Queste informazioni sul supporto sono fornite dal team di gestione dei prodotti
Aggiornato
Agosto, 2017
DE
supporta l'utilizzo di unità Solid State Drive (SSD) con prestazioni ottimali. Non sono presenti impostazioni o funzionalità speciali che gli amministratori devono attivare per l'utilizzo ottimizzato di SSD. Tuttavia, ci sono alcuni punti di discussione che devono essere compresi e considerati insieme a SSD e cifratura.
Prestazioni della crittografia su SSD
I prodotti DE Encryption sfruttano l'accelerazione hardware offerta dall'utilizzo della tecnologia Intel AES-NI per consentire prestazioni quasi native. Senza un processore compatibile AES-NI, non è possibile raggiungere prestazioni native vicine.
DE offre un notevole miglioramento delle prestazioni degli SSD rispetto alle versioni precedenti a causa di un'implementazione e di un utilizzo estremamente ottimizzati di AES-NI e architettura dei driver.
Esistono due tipi di SSD di grandi gamma:
- Unità che non comprimono i dati prima della scrittura nell'archivio (ad esempio, Intel SSD 320 Series)
- Unità che comprimeno i dati prima della scrittura in memoria (ad esempio, una serie Intel SSD 520)
I test mostrano che sulle unità che non comprimono i dati, le esperienze di cifratura si avvicinano alle prestazioni native nelle operazioni di lettura e scrittura.
Le unità che comprimono i dati mostrano un comportamento leggermente diverso a seconda del test eseguito:
- I test mostrano che le esperienze di cifratura si avvicinano alle prestazioni native sulle operazioni di lettura indipendentemente dai dati di test campione.
- Per i test di scrittura che utilizzano dati casuali, non è possibile eseguire alcuna compressione dall'unità; Pertanto, le prestazioni di scrittura crittografate sono vicine alle prestazioni di scrittura non crittografate.
- Per i test di scrittura che utilizzano dati ripetuti (compressibili):
- L'unità può ridurre la quantità di dati reali da scrivere nel caso non crittografato, in modo da aumentare la velocità di trasmissione dell'unità.
- L'unità non è in grado di ridurre la quantità di dati reali da scrivere nel caso crittografato perché la cifratura dei dati ripetuti risulta in dati casuali che non possono essere compressi.
- Questi risultati forniscono una disparità apparente nelle velocità di scrittura tra uno stato crittografato e non crittografato quando si utilizzano dati ripetuti.
- Si consiglia, durante il test delle prestazioni dell'unità, di utilizzare dati casuali per garantire un confronto equo. Ciò rimuove efficacemente gli effetti della compressione dal test.
SSD e livellamento dell'usura
Le caratteristiche fisiche delle unità SSD indicano che ogni singolo componente di storage ha un numero limitato di cicli di cancellazione prima che diventi inaffidabile. Per estendere il ciclo di vita di un SSD, il livellamento dell'usura viene utilizzato dalle unità per garantire che il numero di cicli di cancellazione venga distribuito equamente nell'intero spazio degli indirizzi dell'unità. Lo spazio di indirizzi fisico di un SSD può essere maggiore dello spazio indirizzabile logico per garantire che alcuni buffer per il livellamento dell'usura quando l'unità è piena.
Esiste una mappatura tra l'indirizzo logico e l'indirizzo fisico per i dati sull'unità. Ad esempio, la pagina logica 0 viene memorizzata all'indirizzo 20480. Se la pagina logica 0 viene riscritta nuovamente, è quasi certo che venga scritta in un percorso fisico differente. Questa mappatura determina la possibilità che sia presente una versione non crittografata (legacy) e crittografata (corrente) della stessa pagina sul dispositivo fisico, anche se in due posizioni diverse.
Ciò ha un'implicazione per la sicurezza perché i dati non crittografati a un determinato indirizzo fisico possono essere recuperati dal disco in modo forense fino al momento in cui i nuovi dati vengono scritti su quell'indirizzo fisico. È per questo motivo che si consiglia di crittografare sempre completamente tutti i volumi su un SSD prima che i dati sensibili vengano inseriti nell'unità. Se i dati sensibili sono mai esistiti sull'unità prima che vengano crittografati, c'è sempre la possibilità teorica di fuga di dati.
Quando si esegue la cifratura iniziale su un SSD, ogni unità di archiviazione (o blocco) viene scritta una sola volta. In genere, ogni unità di archiviazione supporta approssimativamente tra i cicli di cancellazione 3.000 e 10.000, a seconda della tecnologia utilizzata. Pertanto, la cifratura iniziale dell'SSD non riduce il ciclo di vita di un SSD in modo significativo.
Modifica dei file di dati
L'architettura degli SSD suddivide lo spazio indirizzabile in pagine fisiche (4 KB) raggruppate in blocchi (512 KB). Se una pagina è contrassegnata come vuota, la scrittura in quella pagina è molto rapida. Se una pagina contiene alcuni dati validi insieme ad alcuni dati non validi e non esistono più pagine vuote, la scrittura nei blocchi di dati non validi in quella pagina è molto più lenta perché l'unità deve eseguire le azioni seguenti:
- Leggere il/i blocco/i valido/i in un cache.
- Cancellare la pagina che cancella i blocchi di dati non validi.
- Scrivere nuovamente i blocchi validi precedenti nella pagina.
- Scrivere i nuovi dati nel blocco o nei blocchi vuoti.
Per evitare la sequenza di scritture precedenti, la maggior parte delle SSD mantiene disponibile un'ampia area di blocchi di ricambio per facilitare la scrittura di dati in arrivo (nuovi o modificati) durante la gestione di un vigoroso offline (nessuna lettura o scrittura che si verifichi sull'unità) pulizia dei blocchi di dati invalidati.
Comando Trim
Trim è un comando fornito da SSD utilizzato dai sistemi operativi per notificare all'unità quando le pagine dell'unità non sono più utilizzate dal file System.
Ad esempio, quando si elimina un file, il file viene semplicemente rimosso dall'indice del file System. Su un SSD, a meno che il sistema operativo non notifica all'unità che le pagine che in precedenza ospitavano il file non sono più in uso, l'SSD non saprà che tali pagine possono ora essere considerate vuote. Pertanto, durante la scrittura su tali pagine, continuerà a trattare i file eliminati del sistema operativo come dati validi. Poiché più di questi file eliminati del sistema operativo si accumulano, il più lento viene eseguito dall'SSD. Il comando Trim esegue un servizio importante che informa l'unità SSD che le pagine elencate dal sistema operativo nel comando Trim sono ora considerate come dati eliminati e sono disponibili per la cancellazione e le scritture future.
IMPORTANTE: Si consiglia di attivare la funzionalità di ritaglio, indipendentemente dal fatto che l'unità SSD sia crittografata.
Crittografia delle funzionalità di settori utilizzati in DE 7.1.0 e versioni successive
Questa patch introduce una nuova funzione per aumentare la velocità del processo di cifratura iniziale crittografando solo i settori in uso dal file System. Sarà disponibile solo con la funzione di attivazione offline e dovrebbe essere utilizzato con attenzione sugli SSD a causa dei problemi di fuga di dati citati nella sezione di livellamento dell'usura sopra.
IMPORTANTE: Si consiglia di non utilizzare questo crittografia solo settori utilizzati funzionalità su SSD che contengono dati sensibili. Su SSD completamente nuovi, questa funzionalità può essere utilizzata prima che i dati sensibili vengano scritti sull'unità.