Przejdź do treści

Netia WORM

WORM definicja, funkcjonalność

WORM (Write-Once-Read-Many) – technologia przechowywania danych, która polega na jednokrotnym zapisie danych na nośniku, bez późniejszej możliwości ich zmodyfikowania, aby zapobiec przypadkowemu usunięciu lub zmianie poufnych informacji przez użytkowników. Przykładem pamięci WORM są dyski optyczne CD-R lub DVD-R, jak również macierze WORM.

W przypadku macierzy Dell Unity funkcjonalność realizowana jest m.in. w oparciu o FLR – file level retention. Przechowywanie każdego pliku jest kontrolowane przez atrybut. Atrybut identyfikuje plik w systemie jako plik FLR, który zawiera metadane potrzebne serwerowi NAS do przetworzenia pliku. Metadane obejmują datę przechowywania i stan (np. niezablokowany, zablokowany, tylko do dołączania lub wygasły). Chociaż atrybut FLR chroni pliki, należy pamiętać że administrator może dokonać modyfikacji  poprzez zmianę zegara systemowego.

Ustawienia retencji dokonujemy włączając FLR podczas tworzenia systemu plików, FLR można włączyć tylko podczas tworzenia i nie można modyfikowane później. Po włączeniu FLR mamy możliwość ustawienia domyślnej, minimalnej i maksymalnej retencji - można zmienić te ustawienia po utworzeniu systemu plików.

Auto-Lock

Automatyczne blokowanie można włączyć po utworzeniu systemu plików FLR. Funkcja ta automatycznie blokuje pliki w systemie plików z domyślnym okresem retencji, jeśli nie były modyfikowane przez czas określony przez użytkownika – ten czas można ustawić.

Po włączeniu automatycznej blokady spowoduje to okresowe skanowanie systemu plików w poszukiwaniu plików spełniających kryteria ustawione dla automatycznej blokady.  

Auto delete

Automatyczne usuwanie to kolejna funkcja, którą można włączyć po utworzeniu systemu plików FLR. Gdy ta funkcja jest włączona, FLR automatycznie usuwa pliki, których okresy przechowywania wygasły. Uwaga: automatyczne usuwanie odbywa się w odstępach 7-dniowych. Timer uruchamia się, gdy włączone jest automatyczne usuwanie.

Cykl życia pliku w systemie plików obsługujących FLR

  1. Po zablokowaniu pliku, ręcznie lub automatycznie, przechodzi on w stan Zablokowany

Pasted image 20230616141502.png

  • Jeśli plik jest zablokowany i odblokowany gdy jest pusty, przechodzi do stanu tylko do dołączania (Append-only)

Pasted image 20230616141634.png

  • Jeśli okres przechowywania dobiegnie końca, plik może:
    Przejść do stanu wygasły (Expired) (a), który następnie można ponownie zablokować (b)

Pasted image 20230616141648.png

  1. Pusty plik, którego ważność wygasła, można odblokować, co staje się plikiem tylko do dołączania

Pasted image 20230616141718.png

  1. Plik tylko do dołączania można ponownie zablokować

Pasted image 20230616141758.png

Ze wszystkimi możliwościami finalizującymi się niekończącym cyklem między różnymi stanami, jak poniżej

Pasted image 20230616141829.png

Architektura i sposoby wykorzystania

WORM dla usług Netia Cloud

Pasted image 20230616141937.png

Zasoby macierzowe z WORM udostępniane będą w postaci usługi STaaS z włączonym mechanizmem FLR (file level retention).
Usługę STaaS z WORM lub bez, czyli tak naprawdę zasób dyskowy NFS udostępniany z macierzy Dell Unity oferować możemy klientom używającym produktów Netii tj:

  • Serwery dedykowane
  • Netia Compute (oraz chmura prywatna)
  • Netia Compute (podusługa backup'u)
  • Netia Data Protection

Zasób może być udostępniony w DC Poleczki i DC Otwock – udostępnianie najczęściej odbywa się poprzez zaoferowanie planu Cloud Firewall (NSX Edge) lub Netia Compute. Do NSX Edge dociągany jest VLAN z adresem IP (z macierzy Dell Unity) który należy odpowiednio skonfigurować na kliencie NFS.
Konfiguracja na kliencie NFS Linuxowym lub Windowsowym daje możliwość zarządzania (uprawnienia, role) zasobem i daje możliwość udostępniania go w organizacji klienta.

Przypadki użycia:
- Zapewnienie taniego zasobu współdzielonego dla Netia Compute/Netia Hosted Private Cloud
- Zapewnienie klientom serwerów dedykowanych dodatkowej przestrzeni dyskowej w innym fizycznym DC
- Zapewnienie możliwości budowania cyfrowej twierdzy dla klientów Compute Backup/Netia Data Protection poprzez mechanizm WORM uzupełniający natywną funkcjonalność ochrony ransomware protection.

Nie używającym produktów Netii a którzy potrzebują tylko takiego zasobu.

Udostępnianie zasobu tym klientom onprem odbywa się tak samo jak w przypadku klientów posiadających usługi w naszych DC, należy tylko zwrócić uwagę na to czy klient do zasobów STaaS łączył się będzie poprzez VPN czy dedykowane łącze.
Przypadki użycia:
• Klienci wykorzystują taki zasób aby własnym oprogramowaniem backupowym wysyłać „secondary copy” do innej fizycznej lokalizacji w tym przypadku DC Netia.
• Jeśli klient posiada już np. oprogramowanie Veeam i potrzebuje tylko większej ilości zasobów dyskowych.
• Aby zapełnić w swojej organizacji zasób tani zasób współdzielony
• Klienci podlegający nadzorowi regulatorów np. KNF czy medycznych którzy mają wymóg składowania danych w retencjach dłuższych niż rok (archiwum) i/lub wymóg składowania danych właśnie na zasobach z włączonymi mechanizmami WORM.

WORM dla BaaS

Pasted image 20230616142546.png

W tym przypadku macierz z włączoną funkcjonalnością WORM możemy wykorzystać do budowania bardziej bezpiecznych środowisk backupowych poprzez dodanie tzw. secondary copy.

Rozwiązanie polega na tym że:
- Budujemy standardowa architekturę BaaS – czy to Compute backup czy Netia Data Protection
- Dane backupowe standardowo składowane są na zwykłej macierzy w DC fizycznym innym niż podstawowe
- Składowane dane mogą być zabezpieczone natywną funkcjonalnością Commvault „Ransomware Protection”
- Aby ochronić się przed atakami na środowisko backupowe typu „man in the middle” budując swojego rodzaju cyfrową twierdzę stosujemy „secondary copy” w jeszcze innym fizycznym DC niż podstawowa kopia danych umieszczając tę druga kopię na macierzy z funkcjonalnością WORM – zabezpiecza to dane backupowe przed nadpisaniem.

Jak więc widać, z takiego rozwiązania skorzystać mogą klienci zarówno posiadający Compute backup jak i klienci NDP backupujący dane ze środowisk umieszczonych w centrach danych Netii jak i swoich czy to w on-prem czy u hyperscalerów.

Szyfrowanie danych w spoczynku w Netia Cloud (vSAN)

Szyfrowanie danych w spoczynku możemy zaoferować klientom Netia Compute używającym polityki dyskowej S3, oraz klientom chmury prywatnej Netii zbudowanej w oparciu o przestrzeń dyskową vSAN Enterprise.

Funkcja szyfrowania

vSAN Encryption to natywna funkcja platformy vSAN, która chroni przechowywane dane na poziomie klastra i obsługuje wszystkie funkcje vSAN - w tym funkcje poprawiające efektywność wykorzystania przestrzeni dyskowej, takie jak deduplikacja i kompresja. Uruchamiana kilkoma kliknięciami zapewnia zachowanie zgodności z regulacjami bezpieczeństwa, oferuje proste zarządzanie kluczami oraz obsługuje wszystkie zgodne z protokołem KMIP serwery zarządzające kluczami szyfrującymi, takie jak CloudLink, Hytrust, SafeNet, Thales i Vormetric.

Funkcja ta została również zatwierdzona jako zgodna ze standardem FIPS 140-2 i spełnia surowe wymogi ustanowione przez administrację federalną Stanów Zjednoczonych.

Pasted image 20230616142735.png

Gdy włączymy szyfrowanie danych w stanie spoczynku, vSAN szyfruje wszystko w vSAN Datastore. Wszystkie pliki są szyfrowane, więc wszystkie maszyny wirtualne i odpowiadające im dane są chronione. Tylko administratorzy z uprawnieniami do szyfrowania mogą wykonywać zadania szyfrowania i odszyfrowywania.

vSAN używa kluczy szyfrowania w następujący sposób:
- Serwer vCenter żąda klucza szyfrowania klucza AES-256 (KEK) z KMS. Serwer vCenter przechowuje tylko identyfikator KEK, ale nie sam klucz.
- Host ESXi szyfruje dane na dysku przy użyciu standardowego w trybu AES-256 XTS. Każdy dysk ma inny losowo generowany klucz szyfrowania danych (DEK).
- Każdy host ESXi używa KEK do szyfrowania swoich DEK i przechowuje zaszyfrowane DEK na dysku. Host nie przechowuje KEK na dysku. Jeśli host uruchomi się ponownie, zażąda KEK z odpowiednim identyfikatorem z KMS. Host może następnie odszyfrować swoje DEK w razie potrzeby.
- Klucz hosta służy do szyfrowania zrzutów pamięci, a nie danych. Wszystkie hosty w tym samym klastrze używają tego samego klucza hosta. Podczas zbierania pakietów wsparcia generowany jest losowy klucz w celu ponownego zaszyfrowania zrzutów pamięci. Możemy określić hasło do zaszyfrowania losowego klucza.
Gdy host uruchamia się ponownie, nie montuje swoich grup dysków, dopóki nie otrzyma klucza KEK. Ten proces może potrwać kilka minut lub dłużej. Możemy monitorować stan grup dysków w usłudze vSAN health, w obszarze Phisical disks > Software State Health.