Jak zrównoważyć wydajność szyfrowania i bezpieczeństwo w obsłudze incydentów
Streszczenie
W tym artykule omówię równowagę między wydajnością szyfrowania a bezpieczeństwem w obsłudze incydentów. Zbadam wpływ szyfrowania dysku za pomocą LUKS i dostarczę zalecenia dla różnych rodzajów urządzeń do przechowywania.
1. Jaki jest wpływ szyfrowania dysków za pomocą luków?
Benchmarks pokazują, że dodatkowe koszty szyfrowania na dyskach spinningowych nie są znaczące pod względem obciążenia procesora. Jednak może wystąpić znaczna przepustowość i IOP (operacje wejściowe/wyjściowe na sekundę), co powoduje karę za wydajność.
2. Jakie są straty wydajności dla różnych rodzajów wzorów we/wy?
Straty wydajności różnią się w zależności od wzoru we/wy. Sekwencyjne zapisy mają najwyższą utratę wydajności, a następnie sekwencyjne odczyty i losowe zapisy. Losowe odczyty mają najniższą utratę wydajności. Ogólnie rzecz biorąc, kara wydajności może wynosić do 79% dla sekwencyjnych zapisów.
3. Czy bezpieczne jest włączenie szyfrowania dysku z HDDS?
Włączanie szyfrowania dysku z HDD jest ogólnie bezpieczne i nie spowoduje wielu problemów związanych z obciążeniem procesora, nawet w ramach HCI (infrastruktura hiperkonwergentna). Mogą jednak wystąpić znaczna przepustowość i straty IOPS w porównaniu z niekrepedowaną operacją.
4. Co z wpływem na wszystkie systemy flash?
Na NVME (nielaste pamięć Express) wszystkie systemy flash wpływ wydajności może być ogromny. Obciążenie procesora może być w pełni nasycone, nawet przy zaledwie trzech luksach zaszyfrowanych SSD NVME. Powoduje to zwiększone zużycie energii i wyzwania związane z rozpraszaniem ciepła.
5. Jakie są straty wydajności dla wszystkich systemów flash?
Podobnie jak w przypadku dysków spinningowych, istnieje znaczna straty przepustowości i IOPS dla wszystkich systemów flash. Kara wydajności może wynosić nawet 83% dla różnych rodzajów wzorów we/wy. Głębokość I/O 32 może znacznie zmniejszyć te straty.
6. Czy karty akceleratora kryptograficznego mogą złagodzić problem z obciążeniem procesora?
Karty Accelerator Crypto, które odciążyły operacje kryptograficzne z procesora, mogą potencjalnie zapewnić rozwiązanie w celu zmniejszenia obciążenia procesora. Karty te twierdzą, że wysoka przepustowość AES i mogą zintegrować z oprogramowaniem szyfrowania dysku, takiego jak DMCRYPT.
7. Jakie są zalecenia dotyczące równoważenia wydajności i bezpieczeństwa?
– W przypadku HDD: ogólnie rzecz biorąc, można bezpiecznie włączać szyfrowanie dysku, ale pamiętaj o znacznej przepustowości i strat IOPS.
– Dla wszystkich systemów flash: wpływ wydajności może być ogromny, więc konieczna jest staranna ocena. Rozważ użycie głębokości we/wy na poziomie 32 i zbadaj użycie kart akceleratora kryptograficznego.
– Zaleca się dalsze pomiary i testy z określonymi konfiguracją i wyborami sprzętowymi w celu ustalenia rzeczywistego wpływu wydajności.
8. Czy wpływ wydajności może być inny podczas korzystania z CEPH?
Wpływ wydajności podczas korzystania z CEPH, określony oprogramowanie system pamięci, może być inny i bardziej zorientowany na straty poszczególnych napędów. Jednak problem z obciążeniem procesora nadal pozostaje.
9. Czy istnieją jakieś potencjalne rozwiązania, aby zmniejszyć wpływ wydajności?
Korzystanie z kart akceleratorów kryptograficznych i badanie możliwości określonych konfiguracji sprzętowych może pomóc złagodzić wpływ wydajności.
10. Wniosek
Podczas równoważenia wydajności szyfrowania i bezpieczeństwa w obsłudze incydentów ważne jest, aby wziąć pod uwagę rodzaj urządzeń pamięci masowej, określone wzory we/wy i dostępność rozwiązań takich jak karty akceleratora Crypto Accelerator. Wpływ wydajności może się znacznie różnić i konieczna jest staranna ocena, aby zapewnić optymalną równowagę między wydajnością a bezpieczeństwem.
Jak zrównoważyć wydajność szyfrowania i bezpieczeństwo w obsłudze incydentów
Zatem, zgodnie z powyższym porównaniem, możemy stwierdzić, że użycie szyfrowania bitlocker ma niewielki wpływ na szybkość czytania, podczas gdy szybkość pisania ma oczywistą różnicę. Opieram się na moim nawyku użytkowania, używam danych odczytu i zapisu 8 MB, 16 MB i 64 MB, aby uzyskać prosty porównanie.
Wpływ wydajności szyfrowania dysku za pomocą LUKS
Podczas niektórych cotygodniowych spotkań kontenera zespołu SCS, a także zespołu SCS IAAS pojawiło się pytanie, czy na ogół włączanie pełnego szyfrowania dysków na serwerach – szczególnie związanych z pamięcią masową zdefiniowaną na oprogramowaniu, takim jak Ceph – powinno być domyślne.
Chociaż ogólnie umożliwianie szyfrowania dysku można uznać za dobrą rzecz, z którą wiele osób się zgodziłby, istnieje różnica między włączeniem FDE na twoich osobistych urządzeniach komputerowych a serwerami w środowisku centrum danych, zwłaszcza gdy wiele dysków trzeba szyfrować.
Obawy wyraziły się, że wpływ wydajności byłby ogromny. Ale ponieważ nie było dostępnych rzeczywistych danych, aby pokazać, jak duży wpływ może stać się ten wpływ, podniosłem się do kopania w danej sprawie i wykonania testów porównawczych.
Również przy dostępności napędów szyfrowania, praktyczne zastosowanie tej technologii musiało zostać ocenione.
“Prawie” Tl; dr
Wpływ na wirujące dyski
Benchmarki pokazują, że dodatkowe koszty szyfrowania na obracających się dyskach nie są takie duże w odniesieniu do obciążenia procesora (przynajmniej w porównaniu z NVME), głównie dlatego, że dyski i kontrolery są tam czynnikiem ograniczającym.
Tak więc SAS HDDS (nawet w 24 z nich)’T ten wielki umowa pod względem procesora. To’S nadal mierzalne, ale nawet w przypadku węzłów HCI wpływ nie jest tak duży, że włączenie szyfrowania prawdopodobnie nie napaść spustoszenia.
Jednak straty przepustowości i IOPS są dość duże i mogą prowadzić – w zależności od wzoru I/O – do około 79 % Kara wyników. Najgorsze straty wydajności zaobserwowano z sekwencyjnym zapisem (do 79 %), a następnie sekwencyjne odczyt (do 53 %). Losowe straty we/wy były najgorsze z losowymi zapisami (do 43 %), a następnie losowe odczyt (do 26 %). W niektórych pojedynczych badaniach Benchmarks była lepsza niż bez szyfrowania, aż do 5 razy szybciej Przez RAID-0 przy 4 kiku sekwencyjne zapisy. Można to przypisać zoptymalizowanemu kolejkowaniu we/wy.
Rekomendacje: Zwykle możesz bezpiecznie włączyć szyfrowanie dysku z HDD, ponieważ prawdopodobnie nie spowoduje to wielu problemów dotyczących obciążenia procesora nawet w HCI . Jednak kara wydajności w zakresie przepustowości i IOP może być dość ogromna w porównaniu z niepohamowaną operacją.
Wpływ na wszystkie lampy błyskowe
Na NVME wszystkie systemy flash może być wpływ obciążenia gigantyczny. RAID 0 na zaledwie trzech lukach zaszyfrowanych SSD NVME wystarczyło, aby w pełni nasycić procesor w systemie testowym B.
Pokazuje się w danych FIO podczas sumowania wartości USR_CPU i SYS_CPU.
Podczas przebiegów porównawczych monitorowałem system dodatkowo za pomocą IOSTAT i HTOP, a następujący zrzut ekranu HTOP pokazuje, jak duży może być ten wpływ.
To jest AMD EPYC 7402P ze 100% obciążeniem procesora we wszystkich wątkach/rdzeniach!
To znacznie zwiększa zużycie energii, a dla węzłów HCI byłoby szkodliwe dla innych pracujących obciążeń.
Rozpraszanie ciepła może być również trudne, gdy pełne stojaki nagle rozproszyją się o znacznie więcej ciepła niż wcześniej. Przynajmniej koszt chłodzenia oprócz zwiększonego zużycia energii węzłów byłby naprawdę zły.
Straty przepustowości i IOPS są również dość duże i mogą prowadzić – w zależności od wzoru I/O – aż do 83 % Kara wyników. Głębokość I/O 32 znacznie zmniejsza straty. Najgorsze straty w zakresie szyfrowania zostały w większości przypadków zmierzone za pomocą RAID-0.
Straty wydajności posortowane według typu we/wy najgorsze do najlepszych były losowe zapisy (do 83 %), sekwencyjny zapis (do 83 %), sekwencyjny odczyt (do 81 %) i wreszcie losowe odczyt (do 80 %).
Wszystkie te najgorsze wartości miały rozmiar I/O MIB na RAID-0 bez głębokości I/O 32. Można jednak wyraźnie zobaczyć, że wszystkie te najgorsze wartości mają w granicach 5 %, więc jest to raczej rozmiar we/wy w połączeniu z użyciem LUKS i MD RAID, a nie dysków.
Ostrożność: To’S trudne do porównania wydajności MD RAID z Ceph Osds!
Wpływ wydajności przy użyciu CEPH może być zupełnie inny i prawdopodobnie będzie bardziej zorientowany na straty poszczególnych dysków. Jednak problem z obciążeniem procesora nadal pozostaje.
Jeśli chodzi o obciążenie procesora: Dostępne są karty akceleratora kryptowalut, które twierdzą, że około 200 Gb / s AES i mogą integrować się z DMCRYPT za pomocą modułów jądra.
Te karty nie były’t dostępne do testowania, ale sądząc po cenach na rynku używanym (zrobiłem’t Znajdź oficjalne listy cen) dla takich kart i ich specyfikacji zużycia energii, które mogłyby zapewnić rozwiązanie do odciążenia operacji kryptograficznych od procesora w rozsądnej cenie.
Rekomendacje: Można wykonać dalsze pomiary dotyczące zużycia energii i akceleratorów kryptograficznych. Testowanie z rzeczywistym klastrem CEPH na wszystkich lampach błyskowych jest konieczne, aby uzyskać porównanie strat w porównaniu z RAID Linux MD.
Każdy dostawca musi to ocenić osobno w zależności od własnych konfiguracji i wyborów sprzętowych.
Na razie wpływ wydajności bez akceleratorów jest zbyt duży, aby ogólnie zalecić LUKS na NVME.
Jeśli chodzi o użycie samozachłaniowych napędów:
Możliwe było aktywację szyfrowania za pomocą frazy z wykorzystaniem
Sedutil pod Linuksa. Wpływ wydajności był w ramach błędu pomiaru, więc zasadniczo nieistniejący. To’s dlaczego w poniższej sekcji zrobiłem’T Wpadam w tworzenie wykresów – wyniki są zbyt podobne do zwykłego działania (zgodnie z oczekiwaniami).
Niestety narzędzia w obecnym stanie jest kłopotliwe w użyciu, a także potrzeba napisania skryptów do integracji go z konfiguracją NBDE.
(Ale byłoby to możliwe bez zbyt dużego hakowania!)
Jednak nawet to technicznie Wpływ prac i wydajności są prawie zerowe, napotkałem ciężkiego showstoppera do korzystania z tej technologii na serwerach, szczególnie w środowiskach chmurowych:
Po zasilaniu systemu lub ręcznym blokowaniu napędu i ponownym uruchomieniu, oprogramowanie układowe zatrzymało.
W systemie testowym Supermicro Server nie znalazłem sposobu na wyłączenie tego w BIOS/UEFI, co sprawia, że technologia nie jest bezpieczna. Nawet gorzej było to, że nawet gdy próbuje pisać w frazie, było to’t zaakceptowane. Więc w jakiś sposób sposób, w jaki sedutil przechowuje paszę, różni się od tego, co robi oprogramowanie układowe?
Rekomendacje: Oprzyrządowanie musi zostać wypolerowane, a dokumentacja znacznie ulepszona. Dokumentacja narzędzi jest bardzo myląca dla ogólnego administratora systemu i może łatwo prowadzić do błędów operatora.
Również ze względu na obecne problemy BIOS/UEFI technologii nie można jeszcze zalecić.
Gdyby dostawcy zapewnili sposób wyłączenia prośby o frazę niektórych napędów, możliwe byłoby użycie SED w środowisku prądu stałego bez potrzeby interwencji ręcznej operatora podczas ponownego uruchomienia.
To kończy sekcję TL; DR.
Więc bez zbędnych ceregieli, niech’S Zakop w szczegóły.
Konfiguracje testowe
Zastosowano dwa różne systemy testowe. Ponieważ nie można było zbudować/kupować dedykowanych systemów do testów, użyłem dwóch łatwo dostępnych maszyn.
Ich specyfikacje to:
System testowy A: Tylko SAS HDD
CPU 2 x Intel (R) Xeon (R) Gold 6151 CPU @ 3.00 GHz RAM 512 GB Dywizje 24 x HGST HUC101818CS4200 10K RPM 1.8 TB
System testowy B: NVME tylko Flash
CPU 1 x AMD EPYC 7402P RAM 512 GB (16 x 32 GB Samsung RDIMM DDR4-3200 CL22-22-22 RES ECC) Dyreje 3 x Samsung MZQLB3T8HALS-00007 SSD PM983 3 3.84TB u.2
Specyfikacje Benchmark
W obu systemach wykonałem serię testów porównawczych z FIO za pomocą niestandardowych skryptów.
Zdecydowałem się przetestować następujące rozmiary bloków, ponieważ mogą one zaoferować wgląd, w który I/O mogą spowodować, jaki rodzaj obciążenia:
- 4 kib
- 64 kib
- 1 MIB
- 4 MIB (domyślny obiekt/”naszywka” Rozmiar dla Ceph RBDS)
- 16 MIB
- 64 MIB
Przeprowadzono następujące testy FIO:
- Sekwencyjny odczyt
- Sekwencyjny zapis
- Losowy odczyt
- losowy zapis
Wszystko z opcją – -direct, a także powtarzane z opcją –iodepth = 32 i za pomocą libaio.
Te testy porównawcze zostały wykonane dla:
- Surowe urządzenia do przechowywania bezpośrednie bez szyfrowania (e.G. jeden dysk SAS, wszystkie NVME SSD)
- Surowe urządzenia do przechowywania z szyfrowaniem
- RAID LINUX MD 0 na wszystkich urządzeniach bez szyfrowania
- RAID LINUX MD 0 na wszystkich urządzeniach z szyfrowaniem na urządzeniach podstawowych
- W przypadku dysków zdolnych do SED (tylko system testowy B) z włączonym SED, chociaż nie oczekiwano żadnej różnicy ze względu na fakt, że dyski zdolne do SED zwykle zawsze szyfrują wszystkie swoje dane za pomocą klucza wewnętrznego.
Włączenie SED szyfruje tylko ten klucz główny, wymagając odszyfrowania po blokowaniu dysku za pośrednictwem oprogramowania lub z powodu utraty mocy.
(Uproszczone, szczegóły można znaleźć w specyfikacjach takich jak Opal 2.0)
Sam CEPH ISMARKING został pominięty, ponieważ nie była dostępna odpowiednia konfiguracja testowa, która oferowała zarówno NVME, jak i SAS OSDS. Ale ponieważ włączenie szyfrowania CEPH używa zaszyfrowanych OSD LUKS, wyniki powinny być przydatne.
Skrypt Benchmark Fio
Jeśli chcesz uruchomić własne testy porównawcze, oto skrypt, który został użyty do generowania danych:
#!/bin/bash Logpath="1 USD" Bench_device="2 USD" Mkdir -P $ Logpath IoEngine=„Libaio” DATA=`data +%S` Do RW W "pisać" „Randwrite” "Czytać" „Randread” zrobić dla BS W „4K” „64K” „1m” „4M” „16m” „64 m” Do ( Echo "==== $ Rw - $ BS - Direct === nb "> echo 3 > /proc/sys/vm/drop_caches fio --RW=$ Rw --IoEngine=$IoEngine> --rozmiar=400G --BS=$ BS --bezpośredni=1 --czas wykonawczy=60 --time_bed --nazwa=ławka --Nazwa pliku=$ Bench_Device --wyjście=$ Logpath/$ Rw.$BS>-bezpośredni-`Basename $ Bench_Device`.$ Data.dziennik.JSON --format wyjściowy=JSON Sync Echo 3 > /proc/sys/vm/drop_caches Echo "==== $ Rw - $ BS - Bezpośredni jodepth 32 === nt ">-rw=$ Rw --IoEngine=$IoEngine> --rozmiar=400G --BS=$ BS --Jodepth=32 --bezpośredni=1 --czas wykonawczy=60 --time_bed --nazwa=ławka --Nazwa pliku=$ Bench_Device --wyjście=$ Logpath/$ Rw.$BS>-Direct Jod32-`Basename $ Bench_Device`.$ Data.dziennik.JSON --format wyjściowy=JSON synchronizacja ) | trójnik $ Logpath/$ Rw.$ BS-`Basename $ Bench_Device`.$ Data.dziennik Echo gotowe gotowe Skrypt oczekuje dwóch parametrów:
- Najpierw ścieżka przechowywania plików dziennika (ścieżka zostanie utworzona, jeśli nie istnieje)
- Drugim argumentem jest urządzenie, na którym można uruchomić wartości porównawcze
Skrypt wytworzy sekwencję plików dziennika w formacie JSON, którą można następnie przeanalizować za pomocą wybranego narzędzia.
Wydajna wydajność algorytmu LUKS
W obu systemach najpierw uruchomiłem punkt odniesienia CryptsetUp, który wykonuje ogólny test porównawczy przepustowości algorytmu. Dokonano tego, aby uzyskać najlepszą możliwą konfigurację LUKS dotyczącą przepustowości.
To były wyniki w systemie testowym A:
PBKDF2-SHA1 1370687 Iteracje na sekundę dla 256-bitowego klucza PBKDF2-SHA256 1756408 Iteracje na sekundę dla 256-bitowego klucza PBKDF2-SHA512 1281877 Iteracje na sekundę dla 256-bitowego klucza PBKDF2-RIPEMD160 717220 ITERACJA na sekundę 43867 Iteracje na sekundę dla 256-bitowych kluczy Argon2i 5, 1048576 Pamięć, 4 równoległe wątki (CPU) dla 256-bitowego klucza (żądany czas 2000 ms) Iteracje Argon2ID 5, pamięć 1048576, 4 równoległe wątki (CPUS) dla 256-bitowego klucza (żądany czas 2000 ms) # algorithm | Klucz | Szyfrowanie | Deszyfrowanie AES-CBC 128B 904.3 MIB/S 2485.1 MIB/S Serpent-CBC 128B 78.8 MIB/S 577.4 MIB/S TWOFISH-CBC 128B 175.9 MIB/S 319.7 MIB/S AES-CBC 256B 695.8 MIB/S 2059.4 MIB/S Serpent-CBC 256B 78.8 MIB/S 577.4 MIB/S TWOFISH-CBC 256B 175.9 MIB/S 319.6 MIB/S AES-TX 256B 2351.5 MIB/S 2348.7 MIB/S serpent-tekst 256b 560.1 MIB/S 571.4 MIB/S TWOFISH-TXS 256B 316.7 MIB/S 316.1 MIB/S AES-TXS 512B 1983.0 MIB/S 1979.6 MIB/S serpent-tekst 512b 560.5 MIB/S 571.3 MIB/S TWOFISH-TXS 512B 316.5 MIB/S 315.7 MIB/s Jak widać AES-TX 256-bitowe najlepiej wykonane, więc podczas tworzenia urządzeń sformatowanych LUKS wybrałem -c AES-TX-PLAIN64 -S 256 jako parametry, które są również domyślnymi w wielu nowoczesnych dystrybucjach. Ale po prostu być po bezpiecznej stronie, określałem je wyraźnie.
Teraz pozwól’S przyjrzyj się wynikom FIO dla pojedynczych dysków i RAID-0, zarówno zaszyfrowanych, jak i niezakłóconych.
Porównanie przepustowości odczytu
Poprzednie Następne
Uwaga: skale są logarytmiczne!
Straty wydajności czytaj przepustowość
| Urządzenie | 4 kib % strata | 64 kib % straty | 1 MIB % Strata | 4 Strata % MIB | 16 Strata % MIB | 64 Strata % MIB |
|---|---|---|---|---|---|---|
| SAS RAID-0 | 10 82 % | 32 48 % | 47 36 % | 52,95 % | 36 26 % | 386 % |
| SAS HDD | 23 86 % | -0,06 % | -0,02 % | 0,01 % | -0,05 % | -0,08 % |
| NVME RAID-0 | 45 53 % | 70,13 % | 77 05 % | 80,61 % | 67 65 % | 55 88 % |
| NVME | 44 42 % | 71 76 % | 67 46 % | 70,75 % | 63,21 % | 53 24 % |
| SAS RAID-0 Iodepth = 32 | 6 81 % | 13 71 % | 4 92 % | 266 % | 9 81 % | 23 52 % |
| SAS HDD Iodepth = 32 | 14 75 % | -0,65 % | -0,03 % | -0,03 % | 0,21 % | 0,13 % |
| NVME RAID-0 Iodepth = 32 | 40,99 % | 60 02 % | 51,61 % | 49 68 % | 48,62 % | 48,62 % |
| Nvme jodepth = 32 | 40,64 % | 21 57 % | 1 89 % | 1 89 % | 1 98 % | 2 43 % |
Porównanie przepustowości
Poprzednie Następne
Uwaga: skale są logarytmiczne!
Straty wydajności pisz przepustę
| Urządzenie | 4 kib % strata | 64 kib % straty | 1 MIB % Strata | 4 Strata % MIB | 16 Strata % MIB | 64 Strata % MIB |
|---|---|---|---|---|---|---|
| SAS RAID-0 | -499,50 % | 11 31 % | 31 52 % | 34,98 % | 28 53 % | 49 55 % |
| SAS HDD | -59 93 % | -1 32 % | 0,05 % | 10 11 % | 12 43 % | 10,18 % |
| NVME RAID-0 | 51 45 % | 71 81 % | 82,63 % | 82 36 % | 69 05 % | 44,83 % |
| NVME | 56,11 % | 70,36 % | 76,52 % | 66,25 % | 47 66 % | 27 29 % |
| SAS RAID-0 Iodepth = 32 | -96,72 % | 658 % | 74,51 % | 78,72 % | 55 36 % | 28,17 % |
| SAS HDD Iodepth = 32 | 21 05 % | 0,04 % | 0,10 % | 2 43 % | 113 % | 0,59 % |
| NVME RAID-0 Iodepth = 32 | 28,16 % | 45 96 % | 24 97 % | 15 79 % | 14 24 % | 14 08 % |
| Nvme jodepth = 32 | 25 36 % | 5 14 % | 0,10 % | 0,28 % | 1 34 % | 1 09 % |
Porównanie przepustowości losowej odczytu
Poprzednie Następne
Uwaga: skale są logarytmiczne!
Straty wydajności losowe przepustowość odczytu
| Urządzenie | 4 kib % strata | 64 kib % straty | 1 MIB % Strata | 4 Strata % MIB | 16 Strata % MIB | 64 Strata % MIB |
|---|---|---|---|---|---|---|
| SAS RAID-0 | 25 82 % | 0,68 % | 5 07 % | 5 01 % | 1 41 % | 652 % |
| SAS HDD | -0,13 % | 114 % | 8 37 % | 6 49 % | 2 09 % | 2 27 % |
| NVME RAID-0 | 16 07 % | 28,12 % | 75 55 % | 79 59 % | 68 01 % | 57 02 % |
| NVME | 17 70 % | 17,95 % | 74,13 % | 70 29 % | 65 40 % | 55,81 % |
| SAS RAID-0 Iodepth = 32 | 0,30 % | -2 29 % | -312 % | -10 31 % | -0,86 % | 4 27 % |
| SAS HDD Iodepth = 32 | 1 94 % | -0,09 % | -1 43 % | -0,37 % | 0,41 % | 0,33 % |
| NVME RAID-0 Iodepth = 32 | 39 76 % | 50,71 % | 50,76 % | 48 91 % | 48 58 % | 48 48 % |
| Nvme jodepth = 32 | 44,52 % | 13 26 % | 284 % | 2 23 % | 238 % | 3 05 % |
Porównanie przepustowości losowej
Poprzednie Następne
Uwaga: skale są logarytmiczne!
Straty wydajności losowe przepustowość
| Urządzenie | 4 kib % strata | 64 kib % straty | 1 MIB % Strata | 4 Strata % MIB | 16 Strata % MIB | 64 Strata % MIB |
|---|---|---|---|---|---|---|
| SAS RAID-0 | -21 21 % | 0,45 % | 27,20 % | 25 34 % | 34,89 % | 43,14 % |
| SAS HDD | -6 72 % | 6 91 % | 11 24 % | 19 57 % | 12 97 % | 9 49 % |
| NVME RAID-0 | 54 45 % | 72 75 % | 83 56 % | 81,83 % | 60,73 % | 32 43 % |
| NVME | 53,20 % | 73 91 % | 76 44 % | 61,98 % | 50 27 % | 27 10 % |
| SAS RAID-0 Iodepth = 32 | -0,23 % | 0,38 % | 20 77 % | 18 22 % | 15 83 % | 19 05 % |
| SAS HDD Iodepth = 32 | 217 % | -9 64 % | 4 78 % | 4 98 % | 2 51 % | 2 56 % |
| NVME RAID-0 Iodepth = 32 | 21 03 % | 37 76 % | 21,16 % | 12 26 % | 13,00 % | 13 06 % |
| Nvme jodepth = 32 | 22 75 % | 813 % | 557 % | 278 % | 458 % | 351 % |
Porównanie odczytu IOPS
Poprzednie Następne
Uwaga: skale są logarytmiczne!
Straty wydajności Przeczytaj IOPS
| Urządzenie | 4 kib % strata | 64 kib % straty | 1 MIB % Strata | 4 Strata % MIB | 16 Strata % MIB | 64 Strata % MIB |
|---|---|---|---|---|---|---|
| SAS RAID-0 | 10 82 % | 32 48 % | 47 36 % | 52,95 % | 36 26 % | 386 % |
| SAS HDD | 23 86 % | -0,06 % | -0,02 % | 0,01 % | -0,05 % | -0,08 % |
| NVME RAID-0 | 45 53 % | 70,13 % | 77 05 % | 80,61 % | 67 65 % | 55 88 % |
| NVME | 44 42 % | 71 76 % | 67 46 % | 70,75 % | 63,21 % | 53 24 % |
| SAS RAID-0 Iodepth = 32 | 6 81 % | 13 71 % | 4 92 % | 266 % | 9 81 % | 23 52 % |
| SAS HDD Iodepth = 32 | 14 75 % | -0,65 % | -0,03 % | -0,03 % | 0,21 % | 0,13 % |
| NVME RAID-0 Iodepth = 32 | 40,99 % | 60 02 % | 51,61 % | 49 68 % | 48,62 % | 48,62 % |
| Nvme jodepth = 32 | 40,64 % | 21 57 % | 1 89 % | 1 89 % | 1 98 % | 2 43 % |
Porównanie IOPS
Poprzednie Następne
Uwaga: skale są logarytmiczne!
Straty wydajności pisz IOPS
| Urządzenie | 4 kib % strata | 64 kib % straty | 1 MIB % Strata | 4 Strata % MIB | 16 Strata % MIB | 64 Strata % MIB |
|---|---|---|---|---|---|---|
| SAS RAID-0 | -499,50 % | 11 31 % | 31 52 % | 34,98 % | 28 53 % | 49 55 % |
| SAS HDD | -59 93 % | -1 32 % | 0,05 % | 10 11 % | 12 43 % | 10,18 % |
| NVME RAID-0 | 51 45 % | 71 81 % | 82,63 % | 82 36 % | 69 05 % | 44,83 % |
| NVME | 56,11 % | 70,36 % | 76,52 % | 66,25 % | 47 66 % | 27 29 % |
| SAS RAID-0 Iodepth = 32 | -96,72 % | 658 % | 74,51 % | 78,72 % | 55 36 % | 28,17 % |
| SAS HDD Iodepth = 32 | 21 05 % | 0,04 % | 0,10 % | 2 43 % | 113 % | 0,59 % |
| NVME RAID-0 Iodepth = 32 | 28,16 % | 45 96 % | 24 97 % | 15 79 % | 14 24 % | 14 08 % |
| Nvme jodepth = 32 | 25 36 % | 5 14 % | 0,10 % | 0,28 % | 1 34 % | 1 09 % |
Porównanie losowych IOP odczytu
Poprzednie Następne
Uwaga: skale są logarytmiczne!
Straty wydajności losowe IOP odczytu
| Urządzenie | 4 kib % strata | 64 kib % straty | 1 MIB % Strata | 4 Strata % MIB | 16 Strata % MIB | 64 Strata % MIB |
|---|---|---|---|---|---|---|
| SAS RAID-0 | 25 82 % | 0,68 % | 5 07 % | 5 01 % | 1 41 % | 652 % |
| SAS HDD | -0,13 % | 114 % | 8 37 % | 6 49 % | 2 09 % | 2 27 % |
| NVME RAID-0 | 16 07 % | 28,12 % | 75 55 % | 79 59 % | 68 01 % | 57 02 % |
| NVME | 17 70 % | 17,95 % | 74,13 % | 70 29 % | 65 40 % | 55,81 % |
| SAS RAID-0 Iodepth = 32 | 0,30 % | -2 29 % | -312 % | -10 31 % | -0,86 % | 4 27 % |
| SAS HDD Iodepth = 32 | 1 94 % | -0,09 % | -1 43 % | -0,37 % | 0,41 % | 0,33 % |
| NVME RAID-0 Iodepth = 32 | 39 76 % | 50,71 % | 50,76 % | 48 91 % | 48 58 % | 48 48 % |
| Nvme jodepth = 32 | 44,52 % | 13 26 % | 284 % | 2 23 % | 238 % | 3 05 % |
Porównywanie losowych IOP zapisu
Poprzednie Następne
Uwaga: skale są logarytmiczne!
Straty wydajności losowe zapis IOPS
| Urządzenie | 4 kib % strata | 64 kib % straty | 1 MIB % Strata | 4 Strata % MIB | 16 Strata % MIB | 64 Strata % MIB |
|---|---|---|---|---|---|---|
| SAS RAID-0 | -21 21 % | 0,45 % | 27,20 % | 25 34 % | 34,89 % | 43,14 % |
| SAS HDD | -6 72 % | 6 91 % | 11 24 % | 19 57 % | 12 97 % | 9 49 % |
| NVME RAID-0 | 54 45 % | 72 75 % | 83 56 % | 81,83 % | 60,73 % | 32 43 % |
| NVME | 53,20 % | 73 91 % | 76 44 % | 61,98 % | 50 27 % | 27 10 % |
| SAS RAID-0 Iodepth = 32 | -0,23 % | 0,38 % | 20 77 % | 18 22 % | 15 83 % | 19 05 % |
| SAS HDD Iodepth = 32 | 217 % | -9 64 % | 4 78 % | 4 98 % | 2 51 % | 2 56 % |
| NVME RAID-0 Iodepth = 32 | 21 03 % | 37 76 % | 21,16 % | 12 26 % | 13,00 % | 13 06 % |
| Nvme jodepth = 32 | 22 75 % | 813 % | 557 % | 278 % | 458 % | 351 % |
Wniosek
Chociaż nowoczesne procesory zapewniają przyspieszenie AES poprzez instrukcje AES-NI, ogólna kara wydajności, zwłaszcza podczas korzystania z dysków NVME, jest zbyt duże, aby zalecić włączenie go wszędzie.
Samozachorowanie napędów technicznie działają, ale wokół nich oprzyrządowanie jest nadal w powijakach i jak dotąd nie są odpowiednie do użytku w środowisku DC, dopóki producenci serwerów nie uwzględnią niezbędnych opcji w swoim oprogramowaniu układowym i narzędzi do zarządzania SED w Linux znacznie poprawiają dokumentację i przyjazność użytkownikom.
SED cierpią również w aspekcie zaufania, że producent napędu poprawnie wdrożył kryptografię i nie zrobił’T Dodaj do niego backdoors. Najnowsza historia pokazała, że to ISN’T zawsze tak, jak niektóre (choć klasy konsumenckie) SSD’T szyfrową dane w ogóle, a nawet pozwolić na dostęp bez znajomości hasła.
(To był problem z E.G. Microsoft’S Bitlocker polegający na napędu do wykonywania kryptografii, a następnie Afaik został naprawiony przez Microsoft.)
Akceleratory kryptograficzne mogą być tutaj rozwiązaniem, jednak’D Bądź miło zobaczyć, że technologia wbudowana w serwery bezpośrednio, ponieważ w dzisiejszych czasach kryptografia jest obowiązkowa.
Dziękuję za przeczytanie tego postu na blogu!
O autorze
Paul-Philipp Kuschy
Starszy Inżynier DevOps – Ceph i OpenStack @ Osism GmbH
Paul jest starszym inżynierem DevOps specjalizującym się w rozwiązaniach pamięci zdefiniowanych oprogramowania z głównym naciskiem na CEPH i ZFS. Po pracy jako menedżer systemu i programista w małej firmie zorientowanej na media cyfrowe i produkcję mediów pracował jako inżynier systemów dla dostawców usług internetowych, takich jak Strato AG i Noris Network AG. Kiedy nie pracuje nad rozwiązaniami klastrowymi OpenStack i HPC, spędza wolny czas na graniu na gitarze, udoskonalaniu swoich umiejętności nagrania i miksowania dźwięku, projektowanie światła dla zespołów i wydarzeń, pracując jako gaffer do strzelanin wideo i zdjęciowych i majsterowanie za pomocą wszelkiego rodzaju elektroniki.
Jak zrównoważyć wydajność szyfrowania i bezpieczeństwo w obsłudze incydentów?
Полззйесь знаниala собщества. Эксrostkt добаваяют важные седения в эту колективннннню статюю, созданнюю с исполcept. Ыожете делать то жж сао.
Это статья нового типа – fot. А экkunfiрты улчшают fe, деляaь соими ыыслямentów.
Еaсли ы хотите внести сой влад, заlektora приг!. Подроlit
Ostatnia aktualizacja 27 kwietnia. 2023 г.
Szyfrowanie jest istotnym narzędziem do ochrony wrażliwych danych i zapobiegania nieautoryzowanemu dostępowi podczas obsługi incydentów. Jednak szyfrowanie wiąże się również z kompromisem: może wpływać na wydajność i szybkość systemów i sieci. Jak zrównoważyć wydajność szyfrowania i bezpieczeństwo w obsłudze incydentów? Oto kilka wskazówek i najlepszych praktyk, które pomogą Ci zoptymalizować strategię szyfrowania bez narażania celów bezpieczeństwa.
Помите друим, рассказав подробне (не мене 125 символов) отена
Добавить сохранить
Wybierz odpowiednią metodę szyfrowania
Istnieją różne rodzaje metod szyfrowania, takie jak symetryczne, asymetryczne i hybrydowe, które mają różne zalety i wady pod względem wydajności i bezpieczeństwa. Symmetryczne szyfrowanie używa tego samego klucza do szyfrowania i odszyfrowania danych, co sprawia, że jest to szybsze i prostsze, ale również wymaga bezpiecznego zarządzania kluczem i dystrybucją. Asymetryczne szyfrowanie wykorzystuje różne klucze do szyfrowania i deszyfrowania, co czyni go bezpieczniejszym i skalowalnym, ale także wolniejszym i bardziej złożonym. Szyfrowanie hybrydowe łączy obie metody, wykorzystując asymetryczne szyfrowanie do wymiany klawiszy i szyfrowania symetrycznego do szyfrowania danych, które oferuje równowagę wydajności i bezpieczeństwa, ale także dodaje więcej kosztów i złożoności. W zależności od scenariusza obsługi incydentów powinieneś wybrać metodę szyfrowania, która najlepiej odpowiada Twoim potrzebom i ograniczeniom.
Помите друим, рассказав подробне (не мене 125 символов) отена
Добавить сохранить
Dostosuj poziom szyfrowania
Kolejnym czynnikiem wpływającym na wydajność i bezpieczeństwo szyfrowania jest poziom szyfrowania, który odnosi się do siły i złożoności algorytmu szyfrowania i klucza. Im wyższy poziom szyfrowania, tym bardziej zabezpieczone szyfrowanie, ale także bardziej wymagane zasoby obliczeniowe i czas. Im niższy poziom szyfrowania, tym szybsze szyfrowanie, ale także bardziej wrażliwe jest na ataki. Dlatego powinieneś dostosować poziom szyfrowania zgodnie z wrażliwością i znaczeniem danych, które szyfrujesz oraz potencjalne ryzyko i zagrożenia, przed którymi stoisz. Na przykład możesz użyć wyższego poziomu szyfrowania danych zawierających informacje osobiste lub poufne oraz niższy poziom szyfrowania danych, który jest mniej krytyczny lub tymczasowy.
Помите друим, рассказав подробне (не мене 125 символов) отена
Добавить сохранить
Użyj przyspieszenia sprzętu
Jednym ze sposobów na poprawę wydajności i bezpieczeństwa szyfrowania jest użycie przyspieszenia sprzętowego, co oznacza użycie dedykowanych urządzeń lub komponentów do wykonywania zadań szyfrowania zamiast polegania na oprogramowaniu lub procesorach ogólnego przeznaczenia. Przyspieszenie sprzętu może zapewnić szybsze i wydajniejsze szyfrowanie, a także zmniejszyć obciążenie i koszty ogólne systemów i sieci. Przyspieszenie sprzętu może również zwiększyć bezpieczeństwo szyfrowania, ponieważ może zapobiegać lub złagodzić niektóre ataki, które wykorzystują luki w zabezpieczeniach oprogramowania lub wycieki pamięci. Jednak przyspieszenie sprzętu ma również pewne wady, takie jak wyższe koszty, problemy z kompatybilnością i wyzwania związane z konserwacją. Dlatego powinieneś rozważyć korzyści i koszty korzystania z przyspieszenia sprzętu dla potrzeb szyfrowania.
Помите друим, рассказав подробне (не мене 125 символов) отена
Добавить сохранить
Monitoruj i przetestuj swoje szyfrowanie
Wreszcie powinieneś regularnie monitorować i zachować wydajność i bezpieczeństwo szyfrowania, w ramach procesu obsługi incydentów. Monitorowanie i testowanie może pomóc w zidentyfikowaniu i rozwiązaniu wszelkich problemów lub problemów, które mogą wpływać. Monitorowanie i testowanie może również pomóc w ocenie i ulepszeniu strategii szyfrowania, ponieważ możesz mierzyć i porównywać wyniki i wyniki metod szyfrowania, poziomów i urządzeń. Możesz użyć różnych narzędzi i technik do monitorowania i testowania szyfrowania, takich jak dzienniki, wskaźniki, punkty odniesienia, audyty lub symulacje. Powinieneś również przestrzegać najlepszych praktyk i standardów monitorowania i testowania szyfrowania, takich jak użycie bezpiecznych protokołów, weryfikacja integralności i autentyczności danych oraz raportowanie oraz dokumentowanie ustaleń i działań.
Помите друим, рассказав подробне (не мене 125 символов) отена
Добавить сохранить
Tutaj’S co jeszcze rozważyć
To przestrzeń do dzielenia się przykładami, historiami lub spostrzeżeniami, które Don’t dopasuj się do dowolnej z poprzednich sekcji. Co jeszcze chciałbyś dodać?
Czy szyfrowanie zmniejsza wydajność?
Możesz zaszyfrować bazę danych, aby zwiększyć bezpieczeństwo informacji przechowywanych w ultralicie. Należy jednak zauważyć, że w rezultacie wzrasta koszty ogólne o 5-10%, co powoduje zmniejszenie wydajności. Dokładny wpływ na wydajność zależy od wielkości pamięci podręcznej. Jeśli pamięć podręczna jest zbyt mała, szyfrowanie może dodać znaczne koszty ogólne. Jeśli jednak pamięć podręczna jest wystarczająco duża, możesz w ogóle nie zobaczyć żadnej różnicy. Aby ustalić, jaki jest optymalny rozmiar pamięci podręcznej dla twojego scenariusza, możesz wykreślić wydajność bazy danych za pomocą testów porównawczych.
Stresowanie pamięci podręcznej
Możesz porównać testuj różne rozmiary pamięci podręcznej i obserwować wydajność, aby nagle się zmienić. Twoja pamięć podręczna powinna być wystarczająco duża, aby mieć dobry zestaw stron. Rozważ następujące pomysły, które pomogą ci podkreślić pamięć podręczną:
- Utwórz wiele indeksów w tabeli i dodaj klawisze obce.
- Wstaw losowo wiersze (coś innego niż kolejność indeksu).
- Utwórz duże wiersze, co najmniej 25% rozmiaru strony bazy danych.
- Ustaw skrót indeksu na coś innego niż 0. Ten zwiększony rozmiar zwiększa również potrzebne dostęp do strony.
- Rozpocznij wydajność wykresu w oparciu o najmniejszy rozmiar pamięci podręcznej. Na przykład 256 kb w systemie Windows NT (najmniejsza dozwolona pamięć podręczna dla tej platformy) lub 64 kb na wszystkich innych platformach.
Jeśli okaże się, że zwiększenie pamięci podręcznej nie poprawia wydajności zaszyfrowanej bazy danych, rozważ zaciemnienie danych zamiast szyfrowania. Zaciemnienie może przynieść lepszą wydajność, przy jednoczesnym zapewnieniu pewnych korzyści bezpieczeństwa; Algorytm zaciemnienia używa mniej kodu w porównaniu do silnego szyfrowania i wykonuje mniej obliczeń. Prosta wydajność szyfrowania powinna być jedynie nieznacznie wolniejsza niż żadne szyfrowanie. Jednak Twoje wymagania bezpieczeństwa muszą ostatecznie dyktować, czy zdecydujesz się na silne szyfrowanie, czy nie.
Zobacz też
- Ultralitowa wydajność i optymalizacja
- Ultralite Page_Size Parametr tworzenia
- Ultralite parametr tworzenia FIPS
- Ultralite Cache_Size Parametr połączenia
- Ultralite Utwórz instrukcję indeksu
| Omów tę stronę w DOCCommentxChange. Wyślij opinię na temat tej strony za pomocą e -maila. |
Copyright © 2009, Ianywhere Solutions, Inc. – SQL w dowolnym miejscu 11.0.1 |
Czy szyfrowanie bitlocker wpływa na wydajność dysku?
Ludzie mają tendencję do bezpieczeństwa swojej partycji dysku przy użyciu BitLocker: Jest to również bezużyteczne, nawet jeśli inni tworzą dysku bagażowy, aby wprowadzić środowisko Windows PE, aby w trybie offline wejść do komputera. Jednak ktoś wątpi, czy Bitlocker Impact Computer Performance Disk. Więc zamierzam przetestować prędkość zapisu i odczytu w różnych metodach szyfrowania.
Różni od przeszłości, Microsoft używa algorytmu szyfrowania XTS-AES po uruchomieniu systemu Windows 10 Th2. Istnieją w sumie cztery metody szyfrowania:
- 1. XTS-AES 128-bit (domyślnie);
- 2. XTS-AES 256-bit;
- 3. AES-CBC 128-bit;
- 4. AES-CBC 256-bit.
Im dłuższy tajny jest klucz, tym większe jest bezpieczeństwo, tym trudniej jest atakować. Jednak zaszyfrowanie lub odszyfrowanie danych poświęciłbyś więcej czasu, jeśli tajny klucz jest dłuższy. Domyślnie możesz zmienić metodę szyfrowania bitlocker poprzez rozszerzenie konfiguracja komputera > Szablony administracyjne Komponenty systemu Windows Szyfrowanie dysków bitlocker. W prawym panelu kliknij dwukrotnie ”Wybierz metodę szyfrowania napędu i siłę szyfru„I znajdź prawidłowy za pośrednictwem Bracket Wyjaśnienie za sobą. Możesz więc odwołać się, aby wyjaśnić informacje dotyczące konkretnego użycia i wskazówek.
Test 1
Środowisko testowe
Możesz użyć hasła lub karty inteligentnej, aby odblokować bitlocker w systemie Windows 10. Postanawiam użyć hasła do szyfrowania dysku D. Narzędzie do testowania: Używam testu porównawczego dysk ATTO do przetestowania mojego dysku D, ponieważ nie jest to żadne aplikacje zainstalowane na tym dysku i nie będzie żadnej operacji odczytu ani zapisu podczas testowania.
HDD: Seagate Barracuda o pojemności 1 TB i 7200 obr./min, specyficznym typem jest pamięć podręczna ST1000DM010, 64 MB.
Edytor: Intel Pentium CPU G4400, dwurdzeniowa podwójna pamięć podręczna, 3 MB, z takkiem 3.3GHz. Specyfikacja CPU zawiera technologię obsługującą nowe instrukcje AES.
System systemu Windows: Windows 10 Enterprise, wersja 64-bitowa, 1709.
Wynik testowania
Używam odpowiednio szybkości transferu w innej metodzie szyfrowania i siły szyfru, aby porównać z szybkością przenoszenia szyfrowania.
Zatem, zgodnie z powyższym porównaniem, możemy stwierdzić, że użycie szyfrowania bitlocker ma niewielki wpływ na szybkość czytania, podczas gdy szybkość pisania ma oczywistą różnicę. Opieram się na moim nawyku użytkowania, używam danych odczytu i zapisu 8 MB, 16 MB i 64 MB, aby uzyskać prosty porównanie.
1. Czytaj/zapisz wydajność
2. Przeczytaj/zapisz utratę wydajności
Test 2
Środowisko testowe
Narzędzie do testowania: Tym razem używam testu porównawczego dysku ATTO, aby przetestować mój dysk.
SSD: Toshiba Q200EX, o pojemności 240 g, port SATA3.
Edytor: Intel Core i5-2430M Częstotliwość procesora 2.40 GHz, największa częstotliwość turbo to 3.0G, dwurrzączna pamięć podręczna 3 MB.
System systemu Windows: Windows 10 Enterprise 64-Bit System operacyjny, wersja 1703.
Wynik testowania
Musimy porównać wydajność z różnymi metodami szyfrowania i mocnymi stronami szyfrowania.
Teraz użyj danych odczytu i zapisu 8 MB, 16 MB i 64 MB, aby dokonać prostego porównania.
1. Czytaj/zapisz wydajność
2. Przeczytaj/zapisz utratę wydajności
Wniosek
Na podstawie danych w Test 1 możemy zobaczyć, że szyfrowanie bitlocker ma wpływ na straty 50% – 62% na wydajność pisania na komputerze stacjonarnym. Jednak jeśli chodzi o czytanie wydajności, wpływ szyfrowania bitlocker można zignorować.
W teście 2 straty wydajności odczytu w ciągu 1%, podczas gdy straty wydajności zapisu o około 5% (z wyjątkiem bloku 64 MB w szyfrowaniu 128-bitowym AES-CBC jest nienormalne, być może ze względu na inny czynnik środowiska wpływa na to). Ogólnie rzecz biorąc, mają więcej operacji czytania i mniej pisania. Jako całość, biorąc pod uwagę praktyczność szyfrowania bitlockera, jego ogólny wpływ na wydajność jest znikomy.
Powiązane artykuły:
- Jak naprawić problemy z kompatybilnością sterownika graficznego
- Szczegółowe wyjaśnienie funkcji hasła dysku twardego
- Co powinieneś wiedzieć przed złożeniem komputera
- Zainstaluj programy bez praw administracyjnych w komputerze Windows
Isunshare jest poświęcony zapewnianiu najlepszej usługi dla użytkowników Windows, Mac i Android, którzy są poszukiwani na odzyskiwanie haseł i odzyskiwanie danych.
