AtomD510と暗号化
SMB向けのハイエンドのネットワークストレージデバイスを使い始めると、セキュリティを向上させるために保存されたデータを暗号化する機能などの付加価値機能がよく見られます。これを実現する方法はいくつかありますが、ベンダーによって異なります。パーティションレベルで暗号化を採用しているものもあれば、ファイルレベルで暗号化を採用しているものもあります。
これらの機能は機密情報の保護に関心のあるプロのユーザーから多くの関心を集めているため、QnapのTS-459 Pro、SynologyのDS1010 + Synology、ThecusのN4200などのNASデバイスの暗号化機能を詳しく調べることにしました。
専用の暗号化ユニットによる加速?
このまとめのNASデバイスはすべて、256ビットのキー長を持つ対称キー暗号化AES(Advanced Encryption Standard)を使用します。暗号化標準は一般に非常に安全であると考えられており、業界全体だけでなく、さまざまな分野の当局によって使用されています(たとえば、ドキュメントの暗号化については米国政府によって承認されています)。USBフラッシュドライブまたはハードドライブがAESを採用することは珍しくありません。また、データ暗号化の計算コストが高いため、これらには専用の暗号化/復号化プロセッサが付属していることが多く、暗号化プロセスが大幅に高速化されます。
Intelが32nmのClarkdaleベースのCorei5デスクトップCPU、6コアのGulftownプロセッサ、および第2世代のCorei5およびCorei7チップにAES-NIを追加したことは、専用のアクセラレーションハードウェアが暗号化/復号化プロセスの速度をどれだけ向上させることができるかを印象的に示しています。これについての詳細は、AES-NIPerformanceAnalyzedの記事を参照してください。32 nm Corei5CPUに限定されています。
IntelのAtomによる不可避のパフォーマンス低下?
残念ながら、Synology、Thecus、またはQnapのテスト済みデバイスには、データの暗号化/復号化専用のハードウェア暗号化ユニットがなく、ネットワークストレージデバイス上で直接データを暗号化することの大きな潜在的な欠点が明らかになりました。その結果、実際に暗号化を使用する場合は、その機能をNASデバイスのホストプロセッサで処理する必要があります。3つのテストケースすべてで、これはわずかなIntel Atom D510です。もちろん、ハードウェアの暗号化を高速化するために必要なAES-NIサポートがありません。
デュアルコアAtomプロセッサーは、NASデバイスのRAIDアレイのXOR操作の処理も担当します。100MB /秒以上のデータ転送速度(ギガビットイーサネットネットワーク)の一部を担っています。ただし、計算集約型の暗号計算の追加要求を適用すると、ネットワークパフォーマンスが低下します。スループットをセキュリティと交換すると、ネットワークパフォーマンスがどれだけ低下しますか?確認してみましょう!