A medida que las regulaciones de seguridad se endurecen y los avances de la computación cuántica, las organizaciones priorizan la ciberseguridad, lo que hace que el cifrado sea cada vez más esencial. La familia Cisco MDS 9000 de dispositivos de purple de almacenamiento ofrece soluciones de cifrado de vanguardia, específicamente a través de Cisco Trustsec Fiber Channel Cifring, garantizando la transmisión segura de datos en redes de canales de fibra (FC).
Las amenazas y las regulaciones de seguridad exigen posturas de seguridad más fuertes
Los datos se encuentran entre los activos más importantes para cualquier corporación, por lo que proteger los datos del acceso no autorizado y el mal uso es una preocupación clave. Con el surgimiento del trabajo híbrido, la adopción de servicios en la nube y el uso malicioso de herramientas basadas en IA, los cibernétricos se han vuelto más avanzados e impactantes. Al mismo tiempo, las nuevas regulaciones de privacidad y seguridad exigen que las organizaciones logren una postura de seguridad mejor y más integral. Como resultado, la ciberseguridad es la principal prioridad entre las implementaciones de IA, según el Cisco 2024 Índice de preparación de IAy el cifrado de datos ahora tiene una gran demanda de corporaciones de todos los tamaños e industrias.
Dado que FC es el protocolo de elección para acceder a conjuntos de datos empresariales críticos de negocios, una faceta importante de una postura de seguridad es validar la identidad de los interruptores adyacentes y cifrar datos mientras está en tránsito en una purple de área de almacenamiento (SAN). Estas capacidades se ofrecen en la familia Cisco MDS 9000 de dispositivos de purple de almacenamiento utilizando el cifrado de enlace Cisco TrustSEC FC. Con el reciente código NX-OS, se ha introducido un nuevo Cypher para resistir los cálculos de fuerza bruta que pueden superar los estándares de cifrado actuales con computación cuántica, con una configuración directa. Disponible bajo ventaja y niveles de licencia Premier, esta característica admite interruptores de director, interruptores de configuración fijos e interruptores multiprotocol, beneficiando tanto a los entornos de sistema mainframe como a los sistemas abiertos.
La autenticación es un requisito previo para el cifrado
Los interruptores de la serie Cisco MDS 9000 implementan el Protocolo de seguridad del canal de fibra (estándar FC-SP-SP-2, ANSI Incits 496-2012), habilitando la autenticación Change-to-Change-To-Change para abordar los desafíos de seguridad en las telas empresariales. El Protocolo de autenticación del apretón de manos Diffie-Hellman Problem (DHCHAP) es un protocolo FC-SP que proporciona autenticación entre los interruptores de la serie Cisco MDS 9000 y otros dispositivos. DHCHAP combina el protocolo CHAP con el intercambio Diffie-Hellman (DH), asegurando que solo los dispositivos de confianza puedan unirse a una tela, evitando así el acceso no autorizado.
DHCHAP es un protocolo seguro de autenticación de intercambio clave basado en contraseña que admite la autenticación de interruptores a interruptor y host-to-cambisos. Este configuración Requiere establecer contraseñas locales y de interruptor de pares, con algoritmos hash de negociación DHCHAP y grupos DH. Con NX-OS 9.4 (3), la autenticación basada en el algoritmo SHA-1 está predeterminada, configurada en el nivel físico de la interfaz FC.
Cisco Trustsec Fiber Channel Enlace Cifrado
El estándar de cifrado avanzado (AES) es un algoritmo de cifre de bloques simétrico de alta seguridad adoptado a nivel mundial desde 2002. Admite varias aplicaciones, que incluyen cifrado de disco, sistemas VPN y programas de mensajería. Su purple de sustitución-permutación implica operaciones de bits sofisticadas, con ejecución de {hardware} eficiente.
Cisco TrustSEC FC Hyperlink Cifring extiende el Protocolo de seguridad del canal de fibra (FCSP), asegurando la integridad de las transacciones y la confidencialidad utilizando DHCHAP para la autenticación por pares. La configuración de cifrado implica definir asociaciones de seguridad en las interfaces, establecer una clave y usar una sal para mejorar la seguridad diferenciando los patrones de texto cifrados.
Cisco TrustSEC FC Hyperlink Enlection habilita AES-GCM (predeterminado, cifrado y autenticación) o AES-GMAC (solo autenticación). Las longitudes de claves admitidas son de 128 bits para dispositivos 32G y de 128 bits y 256 bits para dispositivos 64G, ofreciendo flexibilidad y elección. Si se ejecuta en el software program, AES-128 es marginalmente más rápido y necesita menos recursos del sistema, mientras que AES-256 proporciona una mayor resiliencia contra los ataques de fuerza bruta y eleva la solución para ser resistente a la cuántica. Los conmutadores Cisco MDS 9000 aprovechan la implementación avanzada de AES asistida por {hardware} para que tanto AES-128 como AES-256 se ejecuten con el mismo nivel óptimo de rendimiento.
Rendimiento y rendimiento líder en la industria
El módulo de conmutación CISCO 64G FC proporciona altas capacidades de cifrado, que admite ocho puertos a velocidades de 64 g cada uno, logrando 512 g de rendimiento cifrado agregado por módulo. Este rendimiento líder en la industria resulta del diseño ASIC avanzado, manejando el cifrado sin penalización de rendimiento. La arquitectura de la tienda y el last garantiza la latencia sin cambios entre las configuraciones encriptadas y no cifradas, lo que hace que los conmutadores MDS 9000 SAN sean únicos para mantener la eficiencia con el más alto nivel de seguridad. La configuración fija y los interruptores de múltiples servicios aprovechan las mismas capacidades, pero el número de puertos encriptados depende del modelo de conmutación. Por ejemplo, en Cisco MDS 9124V hay cuatro puertos que se pueden encriptar, en Cisco MDS 9148V hay ocho, y en Cisco MDS 9396V hay 16.
Independencia del puerto y disponibilidad de servicios
En las implementaciones del mundo actual, la independencia del puerto es essential para mantener la conectividad durante las interrupciones. Los interruptores de la serie Cisco MDS 9000 sobresalen en esto, con una arquitectura ASIC optimizada y separación de rutas de cuadro que no garantizan que no hay impacto en otros puertos cifrados durante eventos como el puerto Errdisable o Cable/SFP Pull. Esta capacidad mejora significativamente la disponibilidad del servicio.
Los interruptores de tela como Cisco MDS 9124V, 9148V y 9396V admiten múltiples puertos encriptados sin reducir el número whole de puertos utilizables, a diferencia de los productos competidores. Esta capacidad garantiza una asignación de recursos consistente independientemente del estado de cifrado.
Soporte de distancia y compatibilidad con SAN Analytics
Habilitar el cifrado en los dispositivos de la serie MDS 9000 no afecta las distancias compatibles, preservando los créditos del amortiguador y permitiendo operaciones inalteradas de larga distancia. Los usuarios pueden mantener las mismas capacidades de distancia con el cifrado, eliminando las limitaciones de diseño durante la planificación de la seguridad.
Cisco SAN Analytics proporciona una visibilidad de tráfico profundo y es el punto de referencia de la industria. Puede ser totalmente aplicable al tráfico cifrado, manteniendo la garantía y las concepts sin comprometer la visibilidad. La arquitectura avanzada de la serie Cisco MDS 9000 garantiza que siempre sea posible inspeccionar los encabezados, de modo que SAN Analytics se puede aplicar al tráfico encriptado que ingresa al interruptor o dejándolo.
Longitud de la llave, reinicio y resistencia cuántica
AES-GCM admite claves de 128 y 256 bits. La selección de claves en los dispositivos 64G ofrece flexibilidad, con una requería periódica handbook disponible como una medida de seguridad adicional. AES-256 se favorece para la resistencia cuántica y la protección contra las amenazas emergentes planteadas por las computadoras cuánticas, junto con Algoritmo de Grover. La capacidad de confianza mejorada en MDS 9000 se considera segura al menos hasta 2050, según ETSI GR QSC 006 V1.1.1, esfuerzos de seguridad a prueba de futuro.
Suite de seguridad integral
La serie Cisco MDS 9000 ofrece extensas características de seguridad, tanto intrínsecas como configurables. Las características intrínsecas incluyen tecnología segura de arranque y anti-cuenta, mientras que las opciones configurables abarcan VSANS, zonificación dura, seguridad de puertos, encuadernación de telas, registro de syslog seguro, borrado seguro, seguridad de capa de transporte (TLS) 1.3, Easy Community Administration Protocol Versión 3 (SNMPV3), Safe Shell versión 2 (SSHV2), entre otros. Estas características respaldan la continuidad del negocio y la recuperación de desastres en los centros de datos, ofreciendo cifrado en los enlaces entre interruptores (ISLS) de FC y FC sobre IP (FCIP) a través de la tecnología TrustSEC e IPSEC, respectivamente (Figura 1).
Conclusión
Los conmutadores Cisco MDS 9000 ofrecen un cifrado inigualable para SANS, que se distingue por un diseño ASIC avanzado, una arquitectura de {hardware} superior y un management sofisticado de software program. El cifrado de enlaces FURYSEC FC es very important para interconectar de forma segura las telas de San en los centros de datos utilizando enlaces FC. Con los dispositivos Cisco MDS 9000 64G, puede extender SAN de forma segura, mejorando la postura de seguridad en preparación para la computación cuántica sin compromiso.
Recursos adicionales:
Guía de configuración de seguridad de la serie Cisco MDS 9000
Redes de área de almacenamiento de Cisco
Productos de redes de almacenamiento
¿Qué es una purple de área de almacenamiento (SAN)?
Compartir:
