Введение
Как только вы начнёте немного разбираться в новейших сетевых устройствах хранения данных для малого и среднего бизнеса, то заметите, что часто сталкиваетесь с дополнительными позитивными характеристиками, такими как способность шифровать данные для улучшения безопасности. Этого можно добиться разными способами, здесь всё зависит от поставщика. Некоторые производители выполняют шифрование на уровне разделов, в то время? как другие – на уровне файлов.
Поскольку данные функции вызывают живой интерес у профессиональных пользователей, которые беспокоятся о защите личной информации, мы решили более подробно рассмотреть процесс шифрования на примере нескольких NAS-устройств: TS-459 Pro от компании Qnap, Synology DS1010+ от Synology и Thecus N4200.
Ускорение при помощи выделенного блока шифрования?
Все хранилища NAS (Network Attached Storage – сетевое устройство хранения данных) в нашем обзоре используют шифрование AES (Advanced Encryption Standard – улучшенный стандарт шифрования) с симметричным ключом, длина которого составляет 256 бит. Этот стандарт шифрования считается очень надёжным и широко используется в индустрии, а также правительственными структурами в разных сферах деятельности (например, стандарт одобрен правительством США для шифрования документов). Для флэш-накопителей USB или жёстких дисков использовать шифрование AES не такая уж и редкая практика, а из-за высокой стоимости вычислений при шифровании данных используются выделенные процессоры шифрования/дешифрования, которые весьма существенно ускоряют криптографический процесс.
Добавление инструкций AES-NI к 32-нм центральным процессорам для настольных компьютеров Intel Core i5 на ядре Clarkdale, шестиядерным процессорам Gulftown и моделям второго поколения Core i5 и Core i7 наглядно продемонстрировало, насколько сильно специализированная аппаратная поддержка может увеличить скорость выполнения шифрования/дешифрования. С дополнительной информацией по этому вопросу вы можете ознакомиться в нашей статье “Intel Core i5 (Clarkdale): анализ аппаратного ускорения шифрования AES”.
Неизбежное ухудшение производительности из-за Intel Atom?
К сожалению, ни одно из протестированных хранилищ от Synology, Thecus или Qnap не было оснащено выделенным аппаратным блоком криптографии для шифрования/дешифрования данных, что приводит к возможному возникновению огромного количества недостатков при выполнении шифрования напрямую на сетевом хранилище. В результате, если вы в самом деле планируете использовать шифрование, то за данную функцию будет отвечать главный процессор NAS. Во всех трёх протестированных моделях им является весьма посредственный Intel Atom D510, у которого, конечно же, нет поддержки AES-NI, требующейся для аппаратного ускорения шифрования.
Двухъядерный процессор Atom также вычисляет информацию избыточности (XOR) для дисковых массивов RAID серверных хранилищ. И частично отвечает за высокую пропускную способность в 100 Мбайт/с и выше (в гигабитных сетях Ethernet). Однако его сетевая производительность будет снижаться, если процессору придётся дополнительно выполнять трудоёмкие криптографические расчёты. Но насколько сильно снизится производительность сети, если принести в жертву пропускную способность для повышения безопасности? Давайте узнаем!
Thecus N4200
Thecus позиционирует хранилище N4200 как решение для малого и среднего бизнеса, цена устройства составляет около $660. Пользователи могут устанавливать в хранилище до четырёх жёстких дисков, а затем объединять их в массив RAID 0, 1, 5, 6 или 10. Также N4200 имеет поддержку протокола iSCSI. Хранилище оборудовано двухъядерным процессором Intel Atom D510, а кроме этого оснащено 1 Гбайт памяти DDR2 SDRAM.
Настройка шифрования
В настройки шифрования можно легко и просто попасть через веб-интерфейс Thecus, как и в случае двух других протестированных хранилищ. Опцию шифрования можно активировать при создании массива RAID. После построения массива доступная область памяти будет полностью зашифрована, поскольку в хранилище используется шифрование на уровне разделов. В качестве пароля шифрования можно выбрать любую строку длиной от одного до шестнадцати символов.
Вот ещё одна интересная деталь: для создания зашифрованного раздела на хранилище Thecus вам потребуется внешний накопитель, подключённый к одному из USB-портов N4200. Конечно, это можно назвать ещё одним препятствием, но такой подход используется из соображений безопасности. Возможно, вы захотите использовать флэшку, на которой будет храниться ключ для расшифровки данных на разделе.
Перезапуск с USB-драйвом
После завершения процесса шифрования USB-накопитель можно извлечь. Компания Thecus рекомендует, чтобы вы сделали копию ключа и хранили USB-накопитель и файл в надёжном и безопасном месте.
Также USB-накопитель потребуется, если вы захотите выполнить миграцию или изменение конфигурации RAID. Как только вы закончите работу с ключами, снова поместите USB-накопитель в надёжное место.
При создании конфигурации RAID вы должны будете выбрать опцию “Encryption” (“Шифрование”) и ввести пароль для того, чтобы использовать этот параметр.
Когда Thecus создаёт зашифрованное хранилище, то оповещает о том, что потребуется USB-накопитель и что его следует хранить в безопасном месте. В диалоговом окне не упоминается о том, что функция шифрования может снижать пропускную способность, а в руководстве пользователя данный факт упомянут.
Если выбран режим шифрования, то вам необходимо ввести пароль. Ключ для шифрования/дешифрования генерируется, основываясь на введённом вами пароле.
После успешного выполнения операции, значок замка указывает на то, что раздел зашифрован.
Будьте внимательны: если хранилище будет запущено без USB-накопитель, оно не определит наличие какого-либо массива RAID.
Файлы с ключами для шифрования/дешифрования хранятся на внешнем накопителе, который следует хранить в безопасном месте, защищённом от несанкционированного доступа.
Qnap TS-459 Pro
Сетевое хранилище Qnap TS-459 Pro тоже оснащено двухъядерным процессором Intel Atom D510, 1 Гбайт памяти DDR2, с поддержкой iSCSI и четырьмя отсеками для жёстких дисков, которые можно использовать в режимах RAID 0, 1, 5 и 6. Устройство NAS обеспечивает приличную пропускную способность около 100 Мбайт/с в обычном режиме работы, хотя она немного меняется, в зависимости от выбранного режима RAID.
Шифрование: пароль или файл ключей
Как и хранилище Thecus, модель Qnap использует шифрование на уровне разделов, применяя стандартные инструменты Linux, такие как dm-crypt и cryptsetup. Вам не придётся работать в командной строке, поскольку всё можно легко и просто сделать через веб-интерфейс. Вы не можете активировать шифрование у существующих разделов RAID; все необходимые настройки следует вносить во время создания массива.
Процесс настройки шифрования очень похож на соответствующую опцию NAS Thecus.
Для создания массива RAID с шифрованием вам необходимо включить функцию шифрования и указать пароль. Опция “Save Encryption Key” (“Сохранить ключ шифрования”) сохраняет пароль на хранилище NAS; это означает, что зашифрованный раздел будет автоматически открыт и интегрирован в системную конфигурацию после перезагрузки. Если подобный подход кажется вам потенциально уязвимым, то можно отключить эту опцию и тогда после перезагрузки NAS вам придётся каждый раз вручную вводить пароль в веб-интерфейсе администрирования.
Сетевое хранилище Qnap требует указания пароля от восьми до шестнадцати символов.
Также мы получили привычное предупреждение о том, что подтверждение действия приведёт к стиранию всех данных на жёстких дисках.
После успешного создания зашифрованного массива RAID вы можете вносить изменения в конфигурацию шифрования при помощи пункта меню “Encrypted File System” (“Зашифрованная файловая система”). В нём можно удалить хранящийся ключ из конфигурации или изменить пароль зашифрованного массива RAID.
Если пароль шифрования не сохранён, то его нужно вводить вручную через веб-интерфейс, либо использовать вместо этого файл с ключом.
Synology DS1010+
Сетевое хранилище Synology DS1010+ тоже оснащено двухъядерным процессором Intel Atom D510 и 1 Гбайт памяти DDR2. Но, в отличие от моделей Qnap и Thecus, оно шифрует данные на уровне файлов, а не разделов. Это достигается путём применения утилиты eCryptfs, которая очень похожа на популярную TrueCrypt. Утилита создаёт контейнер, который при необходимости может динамически увеличиваться/уменьшаться в размерах. Файлы, хранящиеся в контейнере, шифруются по-отдельности, а информация для расшифровки этих файлов хранится в незашифрованных заголовках файлов. На следующих скриншотах мы видим, как создаётся подобный контейнер, а также какую информацию о зашифрованных файлах в контейнере можно вывести напрямую через консоль Linux.
Поскольку Synology использует eCryptfs, то массивы RAID нужно конфигурировать и подготавливать до шифрования данных. Настройка шифрования может выполняться при конфигурации общего доступа к файлам или папкам.
При создании общего доступа к папке, в меню веб-интерфейса можно увидеть пункт “Encrypt this shared folder” (“Зашифровать данную папку общего доступа”). От пользователя также потребуется ввести пароль, на основе которого будет выполняться шифрование, причём длина пароля должна быть, по меньшей мере, восемь символов.
Если выбран пункт меню “Mount automatically on startup” (“Смонтировать автоматически при запуске”), то пароль будет сохранён на хранилище NAS. Эта опция позволяет автоматически монтировать зашифрованную папку после перезагрузки устройства. Но, как и в случае с NAS Qnap, эту функцию не следует использовать, если вы опасаетесь за безопасность (а если вы включаете шифрование, то велики шансы того, что так оно и есть).
Опять же, мы получаем предупреждение в диалоговом окне о том, что пользователю необходимо хранить ключ в надёжном месте, так как данные без него расшифровать невозможно. Кроме того, включение шифрования может привести к падению производительности и зашифрованная папка не будет доступна через NFS (Network File System – сетевая файловая система).
Через несколько секунд после подтверждения операции появится зашифрованная папка, а также будет предоставлен доступ для скачивания файла ключа, который был сгенерирован по введённому вами паролю.
Если вы выберете опцию хранения пароля шифрования не на NAS, то всё равно сможете получить доступ к зашифрованным файлам после перезагрузки. Но для этого вам придётся либо ввести пароль через веб-интерфейс, либо использовать скаченный файл ключа.
Если зашифрованные папки не смонтированы через eCryptfs, то при попытке просмотра содержимого накопителя в консоли Linux вы увидите список несвязанных между собой букв и цифр. Но после монтирования папки с помощью пароля содержимое будет отображаться как обычно.
Тестовая конфигурация
Серверные хранилища NAS от Thecus, Synology и Qnap оснащены одинаковыми ключевыми компонентами: двухъядерным процессором Intel Atom D510 и 1 Гбайт DDR2. Synology DS1010+ поддерживает установку пяти жёстких дисков, что несколько отличает эту модель от остальных.
После знакомства с первыми результатами мы решили не проводить традиционные тесты со всеми доступными режимами RAID, как мы делаем обычно, и чуть ниже вы поймёте, почему.
Конфигурация тестового стенда | |
Платформа Intel 775 | Asus P5E3 Deluxe, Rev.1.03G, Intel X38, BIOS: 0810 (02/11/2007) |
CPU | Intel Core 2 Duo E6750 (65-нм Conroe) @ 2,26 ГГц |
Оперативная память | 2 x 1024 Мбайт Crucial Ballistix DDR3-1600 |
Контроллер eSATA | JMicron JMB363 |
Системный HDD | Seagate Barracuda 7200.9, 160 Гбайт, 7200 об./мин., SATA 3 Гбит/с, 8 Mбайт кэша |
Тестовый HDD | 4 x 3.5″ Samsung Spinpoint HD321KJ, 320 Гбайт, 7200 об./мин., SATA 3 Гбит/с, 16 Mбайт кэша |
DVD-ROM | Samsung SH-D163A , SATA150 |
Видеокарта | Gigabyte Radeon HD 3850 GV-RX385512H, GPU: 670 МГц, память: 512 Мбайт DDR3 (830 МГц, 256 бит) |
Сетевая карта | Marvell Yukon 88E8056 PCIe Gigabit Ethernet Controller |
Звуковая карта | Встроенная |
Блок питания | Cooler Master RS-850-EMBA, ATX 12V V2.2, 850 Вт |
Системное ПО и драйверы | |
Операционная система | Windows Vista Enterprise SP1 |
DirectX 10 | DirectX 10 (стандартный Vista) |
DirectX 9 | Версия: апрель 2007 г. |
Графические драйверы | AMD Radeon версия 7.12 |
Сетевые драйверы | 9.0.32.3 (стандартный Vista) |
Драйверы чипсета Intel | Версия 6.9.1.1001 (20/02/2008) |
Драйверы чипсета JMicron | Версия 1.17.15.0 (24/03/2007) |
Intel NAS Performance Toolkit
Мы протестировали устройства хранения данных (NAS) с помощью пакета Intel NAS Performance Toolkit и использовали следующие версии прошивок.
- Thecus N4200: 3.00.12;
- Qnap TS-459 Pro: 323 (0209T);
- Synology DS1010+: 2.3-1161.
Мультимедиа
Больше результатов тестов вы можете найти в конце статьи.
Все NAS-хранилища обеспечивают довольно приличную производительность передачи данных при конфигурации со стандартными, не зашифрованными разделами/папками. Модели от Qnap и Synology продемонстрировали скорость передачи даже больше 100 Мбайт/с при записи HD-видеофайла.
Примечательно то, что производительность разных хранилищ при активации шифрования оказывается практически одинаковой, но разница по пропускной способности сразу же бросается в глаза, стоит только выключить шифрование, особенно если сравнивать модели Synology и Qnap.
В целом, падение производительности при включении шифрования на сетевых хранилищах можно признать весьма существенным: вы получите лишь около одной пятой от полноценной пропускной способности. Причём совершенно не имеет значения то, как выполняется шифрование, на уровне разделов или на уровне файлов.
Ту же картину мы наблюдаем и в тесте воспроизведения HD-видео “HD Video Playback”. Когда данные не зашифрованы, скорости передачи данных различны, а разброс производительности приблизительно такой же, когда включена функция шифрования.
При чтении с NAS мелких файлов разница по производительности обычных режимов уже не такая существенная. Но мы всё равно получаем падение производительности на 50% или больше после включения шифрования.
Офисные приложения
Больше результатов тестов вы можете найти в конце статьи.
Результаты теста резервирования такие же разочаровывающие, как и в тесте записи HD-видео “HD Video Record”. Потерю производительности до 80% нельзя игнорировать. Опять же, обратите внимание на то, насколько близкой оказывается производительность разных хранилищ NAS, когда активирована опция шифрования.
Ситуация в других тестах схожая, хотя хранилище Thecus N4200 показало себя в работе чуть быстрее конкурентов. Однако оно оказалось даже чуть быстрее (29,6 Мбайт/с) в режиме RAID 1 в тесте офисной продуктивности “Office Productivity” при активированной опции шифрования, но мы не знаем, с чем это связано. Сперва мы посчитали, что во всём виновата тестовая конфигурация, однако после тщательной проверки настроек и оборудования, а также повторного проведения тестов эту причину пришлось отбросить.
Заключение
Протестированные в нашей статье хранилища NAS нацелены на коммерческие или полупрофессиональные окружения, что, в некоторой степени, отражается на их цене. Thecus N4200 можно найти в продаже по цене около $670, а Synology DS1010+ и Qnap TS-459 Pro стоят даже чуть подороже.
Конечно, подобная цена за “пустое” хранилище немалая и вам дополнительно придётся купить ещё и жёсткие диски. Во многих случаях всё это приводит к серьёзным ожиданиям от хранилища, да и пользователи вправе ожидать, что хранящиеся данные будут находиться в безопасности. Также вы вправе ожидать, что если жёсткий диск в массиве хранилища выйдет из строя, то вы всё равно сможете перестроить массив после замены HDD и сохранить все данные в целости и сохранности. Все три хранилища NAS поддерживают разные режимы RAID, а также функции резервирования, которые действительно предотвращают потерю данных при должной реализации.
Потеря данных вследствие кражи
Но данные можно потерять не только в случае, скажем, “смерти” жёсткого диска. Что произойдёт, если диск из массива RAID 1 будет украден? Или украдут хранилище NAS целиком (они не такие уж и тяжёлые)? Вполне реалистичный сценарий, особенно если ваше сетевое хранилище находится в здании с большой проходимостью, например, в розничном магазине или в больнице. Конечно, приятно, что все хранилища NAS в нашем тестировании можно закрепить с помощью замка Kensington. Но подобная простая мера физической защиты вряд ли остановит подготовленного вора.
Thecus и Qnap также оснащают свои продукты (N4200 и TS-459 Pro, соответственно) замками отсеков жёстких дисков. Это означает, что даже самый отчаянный вор с набором отвёрток не сможет извлечь жёсткий диск, не повредив корпус хранилища. Напротив, жёсткие диски в Synology DS1010+ можно красть “на лету”, поскольку замков на отсеках HDD у них нет.
Шифрование защищает от несанкционированного доступа…
Если вы не можете защитить хранилище NAS и жёсткие диски от физической кражи, то следует, по крайней мере, обезопасить данные от несанкционированного доступа, зашифровав содержимое дисков. Производители использовали утилиту, которая уже многие годы известна приверженцам Linux, она популярна и широко применяется на практике. Thecus и Qnap решили шифровать раздел целиком, а Synology позволяет пользователям выбирать для шифрования отдельные папки.
…за счёт падения производительности
Нам не удалось выделить по производительности какое-либо хранилище среди других. Отсутствие аппаратной поддержки шифрования приводит к тому, что активация этой функции приводит к значительному падению производительности всех трёх моделей.
Скорость передачи данных по умолчанию у всех трёх протестированных хранилищ находится на близком уровне в большинстве тестов, хотя хранилище Thecus N4200 смогло показать результаты чуть лучше конкурентов. В любом случае, необходимо упомянуть о том, что производительность после шифрования наглядно говорит о том, что производителям ещё есть что улучшать. Добавление выделенного аппаратного блока шифрования могло бы в значительной мере повысить скорость передачи данных. Двухъядерный процессор Intel Atom D510 обеспечивает скромную производительность в повседневных сценариях и для подобной задачи шифрования он просто слишком слаб, что приводит к падению скорости передачи данных. Возможно, поддержка инструкций AES-NI у подобных процессоров привела бы к улучшению результатов; к счастью, Intel кое-что планирует в данном отношении.
Гибкость шифрования
Что касается использования шифрования, то у Thecus реализация наиболее сложная. Для того, чтобы активировать зашифрованный раздел, вам придётся подключать к N4200 дополнительный внешний накопитель, который затем можно извлечь во время работы и хранить в безопасном месте.
Подход Qnap к работе с зашифрованными разделами тоже весьма серьёзный, никаких поводов для жалоб мы не обнаружили. Synology предлагает наиболее гибкий подход с шифрованием отдельных папок. Если в случае хранилищ Thecus и Qnap шифрование нужно настраивать до инициализации разделов (оно приведёт к необратимым изменениям раздела), то база зашифрованных файлов на Synology DS1010+ может расти или уменьшаться динамически. Преимущество здесь заключается в том, что можно без особых проблем шифровать только папки с личными документами, не затрагивая другие папки или файлы, на скорость работы с которыми шифрование не повлияет. Также вы можете зашифровать существующие файлы или папки позже, в любое время, а не только в момент создания раздела.
Если вас беспокоит безопасность данных, то у всех трёх хранилищ не следует делать только одного – хранить пароль для расшифровки разделов или файлов на самом NAS. Всё же безопасность данных достигается за счёт некоторых усилий и вам следует всегда вводить пароль для доступа к зашифрованному разделу или файлам после перезагрузки NAS вручную. Впрочем, это случается не так и часто.
Остальные результаты тестов