Pure-in-the-middle attack, Vast data and tools for VMware admins

Pure-in-the-middle attack

במאי, במקביל לכניסה לתוקפן של תקנות GDPR, פרסמנו מאמר דעה שמדבר, בין היתר, על הסתירה בין הדרישה העולה להצפנת נתונים במקור ובין המודל הכלכלי של פתרונות ה All Flash שבלי לקחת בחשבון את הנפח האפקטיבי של מערכות אחסון אחרי דחיסה וביטול כפילויות, פשוט יקרות מדי לרכישה עבור מרבית השוק. אם המידע מוצפן במקור, הסיכוי לבצע עליו באופן אפקטיבי דחיסה או ביטול כפילויות נמוך עד לא קיים. אם בעבר החיסכון המתקבל משימוש בדידופ היה יתרון טכנולוגי עבור הלקוח, היום הוא אילוץ כלכלי עבור היצרן.

לפני שבוע וקצת, חברת Pure הכריזה על פתרון חדש שהוצג כפתרון פורץ דרך ומאפשר ביצוע הצפנת נתונים מקצה לקצה ללא נטרול טכנולוגית ביטול הכפילויות המובנית במערכות היצרן.  האמת היא די רחוקה מזה, למעשה מה שמוצע כאן בפתרון הוא שילוב של שני כלים, הראשון הצפנה ברמת Host והשני הצפנה ברמת מערך האחסון, הבעיה היא שאלו שני כלים נפרדים והתהליך כולל פתיחה של ההצפנה והצפנה מחדש בעת כתיבה ושוב בעת קריאה, מתבצעת כאן החלפה של ההצפנה ובאמצע שלב של clear text כלומר, מי שיטמיע את הפתרון, יטמיע לעצמו מתקפה של men in the middle קלאסית.

image credit to blocksandfiles.com

Vast storage to the rescue?

במסגרת storage field day האחרון, נחשפה באופן מסודר חברת Vast storage. הם הציגו סוג חדש של טכנולוגית חסכון בנפח והיו לי ציפיות גדולות מהם ספציפית בעניין של חסכון בנפח עבור מידע מוצפן כי כריס מלור האהוב על כולנו כתב שהם מסוגלים לייצר חסכון של 1:5 גם על מידע שכבר עבר חסכון של 5:1 על ידי קומוולט. במקום לבצע דחיסה וביטול כפילויות, הם מציגים חישוב חדש שמתבסס על בלוקים לא זהים אלא דומים. כשהמערכת הכי קטנה שהם מתכוונים למכור היא פטה שלם של מידע ויכולה לגדול לפטות רבות, הסיכוי למצוא בלוקים דומים, עולה. הם מבצעים Hash על כל הבלוקים ולכל האש כזה נותנים מספר מזהה לפי אלגוריתם חיפוש הדמיון שלהם. אם יש בלוקים שחולקים את המספר המזהה, הם מקובצים ביחד ואז נשמר רק אחד מהם כבלוק ייחוס ונוצרות דלתות כדי לייצג את שאר הבלוקים במקבץ. נשמע ממש מגניב אבל כמו שרנן אומר, גם הם לא יכולים לספק חסכון משמעותי במידה והמידע מוצפן, אולי אם הצפנתם מידע דומה באלגוריתם הצפנה דומה עם מפתח הצפנה דומה.

אגב רנן חלק שמעביר כאן את ההדרכה, מייסד ומנכ"ל החברה ולשעבר VP R&D של ExtremeIO מדליק את הקבוצה בסביבות דקה 6:05 עם ההערה שלא צריך יותר לגבות, סנפשוטים זה מספיק. אני כמובן חולק עליו אבל אני לא איש R&D כמוהו ומה שעובד במחקר לא תמיד עובד בשטח.

תראו למשל את מה שקרה בשבוע שעבר לענקית הפלדה Norsk Hydro, חברה שמעסיקה 35,000 איש שעברה לעבוד עם דפים וכלי כתיבה אחרי שמערך המחשוב שלה הושבת כליל אחרי מתקפת Ransom והיום מודיע ש"רבית" השירותים שלה חזרו לתפקוד, רק חלק ואחרי שבוע!

נקודה נוספת ששווה התייחסות בקליפ זה ה shout out של כריס אוונס עלינו, אינפינידט, תודה כריס! (דקה 7:35)


Renen Hallak, CEO introducing Vast at #SFD18

באופן כללי אני חושב שהטכנולוגיה שלהם מעניינת והפתרון נחמד מאד אבל לא ראיתי מהפכה אמתית כמו שהם טוענים כלומר, כשרנן מדבר על זה שהם המציאו מתמטיקה חדשה, אני מרים גבות כי מרבית הפתרונות בעולם יספיקו למרבית השימושים בעולם, כולל שימושים שעוד לא חשבנו עליהם, אם רק נזרוק עליהם מספיק NVMe, פריצת דרך זה לא.

שימו לב לנקודה אחת אחרת בהקשר שלהם, תראו את פער המחירים בין NL-SAS לבין SSD על פי המחירים שהם רואים, זה עוד יותר קיצוני ומובהק מהמספרים שאנחנו מציגים אפילו!

screenshot from the #SFD18 video above

כלים שימושיים בסביבות VMware

השנה התקבלתי שוב לתכנית vExpert לשמחתי הרבה והיה לי כיף לגלות שעדיין יש לי מה ללמוד גם ברמת הבסיס. באחד הפרקים האחרונים של Virtually speaking סקרו את עשרת הכלים הכי שימושיים לאדמינים של סביבות ESXi ואלו שלושה כלים שלא הכרתי ונראים לי מאד שימושיים:

ONYX – אוניקס הוא תוסף שמתרגם פעולות מהממשק הוובי של vCenter לקוד powercli. נראה לי כמו כלי סופר יעיל לגשר בין כלי GUI אינטואיטיבי ובין עולמות ה API בהם אנחנו אשכרה צריכים לדעת מה אנחנו רוצים לעשות. הפלט כמובן ניתן לעריכה והתאמה ולכן יכול לשמש אותנו כטמפלט מעכשיו הלאה

HCIBench – אם אתם זוכרים, כבר כתבתי כאן פעם על VDBench, הכלי המועדף עלינו לבדיקות ביצועים. מסתבר שיש פלינג נחמד שמבצע auto deployment לסביבה מבוססת VDBench להרצת בדיקות ביצועים של HCI, ממש מגניב!

שני הכלים האלו הם פלינגים, כלים ותוכנות שלא נתמכים רשמית על ידי VMware אבל כן מפותחים ונתמכים על ידי הקהילה ועובדי VMware, משהו כמו code.infinidat.com שלנו רק, מה לעשות, גדול עשיר ומרשים יותר.

הכלי השלישי הוא הכלי האהוב עלי ברשימה, או יותר נכון הכלי שהכי הרשים אותי.

As-Built-Report – יא וורדי איזה כלי, ממש התביישתי שלא הכרתי אותו עדיין, כלי קהילה, open source, שמאפשר לייצר דוחות מותאמים אישית על כלל סביבת ה IT הקיימת כולל vSphere, NSX, Cisco UCS, Nutanix, Pure, ממש שווה להעיף מבט על הכלי.

שויין, זה מה שיש לי להפעם,

אני מנסה לבשל גם איזה פוסט על אנשי פריסייל מתחילים שמתביישים לשאול את הלקוח שלהם שאלות ואנשי מכירות מתחילים שחושבים שזה הגיוני להגיע לפגישה הראשונה עם הצעת פתרון עוד לפני שהם שמעו מהלקוח באופן מדוסר מה הוא מחפש להשיג אבל אני לא מצליח לכתוב את זה בלי שיראה כמו מניפסטו נזעם אז אני דוחה את זה עוד קצת.

אה, ואגב, אני מחפש חבר לצוות שלי לתפקיד Technical Advisor שדומה קצת לתפקידי TAM/TAC  בחברות אחרות או  תפקידי Success בסטארט-אפים מגניבים אז אם אתה מתאימים או מכירים מישהי\מישהו, תהיו חברים!

שלכם כמו תמיד,

ניר מליק

מודעות פרסומת