Opslag te vaak niet beveiligd

Versleutelen data heeft voorkeur

Opslag te vaak niet beveiligd
Ieder systeem heeft op een of andere manier beveiliging als een standaard voorziening ‘aan boord’. “Behalve opslagsystemen; onbegrijpelijk”

Dat is de mening van Kevin Brown, vice-president marketing bij Decru, dat producten ontwikkelt waarmee data die wordt opgeslagen op schijf of tape te versleutelen is. Het bijna vijf jaar oude bedrijf heeft de afgelopen jaren veel energie moeten steken in het creëren van bewustwording. Nu het is overgenomen door Network Appliance zal die boodschap ongetwijfeld gemakkelijker overkomen. “Maak echter niet de fout het beveiligen van de opgeslagen gegevens te zien als een opslagprobleem. Het is eerst en vooral een probleem dat je door correct beheer van gegevens moet oplossen.”

Binnen de muren

Decru levert onder de naam DataForte systemen die tussen server en opslagsysteem worden geplaatst. Deze ‘appliances’ regelen het versleutelen en weer terugvertalen van gegevens die van en naar het opslagsysteem worden geschreven. “Die aanpak werkt alleen goed als aan minstens drie voorwaarden is voldaan. Allereerst mag de encryptie geen al te grote impact hebben op het prestatieniveau. Daarom werken onze systemen ‘on wire speed’. Bovendien moet dit soort systemen in staat zijn te werken met ieder denkbaar opslagsysteem. Het kan niet zo zijn dat systeembeheerders encryptiesleutels moet aanmaken per type of merk. Het beheer van sleutels moeten bovendien geheel geautomatiseerd zijn.”

Vooral van die laatste eis maakt Brown een punt. “Niemand mag op welke manier dan ook bij de sleutels kunnen komen. Daarom volgen wij een aanpak waarbij de sleutels volledig automatisch worden gegenereerd, uitgereikt en gebruikt. Daarbij verlaat een sleutel nooit de speciale chips die wij daarvoor hebben ontwikkeld. Zodra een systeembeheerder namelijk bij de sleutels kan komen, kan iemand anders dat ook. Dat zou de hele beveiliging compromitteren. Vandaar dat alles binnen de muren van de chips blijft.”

Dat begrip ‘muren’ kunnen we bijna letterlijk nemen, als we Brown mogen geloven. “Niet alleen creëren de chips zelf intern de sleutels, de chips zelf zijn ook beveiligd. We hanteren een aanpak waarbij de chips door middel van een speciaal epoxy-materiaal zijn ingegoten. Het is dus ook niet mogelijk om bij de chips zelf te komen. Dat klinkt wellicht overdreven, maar bij beveiliging mag je geen enkel risico nemen, hoe vergezocht het in eerste instantie wellicht ook lijkt. Daarom passen we bijvoorbeeld ook clustertechnologie toe. De beschikbaarheid van onze systemen is van cruciaal belang. Hardwarematige redundantie is dan ook absoluut noodzakelijk. Bovendien maken we een backup van alle sleutels die bij de encryptie worden gebruikt. Die backup wordt op het ingebouwde tweede systeem binnen het cluster geplaatst. Bij transport en opslag van deze backup passen we wederom encryptie toe.”

Te klein

Noch de eindgebruiker, noch de it-afdeling heeft enige invloed op het encryptieproces, zegt Brown. “Niemand ziet ooit een sleutel. Het enige dat it-medewerkers uit het systeem kunnen krijgen, is een rapportage. Dat kan een logbestand zijn, of een overzicht van bijvoorbeeld tijdstippen gekoppeld aan bestandsnamen. We hebben rapportagefunctionaliteit aan onze producten toegevoegd omdat het voor de it-afdeling mogelijk moet zijn om bij een audit te laten wat precies met de vastgelegde data gebeurt.”

De overname door Network Appliance ervaart Brown als positief. “We hadden tot nu toe wereldwijd veertien verkopers in dienst. Nu zijn we ineens onderdeel van een grote opslagleverancier die een verkoopstaf van veertienhonderd mensen heeft. Bovendien merkten we in het verleden regelmatig dat grote bedrijven onze primaire doelgroep ons te klein vonden. Grote concerns doen toch liever zaken met grote concerns.”

Een punt is wel dat Network Appliance nu net als EMC zijn eigen VMware-achtige situatie kent. “Dat klopt”, erkent Brown. “Net als VMware werken wij samen met tal van leveranciers, en niet alleen met Network Appliance. Daarom zullen ook wij op afstand van de moedermaatschappij worden gepositioneerd. Hoe dat precies gaat gebeuren weet ik nog niet. Technologisch zullen we zeker nauw samenwerken met onze moedermaatschappij, maar als EMC, IBM of HP zaken met ons wil doen, kan dat net zo goed.”