On 14/05/2018 11:47, Kevin CHAILLY | Service Technique wrote:
J'en profite pour rebondir sur le sujet du "Crypt live", qui effectivement devrait être de plus en plus demandé a l'avenir :
En hard
HP propose Smart Array SR Secure Encryption, Les "Self Encrypting Drives"
En soft
Microsoft propose BitLocker, sur les versions récentes de windows. ZFS propose la crypto, très bon pour du *BSD, un peu jeune pour du ZFS-On-Linux. LVM propose aussi de crypter l'ensemble du système. Mac OS X propose FileVault VMware propose de crypter les vm
Avez-vous des retours au niveau performance utilisation de ces différents cas ? ou d'autres cas qui se seraient éventuellement présentés a vous ?
Je dm-crypte ( linux/LVM) pas mal de chose depuis plusieurs années ( Perso & pro):
C'est assez facile à mettre en oeuvre ( 10s quand on sait) et à gérer, les performance sont la. Par exemple sur un serveur "moyen" de 2013: time cryptsetup benchmark ... # Algorithm | Key | Encryption | Decryption aes-cbc 128b 454.0 MiB/s 1135.0 MiB/s ... aes-cbc 256b 400.6 MiB/s 990.1 MiB/s aes-xts 256b 793.2 MiB/s 802.9 MiB/s aes-xts 512b 749.1 MiB/s 739.2 MiB/s ... # ElapsedRealTime=28.514 KernelCPUSecond=23.534 UserCPUSecond=4.455 ( 100%cpu) Soit plus que le débit de mes RAID, sachant que en pratique je suis surtout limité par les IO/s (comme presque tous ?) ou le cryptage n'a pas d'impact et que les serveurs on un usage CPU très modéré. Le cache SSD n'est pas crypté, à voir.
J'imagine des performances comparable sous MSWindows puisque le cryptage est matériel par le cpu. Par contre je n'ai aucun avis sur la facilité de mise en oeuvre sur cet OS.
Ca me parait très correcte. Mesuré au doigt mouillé ( et au monitoring) en comparent avant/après et avec/sans, pour un usage "moyen", c'est complètement transparent.
La seul contrainte (qui peut être assez importante selon votre cas): un homme doit taper le passwd au boot/démarrage du(s) service(s). Avec de la redondance et quelques reboot par an par un admin, c'est gerable sans effort.
C'était la minute témoignage moyen qui se croit représentatif :-)
Cordialement.