁこれだけじゃ何のメリットがあるか不明だと思いますが。
ポイントは、このHDDはパスワード(パスフレーズ)を使った認証機能を持っているんですよ。
初めて使う時にパスワードを登録して、次からはそのパスワードで認証されないと読み書きどころか一切の操作が出来ないので、HDDを勝手に持ち出してデータを盗み出す・・・なんて手法に対抗できるんですな。
勿論、通常はこのパスワード認証は対応したHBA(ホストバスアダプタ)が自動的に実施するので、ユーザは最初のパスワード登録の時以外は特にSEDの存在を意識する必要はない。
つまりソフトウェアからは完全透過なので、起動領域であっても普通に暗号化出来るし、OS依存も無く、CPU負荷とかパフォーマンス絡みの問題も発生しないワケなのです。
ちなみに一部Server用・Workstation用マザーとMobile Workstation(=高いノートPC)ではBIOSが機能を持っていたりして、その場合はオンボードSATAでSEDが使えたりします。
更に、Windows8/Server 2012からはSEDドライブの管理がWindows上で出来るようになり、BitLockerと統合されてドライブ暗号化を提供していたり・・・これも全然知られてないですけどね。
◇
とはいえ・・・通常殆どの場合で暗号化が必要なのはデータ領域だけで、それならハードウェアに依存しないソフトウェア暗号化ボリュームなんてモノがあるワケだし(その上暗号化によるCPU負荷も最近では事実上問題にならないことが多いし)、ソフトウェアから完全透過というSEDの利点が活きる場面ってのも、実際には結構限られている。
言わば超絶ニッチではあるのだが、仕組みが登場してそろそろ「こなれてきた」こともあり、今では導入コストも大騒ぎする程ではない(と思う)。そんなに特別なものと身構えずに、必要ならピンポイントで導入していけば良いと思いますよ、個人的にはね。
・・・一番の問題はSED対応HDDの入手性だったりするのだが。
♯LSI製SAS RAID HBA+暗号化ライセンスに、SeagateのSaviio(2.5)かConstellation ES(3.5)の対応モデルの組み合わせが定番ですな。
◇
で、突然こんなネタを書いたのは、今回、こういう話が聞こえてきたので。
・結構アレなデータも入る可能性があるシステムがある。
・データ領域は暗号化ボリュームを使うとして、自動マウントの為にシステム領域に暗号化ボリュームの鍵を置かざるを得ない。
・鍵がバレるのがイヤなのでシステム領域を含めて全HDDを丸ごと暗号化したい。
・でも起動領域はOSから普通のHDDとして見えるようにしたい(でないとメンテが手に負えない)。
・ドライブ故障時の回復に出来るだけ手間をかけたくない(でないとやっぱりメンテが手に負えない)。
・¥のお高い暗号化対応FCストレージとかは勘弁して。
・・・え~っと、すっごいレアケースだとは思うのだが、こういう時こそ超絶ニッチのSEDがハマるワケですよ。
ところがまぁ、SED自体の知名度がとっても低いせいで・・・以下略、と。
#つかそこまで求めるなら物理的なセキュリティ管理とか運用面での管理とか、その辺りがきっちり出来ているのが大前提な、念のため。
◇
とはいえ、こういう設計は正直あんまり「スジが良い」とは言えないですな。
問題の元凶は「システム領域に暗号化ボリュームの鍵を置かざるを得ない」ってトコなので、これさえどうにかなればニッチなSEDなんてモノを選ばなくともどうにでもなるワケで。
例えば:
・そもそも再起動=暗号化ボリュームの再マウントなんてそんなに頻度高い作業ではないので、暗号化キー(=パスフレーズ)をシステム上に持たず、再起動の都度入力する
・サーバ内部のUSBコネクタにまともなUSBフラッシュメモリ等を接続し、暗号化キーだけはそこに格納する
とか。どちらも条件付きながらそこまで悪くはないソリューションだと思うんだけど。
まぁシステムが求める要件なんてのは千差万別なので、諸事情が寄せ集まった結果こういうことになってしまうのも仕方ないこともあるのだけど、ね。
♯「まともな」USBフラッシュメモリなら通電さえしておけばデータ消滅の心配はまず無いですよ。ESXiもUSBフラッシュで供給される時代だし。
・・・安物だといつ吹っ飛んでも知らんけど。
