Корпорация IBM предлагает использовать ее новый мейнфрейм z14 для шифрования практически всего — такой подход к обеспечению безопасности называется всепроникающим шифрованием.
Шифрование полного спектра данных с ограничением доступа к ключам — один из способов уменьшения риска их взлома. Согласно недавнему исследованию, проведенному по заказу IBM, уровень угроз при этом снижается на 92%.
Чтобы сделать такое всепроникающее шифрование жизнеспособным, в z14 интегрировано в четыре раза больше криптографических ускорителей по сравнению с его предшественником, z13. В результате производительность шифрования выросла в семь раз, позволяя ежедневно зашифровывать до 12 млрд транзакций.
Что касается другой рабочей нагрузки, то мейнфрейм z14, функционирующий под управлением операционных систем z/OS или Linux, опережает z13 по быстродействию на 35%. Это стало возможным, поскольку z14 поддерживает в три раза больше памяти (до 32 Тбайт), выполняет операции ввода-вывода в три раза быстрее своего предшественника, а задержки сети хранения при использовании zHyperLink значительно уменьшились.
Наряду с аппаратными изменениями мейнфрейм сменил и название. Теперь вместо признанного слишком громоздким названия z Systems он носит имя IBM Z.
Системы x86-архитектуры в отличие от IBM Z не обладают достаточной вычислительной мощностью для постоянного шифрования данных в полном объеме. Здесь применяется компонентный подход: пароли шифруются в одном месте, номера кредитных карт в другом и т. д. В результате значительная часть информации хранится в компьютере в незашифрованном виде и становится доступна хакерам, если те проникают в систему.
«z14 способен шифровать каждый файл — или набор данных в терминологии IBM Z — и ограничивать доступ к ключам, — указал заслуженный инженер подразделения IBM z Systems Security Майк Джордан. — Привилегированные пользователи могут перемещать или копировать файлы, но не в состоянии их дешифровать. А значит, устраняются риски, возникающие в случае взлома или атаки на учетные записи таких пользователей».
Приложения, требующие расшифровки данных, работают под специальной учетной записью, имеющей доступ к декодирующему ключу. Однако такие учетные записи обычно не используются для входа в систему, что затрудняет хакерам как получение файла, так и его расшифровку.
Даже если среды разработки и тестирования соседствуют с производственной средой на одной и той же машине, криптографически они все равно отделены друг от друга. И если хакерам удалось, скажем, проникнуть в тестовую среду и получить ключи шифрования, они не сумеют декодировать производственные данные.
По заказу IBM исследовательская фирма Solitaire Interglobal изучила воздействие всепроникающего шифрования на бизнес. «Проанализировав сведения об инцидентах в системе безопасности за 21 год, исследователи пришли к выводу, что всепроникающие шифрование IBM Z снижает уровень угроз на 92%», — сообщил директор программ IBM z Systems Growth Initiatives Ник Сардино.
Но сколько будет стоить такая дополнительная безопасность? В Solitaire попробовали смоделировать ведение бизнеса на IBM z14 и сравнили полученные результаты с данными тысяч предприятий, в которых системы x86-архитектуры различной мощности используются для избирательного шифрования данных. Автор отчета Кэт Линд пришла к выводу, что при сравнении решений на базе IBM Z и x86, поддерживающих одинаковый уровень эффективности бизнеса, система шифрования IBM Z обеспечивает в 18 раз более высокую производительность и обходится при этом в 20 раз дешевле. В ходе стоимостной оценки принимались во внимание затраты на персонал, требуемая процессорная мощность, уровни памяти и другие факторы.
Таким образом, за те же деньги вы получаете в 360 раз больше, хотя по отношению к общему размеру ИТ-бюджета суммы могут показаться относительно небольшими. Но, как бы то ни было, организациям, ранее не использовавшим IBM Z, для перехода на эту систему требуются гораздо более веские основания, чем просто шифрование.
И хотя сегодня IBM Z значительно превосходит компьютеры на платформе x86 с точки зрения шифрования, в дальнейшем ситуация будет меняться, поскольку методы шифрования продолжают совершенствоваться. «Тем не менее, если исходить из средних сроков разработки и производства чипов, конкурентоспособное оборудование появится не раньше чем через два-три года», — указала Линд в отчете «Всепроникающее шифрование: новая парадигма защиты».