ディスク暗号化に対する最終にして最強の回答登場・・・か?

Posted on by S.Kaz

 物凄い旧聞ではあるが、何度もネタにしている「ディスク暗号化」について最強とも思えるソリューションがHPから登場してしまったので、今回はそのネタをば。

 ◇

 さて、世間ではデータ漏洩やサイバー攻撃に対する興味というか関心は高まってきているが、一方で個人情報保護法をはじめマイナンバー等、最近になってまたストレージ暗号化へのRequireが高まってきているんですな。

 #それでも全体からすればニッチだというツッコミは甘んじて受けるが。

 で、勿論本気エンタープライズの高~いカネをかければストレージ暗号化なんて昔っから出来たワケだが、もっとリーズナブルな選択肢は無いものか、ということで、以前ネタにしたのがSEDとかHBA暗号化。
 ところがSEDについてはSED対応ディスクの入手性と価格、HBA暗号化についてもRAIDと共存出来ない等、どちらもまぁイマイチ感が残ってしまうというか。

 そんな世界に、HPが最終兵器を突っ込んできましたよ。

 「RAID対応」「鍵管理対応」の「フツーのSATA/SASドライブが使える」「カード上のハードウェアでデータ暗号化可能なRAIDコントローラ」という代物を。

 具体的な製品名はHP SmartArray ControllerのP43x、P73x、P83x世代以降と、Host Bus AdapterのH24x。

 これらの製品はデータをまず暗号化してから処理する(ことが出来る)のが最大の特徴で、Cache上のデータも含めて暗号化されている他、米国の暗号化に関わる認証まで取っているというガチの本気仕様。
 勿論暗号化には追加ライセンスキーが必要ではあるが、これも¥(つか$)はそこまで高く無い。普通にSEDとか使うこと考えたら十分におつりが来る。

 何より、ドライブの種類を気にせずとも、全てのデータが暗号化されて書き込まれている上に、普通にRAIDでドライブ故障からのデータ保護まで出来るというのは、これはもう「最終兵器」という感じですよ。

 例えば、最近流行のSoftware Defined StorageやHyper-Converged Systemでもストレージのデータ暗号化は(処理)コストが高いため実装されていないモノが殆どだが、このRAIDカードを使うだけでこの問題も突破出来てしまう。
 この一点だけでも夢が広がりまくりですわ・・・うん。

 ◇

 とはいえ、所詮HP ProLiantのオプションパーツなので構成やサポートに制約があることや、その辺りはまぁ留意点ではある。
 うっかり自作に使おうとしたら、このテのSASカードは特にコンシューマ向けマザーではウンともスンとも言わないのは良くあることだし。

 #更に、HPのBIOS・Firmwareの初期モノはクソというオチも付く。
  後期Firmwareだと問題ないけれど初期Firmwareだとウンともスンとも言わないなんてよくあること。

 更に更にに、HPの12Gbps対応RAIDカードをうっかり自作で使用しようとしてしまった場合一つ物理的なハードルが存在する。それは

 「SASコネクタが独自」

 具体的には「x8 Mini-SAS内部ダブルワイドコネクター」というヤツで、取り敢えずケーブル番号「730603-B21」を買えば一般的なSFF-8087に変換されはするのでサーバ用のHDDケージを持っていればまぁセーフなのだが、そうでないとさて困ったことに。

 ・SFF-8087で繋がるHDDケージを買う
  →一番リーズナブルな選択肢、¥15Kも出せば買える。但し騒音は物凄いことに。

 ・SAS Expanderをケーブル中継器代わりにする
  →騒音がイヤならコレが手っ取り早いが、お値段は結構バカにならない(¥50Kぐらい)。あと、相性問題にも注意。

 ここまでは真っ当なやり方。以下、真っ当でないやり方。

 ・外付ドライブ用SASカードを買い(こちらはさすがに世界標準コネクタなので)、 SFF-8644(Mini-SAS HD) to SFF-8482(信号電源一体コネクタ)という変態ケーブルをケース外からケース内に引き込んで配線する
  →ドライブ台数が8台以下ならある意味アリっちゃアリ。ケーブルがぐるんとしていて見た目ダサいが、USB3.0の黎明期にもあったよねこういうの。

 ・SFF-8087で繋がるHDDケージを買って、バックプレーンだけ取り出してSATA延長ケーブルを挿して使う
  →ノイズという意味で物凄くお薦めしないが、こういう状態を見たことはあるという話。検証ぐらいならセーフ?

 まぁどれを選ぶかは好みの範囲ということで。

 ♯ちなみに最下位モデルのH240を買えば普通のSFF-8087ファンアウトケーブルが使えるが、このカードは要するにHBAだということに注意。Cacheも無いし、型番自体「H」だし、RAID激遅だし。

 ◇

 それと、HP製品なのでサポート契約が無いとクソFirmwareを更新する手段が無い・・・という話は、どうやらSAS HBAについては対象外の模様。
 詳しくはこの辺りを参照。

 >http://h30507.www3.hp.com/t5/Technical-Support-Services-Blog/More-information-on-HP-firmware-availability/ba-p/154861#.Vg-2pitp6_4

 要約するとこんな感じ。

 ・サポート契約無いとFirmwareを提供しないのはProLiant本体のROMだけ。iLOとかIOコントローラは対象外ね。
 ・保証期間が過ぎたらCarePack買ってくれないとFirmwareは提供しないぞ☆
 ・セキュリティ絡みとかはタダで公開するつもりから。

 ということで、ファームウェアのダウンロードは問題ない模様。
 実際、モノは試してでファームウェアのアップデータをダウンロードしてみたところ「HP Passportが必須」「サポートサイトの作りがクソで目的の場所に中々辿り着けない」という以外には問題は無かったので。

 #つーかHP分社化してから更に進んだサポートページのカオス具合はホントどうにかしてくれ。

 P.S.

 余談だがこれらのカードのチップはPMC Sieera製。つまり現行の12Gbps SASチップは本家Adaptecのカードでは有効にされていない暗号化エンジンをチップ内に持っているということ。
 それでも6Gbps世代のMaxCryptoがさくっと販売終了になっていたりする辺り、HBA単体の付帯機能としては全く売れなかったんだろうなぁ・・・と。

Share