ソフトウェアもSEDも駄目だと言われたら、HBA暗号化しか残ってないので。

 今回は前回ネタの続きみたいなもの。
 前記事で「ソフトウェアに依存せず起動ドライブも使えるSED」というネタを取り上げたが、今回は「他にないのか」という意味で。

 ・・・あるにはあるんですよ。そういう需要が極めて限定的ながらもゼロではないので。
 HDDに書き込む時に暗号化して、読み出す時に復号する、そんなハードウェアが。

 メリットは安価で入手も容易なSED非対応のHDDを使えること。
 何しろSED対応ドライブの入手性はあまり宜しくないので、本気で運用するなら、故障対応の為に手元に大量のストックを抱えることも考えなくてはいけなくなったりするし。これは辛い。
 一方SED非対応で良ければ(エンタープライズ品でも)代理店や商社だけでなくアキバの濃いめの店舗にも在庫があったりするので、手元の予備ドライブは最低限持っていれば後はどうにかなる。

 但しこの便利さのトレードオフとして、完全に各メーカの独自実装になってしまうんですわ。
 ということで、余程のことでもない限り「考慮外」にされてしまいそうなのだが。
 その余程のことが起こったら、ということで。

 まず、ネタというレベルで済まされる代物なら探せば結構あったりする。
 台湾や中国のOEM/ODMの会社のサイトなんかを見ると、商品として掲載されていたり。
 セキュリティ専業の会社のラインナップの中に入っていたり。
 その他にも、出所不明だが取り敢えず動く代物とか。
 ところが最低でも「真面目な使用」に耐えうる品質を「特別なことはせず」入手しようとなると、なかなか厳しい。

 ◇

 で、Adaptecはそこに目を付けたようで、MaxCryptoなるモノを作ってきたのであり。
 これ、HBA上のハードウェアキーを暗号化キーとして、HDDへの読み書きをリアルタイムで暗号化/復号する機能です。
 暗号化関連部分が完全にハードウェア上にあるので、ソフトウェアからは完全透過でHDD上のデータが暗号化されるということですな。勿論OSブートも可能。

 但し現状、このMaxCryptoというハードウェア暗号化が実装されているのがRAID機能を持たないHBAだけなので、SEDを使用した時のように「暗号化ディスクを使いRAIDする」ということが出来ないという何ともハンパな状況なのであり。
 それでも良いならば、まともな品質のハードウェア暗号化HBAが比較的低価格で手に入る、実質的に唯一と言って良い選択肢です、はい。

 ちなみにこれ、個人的には結構面白いモノだと思っていますが、実際に何かしようと考えるとRAIDカードでないのというのが厳しくて。
 まぁ商品の企画意図として、上位レイヤで冗長性は担保するからHBAだけあれば良い、って用途を想定しているのは分かるんですが。要するにストレージシステムやアプライアンスなんかへの組込用途がメインターゲットなんでしょう。

 とはいえ、ディスク丸ごと暗号化が低価格で出来るようになると、色々便利なことが多いんですよ。
 ちょっとセキュアで大きなデータを扱う現場なんかでは、問答無用で全HDDが暗号化されていたら運用面なんかでもだいぶラクになれることが多いし。

 ・・・ということで、12G SAS対応でRAIDカードも8シリーズが出るだろうから、その時はRAIDカードにもMaxCrypto対応入れて下さいな>Adaptec。

Share

Self Encription Driveの知名度が低過ぎて。

 寂しい思いをしたので、ちょっとボヤいてみる。

 そもそも、Self Encryption Drvieって何じゃいという話。
 一言で言うと、暗号化機能を内蔵したHDD。
 入力されたデータを、暗号化してからプラッタに書き込みます。読むときは復号するのね。
 で、データの暗号化に使うキーは内部に持っています。

 とまぁこれだけじゃ何のメリットがあるか不明だと思いますが。
 ポイントは、このHDDはパスワード(パスフレーズ)を使った認証機能を持っているんですよ。
 初めて使う時にパスワードを登録して、次からはそのパスワードで認証されないと読み書きどころか一切の操作が出来ないので、HDDを勝手に持ち出してデータを盗み出す・・・なんて手法に対抗できるんですな。

 勿論、通常はこのパスワード認証は対応したHBA(ホストバスアダプタ)が自動的に実施するので、ユーザは最初のパスワード登録の時以外は特にSEDの存在を意識する必要はない。
 つまりソフトウェアからは完全透過なので、起動領域であっても普通に暗号化出来るし、OS依存も無く、CPU負荷とかパフォーマンス絡みの問題も発生しないワケなのです。

 ちなみに一部Server用・Workstation用マザーとMobile Workstation(=高いノートPC)ではBIOSが機能を持っていたりして、その場合はオンボードSATAでSEDが使えたりします。
 更に、Windows8/Server 2012からはSEDドライブの管理がWindows上で出来るようになり、BitLockerと統合されてドライブ暗号化を提供していたり・・・これも全然知られてないですけどね。

 ◇

 とはいえ・・・通常殆どの場合で暗号化が必要なのはデータ領域だけで、それならハードウェアに依存しないソフトウェア暗号化ボリュームなんてモノがあるワケだし(その上暗号化によるCPU負荷も最近では事実上問題にならないことが多いし)、ソフトウェアから完全透過というSEDの利点が活きる場面ってのも、実際には結構限られている。

 言わば超絶ニッチではあるのだが、仕組みが登場してそろそろ「こなれてきた」こともあり、今では導入コストも大騒ぎする程ではない(と思う)。そんなに特別なものと身構えずに、必要ならピンポイントで導入していけば良いと思いますよ、個人的にはね。
 ・・・一番の問題はSED対応HDDの入手性だったりするのだが。

 ♯LSI製SAS RAID HBA+暗号化ライセンスに、SeagateのSaviio(2.5)かConstellation ES(3.5)の対応モデルの組み合わせが定番ですな。

 ◇

 で、突然こんなネタを書いたのは、今回、こういう話が聞こえてきたので。

 ・結構アレなデータも入る可能性があるシステムがある。
 ・データ領域は暗号化ボリュームを使うとして、自動マウントの為にシステム領域に暗号化ボリュームの鍵を置かざるを得ない。
 ・鍵がバレるのがイヤなのでシステム領域を含めて全HDDを丸ごと暗号化したい。
 ・でも起動領域はOSから普通のHDDとして見えるようにしたい(でないとメンテが手に負えない)。
 ・ドライブ故障時の回復に出来るだけ手間をかけたくない(でないとやっぱりメンテが手に負えない)。
 ・¥のお高い暗号化対応FCストレージとかは勘弁して。

 ・・・え~っと、すっごいレアケースだとは思うのだが、こういう時こそ超絶ニッチのSEDがハマるワケですよ。
 ところがまぁ、SED自体の知名度がとっても低いせいで・・・以下略、と。

 #つかそこまで求めるなら物理的なセキュリティ管理とか運用面での管理とか、その辺りがきっちり出来ているのが大前提な、念のため。

 ◇

 とはいえ、こういう設計は正直あんまり「スジが良い」とは言えないですな。
 問題の元凶は「システム領域に暗号化ボリュームの鍵を置かざるを得ない」ってトコなので、これさえどうにかなればニッチなSEDなんてモノを選ばなくともどうにでもなるワケで。

 例えば:
 ・そもそも再起動=暗号化ボリュームの再マウントなんてそんなに頻度高い作業ではないので、暗号化キー(=パスフレーズ)をシステム上に持たず、再起動の都度入力する
 ・サーバ内部のUSBコネクタにまともなUSBフラッシュメモリ等を接続し、暗号化キーだけはそこに格納する

 とか。どちらも条件付きながらそこまで悪くはないソリューションだと思うんだけど。
 まぁシステムが求める要件なんてのは千差万別なので、諸事情が寄せ集まった結果こういうことになってしまうのも仕方ないこともあるのだけど、ね。

 ♯「まともな」USBフラッシュメモリなら通電さえしておけばデータ消滅の心配はまず無いですよ。ESXiもUSBフラッシュで供給される時代だし。
  ・・・安物だといつ吹っ飛んでも知らんけど。

Share

「デスクトップHDD」を今買うなら。

 ・・・訊かれたので、書いてみる。
 こういうのは購入者が何を重視するかとかでいくらでも変わってくるので、あくまで参考レベルで。

 ◇取り敢えずというならSeagateのBarracuda。

 当方が仕入れている情報の範囲では、ファームがボロい(=相性が出易い)以外、目立った不具合は無さそうなので。
 よく安売りしているので価格面でも有利。
 保証はRMAが2年。短いと思う場合は東芝を検討対象に、或いはショップの独自保証を追加するとか。

 ちなみに相性トラブルは酷い場合10分程度でSATA IFがハングしてHDDが見えなくなるというもの。
 それでも電源再投入すれば何事もなかったかのように動き出すってのがね。
 最近の新しいファームウェアでは初期の頃よりだいぶマシにはなってきてはいる。
 Intel製ICHだと比較的大人しいようなので特に心配しなくても良いかと。

 ◇Seagateがイヤなら東芝。

 バルクを買ってしまうと保証が無いのでパッケージ版を買うという大前提。
 3年保証が付くがSeagateより2割程度市場価格は高いので、その分の価値を見いだせるかが判断ポイント。 
 こちらはIF相性等も含めて、製品自体に目立った不具合の話は今のところ聞かない。

 但し(HGSTの伝統で)電源がヘタレだと故障し易い点には注意。 
 電源周りについてはSeagateの方が比較的ラフでも大丈夫な印象。
 消費電力や発熱もSeagateよりこちらの方が上。 

◇品質絶対重視ならSeagate Constellation ES.3。

 値段見て笑って下さい状態だが、通常のDesktop HDDの品質基準に飽きたらということで。
 当然、保証も5年と長いが、同一容量のBarracudaの2~4倍の値段です、はい。

 SAMSUNGの血統であるBarracudaと違い、Seagate純血種のエンタープライズ品なので品質のレベルが違う。
 とはいえ個人使用だとごく一部の例外を除いては過剰品質。
 但し、この過剰品質に慣れてしまうと逆に巷の「デスクトップHDD」が「揃いも揃ったヘタレども」にしか見えなくなってしまう点には注意が必要。

 ♯値段が倍以上も違うんだから当たり前なんだが。

 それと騒音や発熱といった意味ではBarracudaの方が有利。
 エンタープライズ品は騒音や発熱といったところにはあんまり気を使ってないのでね。

 ◇

 ・・・今のところこんな感じですか。

 ちなみに確率論の世界なので当然だが、どのメーカの製品を買っても初期不良を含めた故障の可能性はある。
 バックアップは大切ですよ、はい。
 更に悪いことに、「デスクトップHDD」なんて言い方悪いが「安かろう悪かろう」なのが現実、今出回っている製品。
 そのことをお忘れなく。

 ちなみにアキバで一番人気らしいWD Greenに触れていないのは、品質面について判断するベースとなる信頼に足る話が仕入れられていないのと、市場価格的にSeagateと差がないということで。
 Seagateの方が明らかに速度面で有利だし、消費電力や発熱面でもそこまで大差は無い以上、敢えてWD Greenを選ぶ理由は無いかな、と。

 あ~あと、一部局所的に大流行しているWD REDだが、アレは本当に「対応表に乗っているNASで使う」ことを前提にしているので、そうでなければ「ちょっと保証が長いだけの高いHDD」でしかないので、念のため。

 以上、こんな感じですかね、はい。

Share

メモリをいっぱい積もう。取り敢えず計算してみた。

 さて、最近のデスクトップ用マザーでは「何も考えず」積めるメモリは32GB迄というのが御約束。
 一般的にはまぁこれだけあれば不便しないということもあり、殆どの人は気にしていないのだ、が。
 仮想マシンを並べたりしていると、もう少しメモリが欲しくなることがあるのも事実。

 ということで、それではもっといっぱいメモリを積むにはどれぐらいコストがかかるか、ちょっと調べてみた。

 #ついでにプラットフォーム毎の差も調べてみたが、結論としては「LGA2011でもSocketG43でも大差ない」ということで区別しないことに。

 取り敢えず、以下に結論だけ書いておく。

32GB → 好きにして

64GB → 1000$程度 → Xeon&Opteronの世界へようこそ
128GB → 1500$程度 → 無印 Windows8 のメモリ認識上限

192GB → 2500$程度 → DualCPUの世界へようこそ
256GB → 3000$程度 → 128GB版比で値段も容量も2倍に

384GB → 3800$程度 → 巨大フォームファクタの世界へようこそ
512GB → 5800$程度 → 廃円奴(High-End)QuadCPUの世界へようこそ

 ・・・さて、これが高いか安いか。

 個人的には「128GBぐらいならまぁどうにかなるのね」という感想でしたとさ。
 あと、128GB→256GB→512GBでほぼ価格容量比が固定されているというのもポイントかも。

 ・・・あぁそういえばもう一つ。
 マザー等が発売された時には製品が出ていなかったので対応が明示されていないが、大容量メモリを実際挿せば実は使えるってのは別に最近始まった話ではなく、昔っからよくある話で。
 比較的最近でも、例えばSocket AM3のマザーの多くは4GB DIMM迄しかサポートしていないことになっているが、実際にはほぼ例外なく8GB DIMMが普通に使えたりとか。メモコンはCPU側が持っているんだから当然といえば当然なのだけど。

 まぁそれ言い出したらFM2とかAM3+とかなら16GBのU-DIMMさえ出てくれば4枚合計64GBががっつり積めるんだが(少なくともCPU側のメモコンは対応している)、肝心のDIMM(というかDRAMというか)の方がねぇ・・・という話なのだが。早いとこ出てこないかなぁ…。

 以下、折りたたんだところに上記数字の元ネタ計算式あり。

Continue reading “メモリをいっぱい積もう。取り敢えず計算してみた。”

Share