Jakie zabezpieczenia i dodatkowe funkcje ma storage obiektowy w 3S Data Center

Storage obiektowy 3S w 3S Data Center oparty o rozwiązanie Cloudian jest klasycznym przykładem usługi Software-defined storage. Całość przestrzeni dyskowej „wystawiana” jest z serwerów wyposażonych w wewnętrzne dyski twarde. W używanych przez nas NOD-ach wykorzystywane są dyski NL-SAS oraz dyski NVMe. Dzięki takiemu rozwiązaniu uzyskujemy połącznie dużej przestrzeni dyskowej (dyski NL-SAS) oraz dużej wydajności (dyski NVMe).

Zabezpieczenia dla storage obiektowego.

W tak przygotowanym środowisku uruchamiamy mechanizmy zabezpieczania danych przed awarią dysku czy serwera. Obecnie każdy obiekt może być zabezpieczony w dwojaki sposób:

  • Replica 3 – każdy obiekt przechowywany jest w 3 niezależnych kopiach. Oprogramowanie dba o to, żeby każda kopia była umieszczona na osobnym serwerze. Jest to najbardziej bezpieczny i najszybszy sposób organizacji danych. Obsługa tego modelu nie jest obciążana żadnymi dodatkowymi operacjami obliczeniowymi. W najbardziej niekorzystnym przypadku dane są dostępne nawet przy uszkodzeniu 2 NOD-ów (serwerów Cloudian).
  • ErasureCode 4+2 (EC4+2) – w tym przypadku obiekt dzielony jest na 4 fragmenty rozmieszczone na poszczególnych węzłach (NOD-ach). Na dwóch pozostałych umieszczane wyliczone „kody”, które pozwalają na odzyskanie danych w przypadku utraty któregoś z fragmentów. Ponieważ wszystkie operacje I/O wykonywane na danym obiekcie wymagają zaawansowanych operacji obliczeniowych wykonywanych przez procesory NOD-ów, jest to wolniejszy sposób przechowywania danych, ale umożliwiający uzyskanie większej przestrzeni netto. Podobnie jak w przypadku Replica3, ten model organizacji danych zabezpiecza nas przed awarią do 2 kompletnych NOD-ów.
Data liczby

Gwarantowane bezpieczeństwo danych.

Rozwiązanie Cloudian spełnia najwyższe standardy gwarantujące bezpieczeństwo danych na poniższych poziomach:

  • Zabezpieczenie przechowywania obiektów na poziomie fizycznych dysków oraz NOD-ów. Wszystkie dane mogą być zabezpieczone w wykorzystaniem 2 polityk: Replica 3 oraz Erasure Code
  • Zaawansowane funkcje zarządzania dostępnością i tożsamością gwarantują bezpieczeństwo w rozwiązaniu współdzielonym pomiędzy wielu klientów.
  • Limity pojemności oraz QoS gwarantuje każdemu klientowi wymaganą przez niego pojemność oraz pasmo dostępu do danych
  • Funkcja Secure Delete gwarantuje ochronę przed wyciekiem danych. Kasowane bloki najpierw trzykrotnie nadpisywane są zerami na wszystkich NOD-ach a następnie obiekt jest usuwany. Powyższa metodyka przekracza wymagania normy branżowej NIST 800-88-r1.
  • Dane w trakcie przesyłania do i z Cloudiana są szyfrowane. Obsługiwane są protokoły TLS 1.2 i 1.3, które umożliwiają szyfrowanie połączeń HTTPS z zewnętrznym certyfikatem CA lub certyfikatem z podpisem własnym.
  • Przechowywane dane są szyfrowane (nie są szyfrowane same dyski). Szyfrowanie po stronie serwera (SSE) wykorzystuje szyfrowanie AES-256 do ochrony danych w spoczynku. Obsługiwanych jest kilka metod szyfrowania prawdziwych danych w stanie spoczynku:
    • Szyfrowanie za pomocą generowanego przez system klucza szyfrowania (SSE)
    • Szyfrowanie przy użyciu klucza szyfrowania dostarczonego przez klienta (SSE-C)
    • Szyfrowanie za pomocą kluczy szyfrowania zarządzanych przez usługę zarządzania kluczami Amazon Web Services (AWS KMS)
    • Szyfrowanie za pomocą kluczy szyfrujących zarządzanych przez Gemalto KeySecure KMS (KMIP/OASIS)

Certyfikaty bezpieczeństwa.

Rozwiązanie S3 które mamy uruchomione posiada dwa certyfikaty bezpieczeństwa:

  • Certyfikat Common Criteria z oznaczeniem EAL2. Obecnie jest to jedna z dwóch platform obiektowej pamięci masowej spełniających to wymaganie na świecie.
  • Certyfikat FIPS 140-2 Level 1 przyznany przez NIST dla modułu kryptograficznego

Dodatkowe funkcjonalności storage obiektowego.

Funkcjonalność Object Lock (WORM – write once, read many) – jest to funkcja gwarantująca przechowanie niezmiennych danych przez ustalony czas. Można ją wykorzystać do budowy środowiska backupu zabezpieczającego składowane dane przed zaszyfrowaniem (ochrona anty-ransomware). Dane nie mogą być zmienione ani skasowane, zatem nie mogą też zostać zaszyfrowane. W tym przypadku możemy mówić o Ransomware Protection as a Service. Dostarczane rozwiązanie zostało pozytywnie zweryfikowane na zgodność z poniższymi normami:

  • Securities and Exchange Commission (SEC) Rule 17a-4(f)
  • Financial Industry Regulatory Authority (FINRA) Rule 4511
  • IDW PS 880 auditing standard

 

Funkcja FILE – możliwe jest „wystawienie” obiektu w taki sposób, żeby był widziany przez system jako dysk sieciowy.

Integracja z vCloudDirectorem – rozszerzenie vCloud Director Object Storage (vOSE) dla vCloud Director umożliwia administratorom VDC (usługa Virtual Data Center z rozwiązania Cloud2B) przeglądanie oraz konfigurowanie usługi S3 z poziomu panelu VDC.

Integracja z innymi chmurami – dzięki pojedynczemu interfejsowi API nasza platforma może uzyskać dostęp do pamięci masowej we wszystkich chmurach — AWS, Azure Blob i Google GCP — przy użyciu wspólnego interfejsu API S3. Dzięki temu można zarządzać i wyszukiwać w jednym widoku informacji, który obejmuje Twoją chmurę, środowiska lokalne i chmury publiczne.

Ta strona wykorzystuje pliki cookies w celu ulepszenia działania seriwsu

Dowiedz się więcej