사고 처리에서 암호화 성능 및 보안의 균형을 맞추는 방법
요약
이 기사에서는 암호화 성능과 사고 처리의 보안 간의 균형에 대해 논의 할 것입니다. Luks를 사용한 디스크 암호화의 영향을 살펴보고 다양한 유형의 저장 장치에 대한 권장 사항을 제공하겠습니다.
1. 루크를 사용한 디스크 암호화의 성능 영향은 무엇입니까??
벤치 마크에 따르면 디스크 회전에서 암호화에 대한 추가 오버 헤드는 CPU로드 측면에서 중요하지 않음을 보여줍니다. 그러나 상당한 대역폭 및 IOP (초당 입력/출력 작업) 손실이있을 수 있습니다.
2. 다양한 유형의 I/O 패턴에 대한 성능 손실은 무엇입니까??
성능 손실은 I/O 패턴에 따라 다릅니다. 순차적 쓰기는 성능 손실이 가장 높으며 순차적 읽기와 무작위 쓰기가 이어집니다. 임의의 판독은 성능 손실이 가장 낮습니다. 전반적으로 성과 페널티는 순차적 쓰기의 최대 79%가 될 수 있습니다.
삼. HDD로 디스크 암호화를 켜는 것이 안전합니까??
HDD로 디스크 암호화를 활성화하는 것은 일반적으로 안전하며 HCI 내에서도 CPU로드와 관련하여 많은 문제를 일으키지 않습니다 (하이퍼 변환 인프라). 그러나 암호화되지 않은 작동에 비해 상당한 처리량 및 IOP 손실이있을 수 있습니다.
4. 모든 플래시 시스템에 미치는 영향은 어떻습니까??
NVME (비 휘발성 메모리 익스프레스)에서 모든 플래시 시스템에서 성능 영향은 엄청날 수 있습니다. CPU 부하는 3 개의 루크 암호화 된 NVME SSD에도 완전히 포화 될 수 있습니다. 이로 인해 전력 소비가 증가하고 열 소산에 대한 도전이 발생합니다.
5. 모든 플래시 시스템의 성능 손실은 무엇입니까??
회전 디스크와 유사하게 모든 플래시 시스템에 대해 상당한 대역폭 및 IOP 손실이 있습니다. 다른 유형의 I/O 패턴에 대해 성과 페널티는 83%로 높을 수 있습니다. 32의 I/O 깊이는 이러한 손실을 크게 줄일 수 있습니다.
6. 암호화 가속기 카드가 CPU로드 문제를 완화하는 데 도움이 될 수 있습니다?
CPU의 암호화 작업을 오프로드 한 암호화 가속기 카드는 잠재적으로 CPU 부하를 줄이기위한 솔루션을 제공 할 수 있습니다. 이 카드는 높은 AES 처리량을 주장하며 dmcrypt와 같은 디스크 암호화 소프트웨어와 통합 할 수 있습니다.
7. 성능 및 보안 균형을 맞추기위한 권장 사항은 무엇입니까??
– HDDS의 경우 : 일반적으로 디스크 암호화를 활성화하는 것이 안전하지만 중요한 처리량 및 IOP 손실을 알고 있어야합니다.
– 모든 플래시 시스템의 경우 : 성능 영향은 엄청날 수 있으므로 신중한 평가가 필요합니다. I/O 깊이 32 사용을 고려하고 암호화 가속기 카드 사용을 탐색하십시오.
– 실제 성능 영향을 결정하려면 특정 구성 및 하드웨어 선택으로 추가 측정 및 테스트가 권장됩니다.
8. Ceph를 사용할 때 성능 영향이 다를 수 있습니다?
소프트웨어 정의 스토리지 시스템 인 Ceph를 사용할 때의 성능 영향은 다르고 개별 드라이브의 손실에 더 중점을 둘 수 있습니다. 그러나 CPU로드 문제는 여전히 남아 있습니다.
9. 성능 영향을 줄이기위한 잠재적 인 솔루션이 있습니까??
암호화 가속기 카드를 사용하고 특정 하드웨어 구성의 기능을 탐색하면 성능 영향을 완화하는 데 도움이됩니다.
10. 결론
인시던트 처리시 암호화 성능 및 보안 균형을 유지할 때는 저장 장치 유형, 특정 I/O 패턴 및 암호화 가속기 카드와 같은 솔루션의 가용성을 고려하는 것이 중요합니다. 성능 영향은 크게 다를 수 있으며 성능과 보안 간의 최적의 균형을 보장하려면 신중한 평가가 필요합니다.
사고 처리에서 암호화 성능 및 보안의 균형을 맞추는 방법
따라서 위의 비교에 따르면 Bitlocker 암호화를 사용하는 사용은 읽기 속도에 거의 영향을 미치지 않지만 쓰기 속도는 명백한 차이가 있음을 알 수 있습니다. 사용 습관을 바탕으로 8MB, 16MB 및 64MB의 읽기 및 쓰기 속도 데이터를 사용하여 간단한 비교를합니다.
루크를 사용한 디스크 암호화의 성능 영향
SCS 팀 컨테이너와 SCS 팀 IAA의 주간 회의 중에 서버에서 전체 디스크 암호화 (특히 Ceph와 같은 소프트웨어 정의 스토리지와 관련된)가 기본값이되어야하는지 여부에 대한 질문이 나타났습니다.
일반적으로 디스크 암호화를 활성화하는 것은 많은 사람들이 동의하는 좋은 것으로 간주 될 수 있지만, 특히 많은 드라이브를 암호화해야 할 때 데이터 센터 환경에서 개인 컴퓨팅 장치에서 FDE를 활성화하는 것 사이에는 차이가 있습니다.
표현 된 우려는 성능 영향이 엄청날 것이라는 점이었습니다. 그러나 그 영향이 얼마나 큰지 보여줄 실제 데이터가 없었기 때문에, 나는 당면한 문제를 파고 벤치 마크를 수행하기로 결정했습니다.
또한 자체 암호화 드라이브의 가용성을 통해 해당 기술의 실제 적용을 평가해야했습니다.
“거의” tl; dr
회전 디스크에 미치는 영향
벤치 마크는 회전 디스크의 암호화에 대한 추가 오버 헤드가 CPU로드 (적어도 NVME에 비해)와 관련하여 크지 않다는 것을 보여줍니다. 주로 드라이브와 컨트롤러가 제한 요인이기 때문입니다.
그래서 sas hdds (그들 중 24 명에 걸쳐)’T가 큰 CPU와의 큰. 그것’s는 여전히 측정 가능하지만 HCI 노드의 경우에도 영향이 크지 않아 암호화를 가능하게하는 것이 혼란 스러울 수 있습니다.
그러나 대역폭 및 IOP 손실은 상당히 크며 I/O 패턴에 따라 이어질 수 있습니다 79 % 성능 페널티. 순차적 인 쓰기로 최악의 성능 손실이 나타났습니다최대 79 %) 다음 순차 읽기 (최대 53 %)). 임의의 I/O 손실은 무작위 쓰기로 최악이었습니다 (최대 43 %) 그 다음에 무작위 읽기 (최대 26 %)). 일부 단일 벤치 마크에서는 암호화가없는 것보다 더 좋았습니다 5 배 더 빠릅니다 4 개의 KIB 순차적으로 RAID-0을 가로 질러. 이것은 아마도 최적화 된 I/O 대기열에 기인 할 수 있습니다.
추천: HCI 내에서도 CPU로드와 관련하여 많은 문제가 발생하지 않기 때문에 일반적으로 HDD로 디스크 암호화를 안전하게 켜면 안전하게 켜질 수 있습니다 . 그러나 처리량 및 IOP의 성과 페널티는 암호화되지 않은 작업에 비해 상당히 엄청날 수 있습니다.
모든 플래시에 영향을 미칩니다
NVME에서 모든 플래시 시스템은 부하 영향이 될 수 있습니다 거인 같은. 3 개의 루크에서 암호화 된 NVME SSD에 대한 RAID 0은 테스트 시스템 B에서 CPU를 완전히 포화시키기에 충분했습니다.
USR_CPU 및 SYS_CPU 값을 추가 할 때 FIO 데이터에 표시됩니다.
벤치 마크 실행 중에 Iostat 및 HTOP을 사용하여 시스템을 추가로 모니터링했으며 다음 HTOP 스크린 샷은 그 영향이 얼마나 큰지 보여줍니다.
그것은 모든 스레드/코어에서 100% CPU로드가있는 AMD epyc 7402p입니다!
이것은 전력 소비를 크게 증가시키고 HCI 노드의 경우 실행되는 다른 워크로드에 좋지 않을 것입니다.
전체 랙이 갑자기 이전보다 더 많은 열을 방출 할 때 열 소산도 어려울 수 있습니다. 노드의 전력 소비 증가 위에 냉각 비용은 최소한 나쁘다.
대역폭 및 IOP 손실도 상당히 크며 I/O 패턴에 따라 이어질 수 있습니다 83 % . I/O 깊이 32로 손실이 크게 줄어 듭니다. 암호화로 인한 최악의 성능 손실은 대부분의 경우 RAID-0으로 측정되었습니다.
최악의 I/O 유형에 의해 정렬 된 성능 손실은 무작위 쓰기입니다 (최대 83 %), 순차적 쓰기 (최대 83 %), 순차적 읽기 (최대 81 %) 그리고 마지막으로 임의의 읽기 (최대 80 %)).
이 모든 최악의 값은 I/O 깊이 32없이 RAID-0을 가로 질러 I/O 크기 1 및 4 MIB를 사용했습니다. 그러나이 모든 최악의 값이 5 %이내에 있음을 분명히 알 수 있으므로 I/O 크기는 Luks 및 MD Raid와 함께 드라이브가 아닙니다.
주의: 그것’MD Raid의 성능을 Ceph OSDS와 비교하기가 어렵습니다!
Ceph를 사용할 때의 성능 영향은 완전히 다를 수 있으며 아마도 개별 드라이브의 손실에 더 지향적 일 것입니다. 그러나 CPU로드 문제는 여전히 남아 있습니다.
CPU로드와 관련하여 : 약 200Gbps AES 처리량을 주장하고 커널 모듈을 통해 DMCrypt와 통합 할 수있는 암호화 가속기 카드가 있습니다.
이 카드는 그렇습니다’t 테스트에 사용할 수 있지만 중고 시장의 가격으로 판단 할 수 있습니다 (I Didn’공식 가격 목록을 찾으십시오) 그러한 카드와 전력 소비 사양에 대해 합리적인 가격대에서 CPU의 암호화 작업을 오프로드 할 수있는 솔루션을 제공 할 수 있습니다.
추천: 전력 소비 및 암호화 가속기에 관한 추가 측정을 수행 할 수 있습니다. 또한 Linux MD Raid와 비교하여 손실을 비교하려면 모든 플래시에서 실제 Ceph 클러스터로 테스트해야합니다.
모든 공급자는 자체 구성 및 하드웨어 선택에 따라이를 별도로 평가해야합니다.
현재 가속기가없는 성능 영향은 너무 커서 일반적으로 NVME에 루크를 활성화하는 것이 좋습니다.
자체 암호화 드라이브 사용과 관련하여 :
사용하는 암호로 암호화를 활성화 할 수있었습니다
Linux에서 Sedutil. 성능 영향은 측정 오류 내에 있었으므로 기본적으로 존재하지 않습니다. 저것’아래의 섹션에서 왜 그렇게하지 않았습니다’t 차트 생성 귀찮음 – 결과는 일반 작동과 너무 비슷합니다 (예상대로).
불행히도 현재 상태의 툴링은 사용하기가 번거롭고 NBDE 설정에 통합하기위한 스크립트를 작성해야합니다.
(하지만 너무 많은 해킹 없이는 가능할 것입니다!))
그러나 그럼에도 불구하고 기술적으로 작업 및 성능 영향은 거의 0에 가깝습니다. 특히 클라우드 환경에서 서버에서 해당 기술을 사용하기위한 심각한 쇼 토퍼를 만났습니다
시스템에 전원을 공급하거나 드라이브를 수동으로 잠그고 재부팅 한 후, 시스템 펌웨어는 포스트 중에 중지되어 각 드라이브에 대한 암호를 요청했습니다.
Supermicro Server 테스트 시스템에서 BIOS/UEFI에서 해당 기술이 재부팅되지 않아 서버 환경에서는 사용할 수없는 방법을 비활성화 할 방법을 찾지 못했습니다. 더 나쁘다 암호를 입력하려고 할 때에도’t 허용. 그래서 Sedutil을 저장하는 방식은 패스 프레이즈를 저장하는 방식은 펌웨어가하는 것과 다릅니다?
추천: 툴링을 연마하고 문서화가 크게 개선되어야합니다. 도구에 대한 문서는 일반 시스템 관리자에게 매우 혼란스럽고 운영자 오류로 쉽게 이어질 수 있습니다.
또한 현재 BIOS/UEFI 문제로 인해 아직 기술을 권장 할 수 없습니다.
공급 업체가 특정 드라이브의 암호를 요청할 수있는 방법을 제공하는 경우 재부팅 할 때 수동 연산자 개입없이 DC 환경에서 SED를 사용할 수 있습니다.
이것은 tl; dr 섹션을 마무리합니다.
더 이상 고민하지 않고’세부 사항을 파헤칩니다.
테스트 설정
두 가지 다른 테스트 시스템이 사용되었습니다. 테스트를 위해 전용 시스템을 구축/조달 할 수 없었기 때문에 쉽게 사용할 수있는 두 개의 기계를 사용했습니다.
이것의 사양은 다음과 같습니다
테스트 시스템 A : SAS HDD 만
CPU 2 X Intel (R) Xeon (R) 골드 6151 CPU @ 3.00GHZ RAM 512 GB 드라이브 24 x HGST HUC101818CS4200 10K RPM 1.8 TB
테스트 시스템 B : NVME 모든 플래시 전용
CPU 1 X AMD EPYC 7402P RAM 512 GB (16 x 32GB Samsung Rdimm DDR4-3200 CL22-22-22 Reg ECC) 드라이브 3 X 삼성 MZQLB3T8HALS-00007 SSD PM983 3.84TB u.2
벤치 마크 사양
두 시스템에서 일부 사용자 정의 스크립트를 사용하여 FIO로 일련의 벤치 마크를 수행했습니다.
다음 블록 크기를 테스트하기로 결정했습니다. I/O가 어떤 종류의 부하를 유발할 수 있는지에 대한 통찰력을 제공 할 수 있기 때문입니다
- 4 키브
- 64 키브
- 1 MIB
- 4 MIB (기본 객체/”줄무늬” Ceph RBD의 크기)
- 16 MIB
- 64 MIB
다음과 같은 FIO 테스트가 수행되었습니다
- 순차적 읽기
- 순차적 인 글
- 무작위 읽기
- 무작위 쓰기
옵션이 포함되어 있습니다 -디렉터 및 또한 -iodepth = 32 옵션과 Libaio 사용으로 반복됩니다.
이러한 벤치 마크는 다음을 위해 수행되었습니다
- 원시 저장 장치는 암호화없이 직접 직접.g. 하나의 SAS 디스크, 모든 NVME SSD)
- 암호화가있는 원시 저장 장치
- 암호화없이 모든 장치에서 Linux MD Raid 0
- 기본 장치의 암호화가있는 모든 장치에서 Linux MD RAID 0
- SED 유능한 드라이브가 항상 내부 키로 모든 데이터를 암호화한다는 사실 때문에 SED 유능한 드라이브 (Test System B) 만 켜진 상태.
따라서 SED가 마스터 키를 암호화하여 소프트웨어 또는 전력 손실로 인해 드라이브를 잠그면 암호 해독이 필요합니다.
(단순화, 세부 사항은 Opal 2와 같은 사양에서 찾을 수 있습니다.0)
NVME 및 SAS OSDS를 모두 제공하는 적절한 테스트 설정을 사용할 수 없었기 때문에 Ceph 자체를 벤치마킹했습니다. 그러나 Ceph 암호화를 활성화하는 것은 Luks 암호화 된 OSDS를 사용하고 있으므로 결과는 그럼에도 불구하고 유용해야합니다.
FIO 벤치 마크 스크립트
자신의 벤치 마크를 실행하려는 경우 데이터를 생성하는 데 사용 된 스크립트가 있습니다
틀!/bin/bash logpath="$ 1" Bench_device="$ 2" mkdir -피 $ logpath ioengine="Libaio" 날짜=`날짜 +%에스` ~을 위한 RW ~에 "쓰다" "Randwrite" "읽다" "Randread" ~를 위해하다 BS ~에 "4K" "64K" "1m" "4m" "16m" "64m" 하다 ( 에코 "===== $ rw - $ bs - direct === nb "> echo 삼 > /proc/sys/vm/drop_caches fio --RW=$ rw --ioengine=$ioengine> --크기=400g --BS=$ bs --직접=1 --실행 시간=60 --time_based --=벤치 --파일 이름=$ bench_device --산출=$ logpath/$ rw.$BS>-직접-`베이스 이름 $ bench_device`.$ 날짜.통나무.JSON --출력 형식=JSON 동기화 에코 삼 > /proc/sys/vm/drop_caches 에코 "===== $ rw - $ bs - 직접 iodepth 32 === nt ">-rw=$ rw --ioengine=$ioengine> --크기=400g --BS=$ bs --요오드=32 --직접=1 --실행 시간=60 --time_based --이름=벤치 --파일 이름=$ bench_device --산출=$ logpath/$ rw.$BS>-직접 iod32-`베이스 이름 $ bench_device`.$ 날짜.통나무.JSON --출력 형식=JSON 동조 )) | 티 $ logpath/$ rw.$ bs-`베이스 이름 $ bench_device`.$ 날짜.통나무 에코 완료되었습니다
스크립트는 두 가지 매개 변수를 기대합니다
- 먼저 로그 파일을 저장하는 경로 (존재하지 않으면 경로가 생성됩니다)
- 두 번째 인수는 벤치 마크를 실행하는 장치입니다
스크립트는 JSON 형식의 일련의 로그 파일을 생성 한 다음 선택한 툴링으로 분석 할 수 있습니다.
기준선은 알고리즘 성능
두 시스템에서 먼저 알고리즘 처리량의 일반적인 벤치마킹을 수행하는 CryptSetup 벤치 마크를 실행했습니다. 이것은 처리량에 관한 최상의 luks 구성을 얻기 위해 수행되었습니다.
테스트 시스템 A의 결과는 다음과 같습니다
PBKDF2-SHA1 1370687 256 비트 키 PBKDF2-SHA256 1756408 초당 256 비트 키 PBKDF2-SHA512 1281877 ITERATION 256 비트 키 PBKDF2-RIPEMD160 7172220 ITERATIONS 256-256-2 등 256- 256 비트 키 Argon2I 5 반복, 1048576 메모리, 4 개의 병렬 스레드 (CPU) 256 비트 키 (요청 된 2000ms 시간) Argon2ID 5 반복, 1048576 메모리, 4 개의 병렬 스레드 (CPU) 256-BIT 키 (요청 된 2000 ms 시간) # Algorithm | Algorithm | 키 | 암호화 | 암호 해독 AES-CBC 128B 904.3 MIB/S 2485.1 MIB/S Serpent-CBC 128B 78.8 MIB/S 577.4 MIB/S Twofish-CBC 128B 175.9 MIB/S 319.7 MIB/S AES-CBC 256B 695.8 MIB/S 2059.4 MIB/S Serpent-CBC 256B 78.8 MIB/S 577.4 MIB/S Twofish-CBC 256B 175.9 MIB/S 319.6 MIB/S AES-XTS 256B 2351.5 MIB/S 2348.7 MIB/S Serpent-Xts 256B 560.1 MIB/S 571.4 MIB/S Twofish-Xts 256B 316.7 MIB/S 316.1 MIB/S AES-XTS 512B 1983.0 MIB/S 1979.6 MIB/S Serpent-Xts 512b 560.5 MIB/S 571.3 MIB/S Twofish-Xts 512b 316.5 MIB/S 315.7 MIB/s
보시다시피 AES-XTS 256 비트가 가장 잘 수행되었으므로 LUKS 형식의 장치를 만들 때 -C AES-XTS-Plain64 -S 256을 매개 변수로 선택했으며 많은 최신 분포의 기본값이기도합니다. 하지만 안전한쪽에 있으려면 명시 적으로 지정했습니다.
이제하자’S 단일 디스크 및 RAID-0의 FIO 결과를 살펴 봅니다.
읽기 대역폭 비교
이전 다음
주의 : 스케일은 로그입니다!
성능 손실은 대역폭을 읽습니다
장치 | 4 KIB % 손실 | 64 kib % 손실 | 1 MIB % 손실 | 4 MIB % 손실 | 16 MIB % 손실 | 64 MIB % 손실 |
---|---|---|---|---|---|---|
SAS RAID-0 | 10,82 % | 32,48 % | 47,36 % | 52,95 % | 36,26 % | 3,86 % |
SAS HDD | 23,86 % | -0,06 % | -0,02 % | 0,01 % | -0,05 % | -0,08 % |
NVME RAID-0 | 45,53 % | 70,13 % | 77,05 % | 80,61 % | 67,65 % | 55,88 % |
NVME | 44,42 % | 71,76 % | 67,46 % | 70,75 % | 63,21 % | 53,24 % |
SAS RAID-0 iodepth = 32 | 6,81 % | 13,71 % | 4,92 % | 2,66 % | 9,81 % | 23,52 % |
SAS HDD iodepth = 32 | 14,75 % | -0,65 % | -0,03 % | -0,03 % | 0,21 % | 0,13 % |
NVME RAID-0 iodepth = 32 | 40,99 % | 60,02 % | 51,61 % | 49,68 % | 48,62 % | 48,62 % |
nvme iodepth = 32 | 40,64 % | 21,57 % | 1,89 % | 1,89 % | 1,98 % | 2,43 % |
쓰기 대역폭 비교
이전 다음
주의 : 스케일은 로그입니다!
성능 손실은 대역폭을 작성합니다
장치 | 4 KIB % 손실 | 64 kib % 손실 | 1 MIB % 손실 | 4 MIB % 손실 | 16 MIB % 손실 | 64 MIB % 손실 |
---|---|---|---|---|---|---|
SAS RAID-0 | -499,50 % | 11,31 % | 31,52 % | 34,98 % | 28,53 % | 49,55 % |
SAS HDD | -59,93 % | -1,32 % | 0,05 % | 10,11 % | 12,43 % | 10,18 % |
NVME RAID-0 | 51,45 % | 71,81 % | 82,63 % | 82,36 % | 69,05 % | 44,83 % |
NVME | 56,11 % | 70,36 % | 76,52 % | 66,25 % | 47,66 % | 27,29 % |
SAS RAID-0 iodepth = 32 | -96,72 % | 6,58 % | 74,51 % | 78,72 % | 55,36 % | 28,17 % |
SAS HDD iodepth = 32 | 21,05 % | 0,04 % | 0,10 % | 2,43 % | 1,13 % | 0,59 % |
NVME RAID-0 iodepth = 32 | 28,16 % | 45,96 % | 24,97 % | 15,79 % | 14,24 % | 14,08 % |
nvme iodepth = 32 | 25,36 % | 5,14 % | 0,10 % | 0,28 % | 1,34 % | 1,09 % |
무작위 읽기 대역폭 비교
이전 다음
주의 : 스케일은 로그입니다!
성능 손실 무작위 읽기 대역폭
장치 | 4 KIB % 손실 | 64 kib % 손실 | 1 MIB % 손실 | 4 MIB % 손실 | 16 MIB % 손실 | 64 MIB % 손실 |
---|---|---|---|---|---|---|
SAS RAID-0 | 25,82 % | 0,68 % | 5,07 % | 5,01 % | 1,41 % | 6,52 % |
SAS HDD | -0,13 % | 1,14 % | 8,37 % | 6,49 % | 2,09 % | 2,27 % |
NVME RAID-0 | 16,07 % | 28,12 % | 75,55 % | 79,59 % | 68,01 % | 57,02 % |
NVME | 17,70 % | 17,95 % | 74,13 % | 70,29 % | 65,40 % | 55,81 % |
SAS RAID-0 iodepth = 32 | 0,30 % | -2,29 % | -3,12 % | -10,31 % | -0,86 % | 4,27 % |
SAS HDD iodepth = 32 | 1,94 % | -0,09 % | -1,43 % | -0,37 % | 0,41 % | 0,33 % |
NVME RAID-0 iodepth = 32 | 39,76 % | 50,71 % | 50,76 % | 48,91 % | 48,58 % | 48,48 % |
nvme iodepth = 32 | 44,52 % | 13,26 % | 2,84 % | 2,23 % | 2,38 % | 3,05 % |
무작위 쓰기 대역폭 비교
이전 다음
주의 : 스케일은 로그입니다!
성능 손실 무작위 쓰기 대역폭
장치 | 4 KIB % 손실 | 64 kib % 손실 | 1 MIB % 손실 | 4 MIB % 손실 | 16 MIB % 손실 | 64 MIB % 손실 |
---|---|---|---|---|---|---|
SAS RAID-0 | -21,21 % | 0,45 % | 27,20 % | 25,34 % | 34,89 % | 43,14 % |
SAS HDD | -6,72 % | 6,91 % | 11,24 % | 19,57 % | 12,97 % | 9,49 % |
NVME RAID-0 | 54,45 % | 72,75 % | 83,56 % | 81,83 % | 60,73 % | 32,43 % |
NVME | 53,20 % | 73,91 % | 76,44 % | 61,98 % | 50,27 % | 27,10 % |
SAS RAID-0 iodepth = 32 | -0,23 % | 0,38 % | 20,77 % | 18,22 % | 15,83 % | 19,05 % |
SAS HDD iodepth = 32 | 2,17 % | -9,64 % | 4,78 % | 4,98 % | 2,51 % | 2,56 % |
NVME RAID-0 iodepth = 32 | 21,03 % | 37,76 % | 21,16 % | 12,26 % | 13,00 % | 13,06 % |
nvme iodepth = 32 | 22,75 % | 8,13 % | 5,57 % | 2,78 % | 4,58 % | 3,51 % |
읽기 IOPS 비교
이전 다음
주의 : 스케일은 로그입니다!
성능 손실은 IOP를 읽습니다
장치 | 4 KIB % 손실 | 64 kib % 손실 | 1 MIB % 손실 | 4 MIB % 손실 | 16 MIB % 손실 | 64 MIB % 손실 |
---|---|---|---|---|---|---|
SAS RAID-0 | 10,82 % | 32,48 % | 47,36 % | 52,95 % | 36,26 % | 3,86 % |
SAS HDD | 23,86 % | -0,06 % | -0,02 % | 0,01 % | -0,05 % | -0,08 % |
NVME RAID-0 | 45,53 % | 70,13 % | 77,05 % | 80,61 % | 67,65 % | 55,88 % |
NVME | 44,42 % | 71,76 % | 67,46 % | 70,75 % | 63,21 % | 53,24 % |
SAS RAID-0 iodepth = 32 | 6,81 % | 13,71 % | 4,92 % | 2,66 % | 9,81 % | 23,52 % |
SAS HDD iodepth = 32 | 14,75 % | -0,65 % | -0,03 % | -0,03 % | 0,21 % | 0,13 % |
NVME RAID-0 iodepth = 32 | 40,99 % | 60,02 % | 51,61 % | 49,68 % | 48,62 % | 48,62 % |
nvme iodepth = 32 | 40,64 % | 21,57 % | 1,89 % | 1,89 % | 1,98 % | 2,43 % |
쓰기 IOPS 비교
이전 다음
주의 : 스케일은 로그입니다!
성능 손실은 IOPS를 작성합니다
장치 | 4 KIB % 손실 | 64 kib % 손실 | 1 MIB % 손실 | 4 MIB % 손실 | 16 MIB % 손실 | 64 MIB % 손실 |
---|---|---|---|---|---|---|
SAS RAID-0 | -499,50 % | 11,31 % | 31,52 % | 34,98 % | 28,53 % | 49,55 % |
SAS HDD | -59,93 % | -1,32 % | 0,05 % | 10,11 % | 12,43 % | 10,18 % |
NVME RAID-0 | 51,45 % | 71,81 % | 82,63 % | 82,36 % | 69,05 % | 44,83 % |
NVME | 56,11 % | 70,36 % | 76,52 % | 66,25 % | 47,66 % | 27,29 % |
SAS RAID-0 iodepth = 32 | -96,72 % | 6,58 % | 74,51 % | 78,72 % | 55,36 % | 28,17 % |
SAS HDD iodepth = 32 | 21,05 % | 0,04 % | 0,10 % | 2,43 % | 1,13 % | 0,59 % |
NVME RAID-0 iodepth = 32 | 28,16 % | 45,96 % | 24,97 % | 15,79 % | 14,24 % | 14,08 % |
nvme iodepth = 32 | 25,36 % | 5,14 % | 0,10 % | 0,28 % | 1,34 % | 1,09 % |
무작위 읽기 IOPS 비교
이전 다음
주의 : 스케일은 로그입니다!
성능 손실 무작위 읽기 IOP
장치 | 4 KIB % 손실 | 64 kib % 손실 | 1 MIB % 손실 | 4 MIB % 손실 | 16 MIB % 손실 | 64 MIB % 손실 |
---|---|---|---|---|---|---|
SAS RAID-0 | 25,82 % | 0,68 % | 5,07 % | 5,01 % | 1,41 % | 6,52 % |
SAS HDD | -0,13 % | 1,14 % | 8,37 % | 6,49 % | 2,09 % | 2,27 % |
NVME RAID-0 | 16,07 % | 28,12 % | 75,55 % | 79,59 % | 68,01 % | 57,02 % |
NVME | 17,70 % | 17,95 % | 74,13 % | 70,29 % | 65,40 % | 55,81 % |
SAS RAID-0 iodepth = 32 | 0,30 % | -2,29 % | -3,12 % | -10,31 % | -0,86 % | 4,27 % |
SAS HDD iodepth = 32 | 1,94 % | -0,09 % | -1,43 % | -0,37 % | 0,41 % | 0,33 % |
NVME RAID-0 iodepth = 32 | 39,76 % | 50,71 % | 50,76 % | 48,91 % | 48,58 % | 48,48 % |
nvme iodepth = 32 | 44,52 % | 13,26 % | 2,84 % | 2,23 % | 2,38 % | 3,05 % |
무작위 쓰기 IOPS 비교
이전 다음
주의 : 스케일은 로그입니다!
성능 손실 무작위 쓰기 IOP
장치 | 4 KIB % 손실 | 64 kib % 손실 | 1 MIB % 손실 | 4 MIB % 손실 | 16 MIB % 손실 | 64 MIB % 손실 |
---|---|---|---|---|---|---|
SAS RAID-0 | -21,21 % | 0,45 % | 27,20 % | 25,34 % | 34,89 % | 43,14 % |
SAS HDD | -6,72 % | 6,91 % | 11,24 % | 19,57 % | 12,97 % | 9,49 % |
NVME RAID-0 | 54,45 % | 72,75 % | 83,56 % | 81,83 % | 60,73 % | 32,43 % |
NVME | 53,20 % | 73,91 % | 76,44 % | 61,98 % | 50,27 % | 27,10 % |
SAS RAID-0 iodepth = 32 | -0,23 % | 0,38 % | 20,77 % | 18,22 % | 15,83 % | 19,05 % |
SAS HDD iodepth = 32 | 2,17 % | -9,64 % | 4,78 % | 4,98 % | 2,51 % | 2,56 % |
NVME RAID-0 iodepth = 32 | 21,03 % | 37,76 % | 21,16 % | 12,26 % | 13,00 % | 13,06 % |
nvme iodepth = 32 | 22,75 % | 8,13 % | 5,57 % | 2,78 % | 4,58 % | 3,51 % |
결론
최신 CPU는 AES-NI 지침을 통해 AES 가속도를 제공하지만, 특히 NVME 드라이브를 사용할 때 전반적인 성능 페널티는 너무 커서 어디에서나 켜는 것이 좋습니다.
자체 암호화는 기술적으로 작동하지만 주변의 툴링은 아직 초기 단계에 있으며 서버 제조업체가 펌웨어에 필요한 옵션을 통합하고 Linux에서 SED를 관리하는 데 필요한 옵션을 문서화 및 사용자 친선감을 크게 향상시킬 때까지 DC 환경에서 사용하기에 적합하지 않습니다.
SEDS는 또한 드라이브 제조업체가 암호화를 올바르게 구현하고’t 백도어를 추가하십시오. 최근의 역사는 이것이 사실임을 보여 주었다’t는 항상 (소비자 등급이지만) ssds disn으로 항상 그렇습니다’t 데이터를 전혀 암호화하고 심지어 암호를 알지 못하고 액세스 할 수 있습니다.
(이것은 e의 문제였습니다.g. 마이크로 소프트’S Bitlocker는 암호화를 수행하기 위해 드라이브에 의존하며 Afaik은 Microsoft에 의해 수정되었습니다.))
암호화 가속기는 여기서 솔루션이 될 수 있지만’d 요즘 암호화이기 때문에 기술이 서버에 직접 포함 된 기술이 직접적으로 포함되어 있다는 것을 알게되어 기쁩니다.
이 블로그 게시물을 읽어 주셔서 감사합니다!
저자에 대해
Paul-Philipp Kuschy
선임 DevOps 엔지니어 -Ceph 및 OpenStack @ Osism Gmbh
Paul은 Ceph 및 ZFS에 중점을 둔 소프트웨어 정의 스토리지 솔루션을 전문으로하는 선임 DevOps 엔지니어입니다. 디지털 미디어 및 미디어 제작을 중심으로 소규모 비즈니스에서 시스템 관리자 및 소프트웨어 개발자로 일한 후 Strato AG 및 Noris Network AG와 같은 ISP의 시스템 엔지니어로 일했습니다. 그가 Ceph, OpenStack 및 HPC 클러스터 솔루션에서 작업하지 않을 때는 여가 시간을 기타를 연주하고 오디오 녹음 및 믹싱 기술을 정제하고 밴드 및/또는 이벤트를위한 가벼운 쇼를 디자인하고 비디오 및 사진 촬영을위한 Gaffer로 작업하고 모든 종류의 전자 장치와 함께 땜질합니다.
사고 처리에서 암호화 성능 및 보안의 균형을 맞추는 방법?
поль зултесь знаниями сооб щества. экспер 탈바자 добавля яю 방법 Ва 익 딘 сведения В эту 관어 관어 관어 관어 관어  соз  соз данну сппорелелерессссссс 그리고보고합니다. Вж момете делать то же самое.
это статья нового 신자. а · э э сперты улучш Â th rее, делясь своими мыслями напр충.
если вл Â хотите внести свой свой вклад, запросите приглашение, отетив статататака 법적 повреа엽. подроб 변태
27 апр에서 마지막으로 업데이트되었습니다. 2023 г.
암호화는 민감한 데이터를 보호하고 사고 처리 중 무단 액세스를 방지하는 데 중요한 도구입니다. 그러나 암호화는 트레이드 오프와 함께 제공됩니다. 시스템 및 네트워크의 성능과 속도에 영향을 줄 수 있습니다. 사고 처리에서 암호화 성능 및 보안의 균형을 맞추는 방법? 다음은 보안 목표를 손상시키지 않고 암호화 전략을 최적화하는 데 도움이되는 몇 가지 팁과 모범 사례입니다.
помогите другим TRE, рассска подроб 변은 (не ме нее 125 символов) отена
добавить сохранить
올바른 암호화 방법을 선택하십시오
성능 및 보안 측면에서 다른 장점과 단점이있는 대칭, 비대칭 및 하이브리드와 같은 다양한 유형의 암호화 방법이 있습니다. 대칭 암호화는 동일한 키를 사용하여 데이터를 암호화 및 해독하여 데이터를 더 빠르고 간단하지만 안전한 키 관리 및 배포가 필요합니다. 비대칭 암호화는 암호화 및 암호 해독에 다른 키를 사용하여보다 안전하고 확장 가능하지만 느리고 복잡합니다. 하이브리드 암호화는 성능 및 보안의 균형을 제공하지만 더 많은 오버 헤드와 복잡성을 추가하는 데이터 암호화에 대한 비대칭 암호화 및 대칭 암호화를 사용하여 두 방법을 결합합니다. 사고 처리 시나리오에 따라 필요와 제약에 가장 적합한 암호화 방법을 선택해야합니다.
помогите другим TRE, рассска подроб 변은 (не ме нее 125 символов) отена
добавить сохранить
암호화 레벨을 조정하십시오
암호화 성능 및 보안에 영향을 미치는 또 다른 요인은 암호화 수준이며 암호화 알고리즘 및 키의 강도와 복잡성을 나타냅니다. 암호화 수준이 높을수록 암호화가 더 안전 할뿐만 아니라 더 많은 계산 자원과 시간이 필요합니다. 암호화 수준이 낮을수록 암호화가 빠르고 공격에 더 취약합니다. 따라서 암호화하는 데이터의 감도와 중요성과 직면 한 잠재적 위험 및 위협에 따라 암호화 수준을 조정해야합니다. 예를 들어, 개인 또는 기밀 정보가 포함 된 데이터에 대한 암호화 수준이 높고 덜 중요하거나 임시적인 데이터의 암호화 수준이 낮을 수 있습니다.
помогите другим TRE, рассска подроб 변은 (не ме нее 125 символов) отена
добавить сохранить
하드웨어 가속도를 사용하십시오
암호화 성능 및 보안을 향상시키는 한 가지 방법은 하드웨어 가속을 사용하는 것입니다. 즉, 전용 하드웨어 장치 또는 구성 요소를 사용하여 소프트웨어 또는 일반 목적 프로세서에 의존하는 대신 암호화 작업을 수행하는 것을 의미합니다. 하드웨어 가속도는 더 빠르고 효율적인 암호화를 제공 할 수있을뿐만 아니라 시스템 및 네트워크의 부하 및 오버 헤드를 줄일 수 있습니다. 하드웨어 가속도는 소프트웨어 취약점 또는 메모리 누출을 이용하는 일부 공격을 방지하거나 완화 할 수 있으므로 암호화의 보안을 향상시킬 수 있습니다. 그러나 하드웨어 가속도에는 비용이 높아지고 호환성 문제 및 유지 보수 문제와 같은 몇 가지 단점이 있습니다. 따라서 암호화 요구에 대한 하드웨어 가속 사용의 이점과 비용을 평가해야합니다.
помогите другим TRE, рассска подроб 변은 (не ме нее 125 символов) отена
добавить сохранить
암호화를 모니터링하고 테스트하십시오
마지막으로, 인시던트 처리 프로세스의 일부로 정기적으로 지속적으로 암호화 성능 및 보안을 모니터링하고 테스트해야합니다. 모니터링 및 테스트는 오류, 실패, 병목 현상 또는 위반과 같은 암호화에 영향을 줄 수있는 문제 또는 문제를 식별하고 해결하는 데 도움이 될 수 있습니다. 모니터링 및 테스트는 암호화 방법, 레벨 및 장치의 결과 및 결과를 측정하고 비교할 수 있으므로 암호화 전략을 평가하고 개선하는 데 도움이 될 수 있습니다. 다양한 도구와 기술을 사용하여 로그, 메트릭, 벤치 마크, 감사 또는 시뮬레이션과 같은 암호화를 모니터링하고 테스트 할 수 있습니다. 또한 보안 프로토콜 사용, 데이터의 무결성 및 진정성 확인 및 결과 및 조치를보고하고 문서화하는 등 암호화 모니터링 및 테스트에 대한 모범 사례 및 표준을 따라야합니다.
помогите другим TRE, рассска подроб 변은 (не ме нее 125 символов) отена
добавить сохранить
여기’다른 고려해야 할 사항
이것은 돈, 이야기 또는 통찰력을 공유 할 수있는 공간입니다’t 이전 섹션에 적합합니다. 또 무엇을 추가하고 싶습니까??
암호화로 인해 성능이 줄어 듭니다?
데이터베이스를 암호화하여 Ultralite에 저장된 정보의 보안을 높일 수 있습니다. 그러나 결과적으로 5-10% 사이의 오버 헤드가 증가하여 성능이 감소합니다. 성능에 대한 정확한 영향은 캐시의 크기에 따라 다릅니다. 캐시가 너무 작 으면 암호화가 상당한 오버 헤드를 추가 할 수 있습니다. 그러나 캐시가 충분히 크면 차이가 전혀 나타나지 않을 수 있습니다. 시나리오의 최적 캐시 크기가 무엇인지 결정하려면 벤치 마크 테스트로 데이터베이스 성능을 그래프로 만들 수 있습니다.
캐시 스트레스
다른 캐시 크기 테스트를 벤치마킹하고 갑자기 변화하는 성능을 감시 할 수 있습니다. 캐시는 좋은 작업 페이지 세트를 갖기에 충분히 커야합니다. 캐시를 강조하는 데 도움이되는 다음 아이디어를 고려하십시오
- 테이블에 여러 인덱스를 생성하고 외래 키 추가.
- 행을 무작위로 삽입 (인덱스 순서 이외의 것).
- 데이터베이스 페이지 크기의 25% 이상 큰 행을 만듭니다.
- 인덱스 해시를 0 이외의 다른 것으로 설정하십시오. 이 크기 증가는 또한 필요한 페이지 액세스를 증가시킵니다.
- 가장 작은 캐시 크기를 기반으로 성능을 그래프로 시작하십시오. 예를 들어, Windows NT의 256 KB (이 플랫폼의 가장 작은 허용 캐시) 또는 다른 모든 플랫폼에서 64kb.
캐시를 늘리면 암호화 된 데이터베이스의 성능이 향상되지 않으면 데이터를 암호화하는 대신 데이터를 난독 화하는 것을 고려하십시오. 난독 화는 더 나은 성능을 제공하면서도 여전히 보안 이점을 제공 할 수 있습니다. 난독 화 알고리즘은 강한 암호화에 비해 코드를 적게 사용하고 계산을 적게 수행합니다. 간단한 암호화 성능은 암호화가 전혀없는 것보다 약간 느려져야합니다. 그러나 보안 요구 사항은 궁극적으로 강력한 암호화를 사용하기로 선택했는지 여부를 결정해야합니다.
또한보십시오
- 초저 성능 및 최적화
- Ultralite Page_Size 제작 매개 변수
- Ultralite FIPS 생성 매개 변수
- Ultralite Cache_Size 연결 매개 변수
- Ultralite 생성 색인 명령문
DoccommentXchange 에서이 페이지를 논의하십시오. 이메일을 사용 하여이 페이지에 대한 피드백을 보내십시오. | Copyright © 2009, Ianywhere Solutions, Inc. – SQL 어디에서나 11.0.1 |
Bitlocker 암호화가 디스크 성능에 영향을 미칩니다?
사람들은 Bitlocker를 사용하여 디스크 파티션을 보안하는 경향이 있습니다. 다른 사람들이 Windows PE 환경에 입력하여 오프라인으로 컴퓨터에 들어가는 부트 디스크를 만들어도 쓸모가 없습니다. 그러나 누군가가 Bitlocker 충격 컴퓨터 디스크 성능. 그래서 나는 다른 암호화 방법에서 쓰기를 테스트하고 속도를 읽을 것입니다.
과거와는 다른 Microsoft는 Windows 10 TH2를 시작한 후 XTS-AES 암호화 알고리즘을 사용합니다. 총 4 가지 암호화 방법이 있습니다
- 1. XTS-AES 128 비트 (기본값);
- 2. XTS-AES 256 비트;
- 삼. AES-CBC 128 비트;
- 4. AES-CBC 256 비트.
비밀 키가 길수록 보안이 많을수록 공격하기가 더 어렵습니다. 그러나 비밀 키가 더 길면 데이터를 암호화하거나 해독하는 데 더 많은 시간이 걸립니다. 기본적으로 확장을 통해 Bitlocker 암호화 방법을 변경할 수 있습니다 컴퓨터 구성 > 관리 템플릿 Windows 구성 요소 Bitlocker 드라이브 암호화. 오른쪽 패널에서 “드라이브 암호화 방법 및 암호 강도를 선택하십시오“그리고 브래킷 설명을 통해 올바른 것을 찾으십시오. 따라서 특정 사용 및 방향에 대한 정보 설명을 참조 할 수 있습니다.
테스트 1
테스트 환경
비밀번호 또는 스마트 카드를 사용하여 Windows 10에서 Bitlocker 잠금을 해제 할 수 있습니다. 디스크를 암호화하기 위해 암호를 사용하기로 결정했습니다. 테스트 도구 : Atto 디스크 벤치 마크를 사용하여 디스크 D를 테스트합니다.이 디스크에 설치된 응용 프로그램이 아니기 때문에 테스트하는 동안 읽기 또는 쓰기 작업이 없습니다.
HDD : 1TB 용량과 7200rpm의 Seagate Barracuda, 특정 유형은 ST1000DM010, 64MB 캐시입니다.
프로세서 : Intel Pentium CPU G4400, 듀얼 코어 듀얼 스레드, 3MB 캐시, 3시에 클럭.3GHz. CPU의 사양에는 AES 새로운 지침을 지원하는 기술이 나와 있습니다.
Windows 시스템 : Windows 10 Enterprise, 64 비트, 1709 버전.
테스트 결과
나는 각각 다른 암호화 방법과 암호 강도의 전송 속도를 사용하여 암호화 없음의 전달 속도와 비교합니다.
따라서 위의 비교에 따르면 Bitlocker 암호화를 사용하는 사용은 읽기 속도에 거의 영향을 미치지 않지만 쓰기 속도는 명백한 차이가 있음을 알 수 있습니다. 사용 습관을 바탕으로 8MB, 16MB 및 64MB의 읽기 및 쓰기 속도 데이터를 사용하여 간단한 비교를합니다.
1. 성능을 읽고 쓰기
2. 성능 손실 읽기/쓰기
테스트 2
테스트 환경
테스트 도구 : 이번에는 디스크 E를 테스트하기 위해 Atto 디스크 벤치 마크를 사용합니다.
SSD : 240g 스토리지 용량을 갖춘 Toshiba Q200EX, SATA3 포트.
프로세서 : 인텔 코어 i5-2430m CPU 주파수 2.40GHz, 가장 큰 터보 주파수는 3입니다.0G, 듀얼 코어 4 스레드, 3MB 캐시.
Windows 시스템 : Windows 10 Enterprise 64 비트 운영 체제, 1703 버전.
테스트 결과
우리는 성능을 다른 암호화 방법과 암호 강점과 비교해야합니다.
이제 8MB, 16MB 및 64MB의 읽기 및 쓰기 속도 데이터를 사용하여 간단한 비교를하십시오.
1. 성능을 읽고 쓰기
2. 성능 손실 읽기/쓰기
결론
테스트 1의 데이터에서 Bitlocker 암호화가 데스크탑 컴퓨터의 쓰기 성능에 50% -62% 손실 영향을 미치는 것을 볼 수 있습니다. 그러나 성능을 읽기 위해 Bitlocker 암호화 영향은 무시할 수 있습니다.
테스트 2에서는 1% 이내의 읽기 성능 손실과 약 5%의 쓰기 성능 손실이 약 5%입니다 (AES-CBC 128 비트 암호화의 64MB 블록 제외, 다른 환경 요소로 인해 영향을 미치기 때문에). 일반적으로 응용 프로그램은 더 많은 독서 작업과 더 적은 글쓰기 작업이 있습니다. Bitlocker 암호화의 실용성을 고려할 때 전체적으로 성능에 대한 전반적인 영향은 무시할 수 있습니다.
관련 기사:
- 그래픽 드라이버의 호환성 문제를 해결하는 방법
- HDD 비밀번호 기능에 대한 자세한 설명
- 컴퓨터를 조립하기 전에 무엇을 알아야합니다
- Windows 컴퓨터에서 관리자 권한없이 프로그램을 설치하십시오
Isunshare는 비밀번호 복구 및 데이터 복구를 요구하는 Windows, Mac, Android 사용자에게 최상의 서비스를 제공하기 위해 최선을 다하고 있습니다.