Crittografia SDD come tassello fondamentale della cybersecurity. Le memorie allo stato solido, infatti, offrono numerosi vantaggi in termini di prestazioni e affidabilità, ma presentano anche rischi informatici che non possono essere trascurati. È essenziale comprendere e affrontare le vulnerabilità associate agli SSD attraverso una combinazione di pratiche di sicurezza, come la crittografia dei dati, la gestione delle chiavi, la cancellazione sicura dei dati e la protezione fisica. Solo adottando un approccio completo alla sicurezza si può garantire la protezione dei dati sensibili memorizzati sui dischi allo stato solido.
SDD encryption: una tecnologia in continua evoluzione
Gli SSD crittografati esistono da più di un decennio, ma molti professionisti e amministratori di sistema ancora oggi non li comprendono appieno. Il punto di partenza è capire come la loro evoluzione tecnologica sia strettamente legata alla crescente consapevolezza sulla sicurezza dei dati e alle esigenze sempre più stringenti delle organizzazioni e degli utenti finali. Le unità allo stato solido devono essere protette nel datacenter ma anche quando vengono rimosse dall’array e a fine vita quando vengono smaltite.
Negli ultimi anni, infatti, i produttori di SSD hanno sviluppato e implementato diverse tecnologie di crittografia per garantire la sicurezza dei dati, introducendo algoritmi sempre più complessi e sicuri nonché e soluzioni di gestione delle chiavi sempre più sofisticate, offrendo una protezione robusta dei dati sia in movimento che a riposo.
Come funziona la crittografia SSD
La maggior parte degli SSD sono unità con crittografia automatica (SED – Self-Encrypting Drives) che supportano la crittografia interna grazie a un chip di crittografia integrato.
Tuttavia, esistono vari livelli di crittografia, diverse motivazioni per utilizzarla e differenti fornitori. Per scegliere la propria soluzione di riferimento ci sono più aspetti da considerare a partire dal principio di funzionamento.
Un SED codifica i dati mentre vengono scritti sull’unità, utilizzando una chiave di crittografia del disco (DEK – Disk Encryption Keyword) univoca impostata in fabbrica. Solo gli utenti che detengono un’altra chiave, la chiave di crittografia di autenticazione (AEK – Authentication Encryption Key), possono comandare all’SSD di decodificare i dati. Per il cybercrime decodificare i dati senza la chiave consumerebbe una quantità irrealistica di tempo e risorse, ed è proprio questo che eleva i livelli di sicurezza garantiti dalla crittografia SSD.
La maggior parte dei SED utilizza la crittografia AES-128 o AES-256. Questi algoritmi di crittografia standard hanno superato numerosi test di sicurezza. Non è necessario riflettere molto sul tipo di crittografia SSD. In questo caso un’azienda può:
- semplicemente eliminare un SSD dismesso perché è improbabile che un futuro utente recuperi l’AEK
- invocare un comando speciale per disattivare il DEK interno dell’unità, rendendo impossibile il recupero dei dati criptati
Oltre alla crittografia, esistono protocolli SSD gestiti dal Trusted Computing Group (un’organizzazione internazionale senza scopo di lucro che crea standard aperti relativi alla sicurezza delle informazioni – ndr), che verificano i dati più sensibili con una sicurezza ancora maggiore.
Perché la crittografia SSD è importante nei data center…
I clienti di un data center di medie e grandi dimensioni si aspettano che tra i servizi della sala macchine sia inclusa la protezione dei loro dati. Ma un data center, di qualunque tier sia, subisce guasti hardware e ogni tanto deve aggiornare i suoi sistemi. Entrambi i casi potrebbero comportare la sostituzione di un vecchio SSD con uno nuovo. Come già accennato, la maggior parte degli SSD aziendali odierni fornisce già la crittografia nel chip controller dell’SSD. Ma se un vecchio SSD funziona ancora e cade nelle mani sbagliate, i dati custoditi rischiano di essere compromessi. Senza la crittografia SSD, i database finanziari, le cartelle cliniche dei pazienti o i segreti commerciali sono a rischio di esposizione. Qualcuno potrebbe accedere a queste informazioni e causare danni al cliente del data center o ai clienti o ai pazienti di quel cliente. Inoltre, i servizi di recupero dati possono recuperare i chip flash da un SSD danneggiato o guasto, eseguendo il ripristino dei dati per riportare tutto allo stato in cui era prima dell’incidente (anche se può essere un processo costoso, per i malintenzionati l’investimento può essere giustificato). Se i dati sull’SSD guasto sono crittografati, il ripristino produce dati recuperati crittografati, che non possono essere utilizzati senza AEK, quindi i dati sono ancora al sicuro.
… e in qualsiasi altro endpoint dotato di memoria interna
Traslando il ragionamento dai data center ai singoli endpoint, come i PC, i SED possono custodire finanze personali, e-mail private, progetti e quant’altro. Senza crittografia SSD, qualunque utente malintenzionato ha libero accesso a qualsiasi tipo di dato. Ma ci sono tanti altri sistemi suscettibili di furto di dati. Un caso emblematico è stato quello di un’organizzazione criminale che ha acquistato fotocopiatrici digitali dismesse da un fornitore di servizi di stampa e ha esaminato tutti i dati memorizzati sugli HDD della fotocopiatrice. I clienti del centro fotocopie non erano a conoscenza del fatto che le fotocopiatrici fossero dotate di HDD. I criminali hanno recuperato le immagini di centinaia di dichiarazioni dei redditi con numeri di previdenza sociale e altre informazioni sensibili perché la crittografia dei dati dell’HDD non era stata attivata.
Prodotti che offrono la crittografia SSD
La maggior parte degli SSD aziendali odierni fornisce già la crittografia nel chip controller dell’SSD. Tra questi prodotti, gli esperti stilano una lista indicativa:
- Tutti gli SSD aziendali Kioxia
- Serie 5400, 6500 ION, 7450, 9400 e XTR di Micron
- Linea Nytro di SSD SATA e SAS di Seagate
- Tutti gli SSD Samsung
- La maggior parte degli SSD per data center di Solidigm
- Le quattro linee SSD per data center crittografate di Western Digital: Ultrastar DC SN640, 650, 655 e 840
