Когда мы слышим слово «SSD», мы представляем привычные накопители для домашних компьютеров — 2,5-дюймовые SATA SSD или компактные модули M.2. Однако в мире серверных решений и центров обработки данных всё устроено иначе. Здесь используются специализированные SSD, зачастую гигантских по меркам обычных пользователей объёмов, которые не похожи на устройства из настольных компьютеров и ноутбуков. Их разрабатывают с прицелом на объём, надёжность, производительность и энергоэффективность, оптимизируют для плотной установки в серверные стойки.  Сегодня мы расскажем о двух таких форматах — U.2 и EDSFF.

Немного истории

Во времена господства магнитных жёстких дисков ситуация была похожей. Для домашних ПК основным интерфейсом был IDE (позднее ему на смену пришёл SATA, актуальный по сей день), а форм-фактором —  3,5 или 2,5 дюйма. В серверной же среде использовались более надёжные и быстрые SCSI-диски, а позднее — SAS (Serial Attached SCSI), в тех же 3,5″ корпусах, но с другим разъёмом и контроллерами. Серверные накопители всегда предъявляли повышенные требования к отказоустойчивости, пропускной способности и удобству горячей замены в стойках. Подключить серверный накопитель к обычному домашнему компьютеру было невозможно без дополнительных плат расширения HBA с интегрированным контроллером.

Твердотельные накопители и форм-фактор U.2

С приходом SSD стало ясно, что старые интерфейсы и форм-факторы нужно адаптировать. Так появился U.2 — форм-фактор, созданный специально для серверных твердотельных накопителей. Он основан на хорошо знакомом корпусе 2,5″ HDD, что облегчало переход с жёстких дисков на SSD без перестройки инфраструктуры. Главная особенность U.2 — универсальный разъём, поддерживающий сразу три протокола передачи данных: SATA, SAS и NVMe.

Именно благодаря такому сочетанию U.2 стал основным серверным форм-фактором SSD более чем на 10 лет. Он позволял операторам ЦОД и производителям серверов гибко использовать накопители разных типов, облегчал горячую замену дисков и масштабирование хранилищ. Большинство серверных SSD сегодня — это U.2 накопители.

Однако с ростом требований к производительности и переходом к новым поколениям PCIe (5.0 и 6.0) стали проявляться ограничения этого форм-фактора.

EDSFF — современный форм-фактор для серверных SSD

С появлением новых скоростных стандартов передачи данных (PCIe 5.0/6.0) и повышением требований к производительности в таких областях, как искусственный интеллект, начался переход на новый стандарт — EDSFF (Enterprise and Datacenter SSD Form Factor). В отличие от U.2, новый форм-фактор разрабатывался с нуля, без оглядки на наследие жёстких дисков, чтобы максимально эффективно использовать возможности современных интерфейсов и компонентов.

Чем не устраивал U.2?

U.2 базируется на трёхразъёмной топологии подключения: хост — бэкплейн — накопитель. Такая схема прекрасно работала при PCIe 3.0 и даже 4.0, но с ростом скорости в PCIe 5.0 начались проблемы с целостностью сигнала. Чтобы сохранить надёжность передачи, приходилось либо укорачивать шлейфы, либо использовать более дорогие компоненты — платы, кабели, ретаймеры. К тому же разъём U.2 не изолирует пары передачи и приёма сигналов, что приводит к высокому уровню перекрёстных помех, особенно критичных на скоростях PCIe 5.0 и 6.0. Подробнее о проблемах, с которыми столкнулись разработчики нового стандарта, можно прочитать в статье компании Micron, которая является одним из крупнейших производителей как флеш-памяти, так и накопителей (в основном — серверных): U.2 had a good run. It’s time to move on to EDSFF.

Встречаем EDSFF

На замену форм-фактору U.2 пришёл новый стандарт — EDSFF, предлагающий более гибкие схемы подключения — одноразъёмную и двухразъёмную топологии с ортогональными коннекторами. Это позволяет исключить плату-посредник — бэкплейн, и снизить влияние на целостность сигнала. Кроме того, разъём EDSFF изначально проектировался с учётом изоляции передающих и принимающих линий, что позволило минимизировать помехи. На сайте Kioxia новые накопители позиционируются в качестве прямой замены форм-факторов предыдущего поколения:

Форм-фактор EDSFF представлен в нескольких вариантах (E1.S, E1.L, E3.S, E3.L), что позволяет выбирать оптимальный размер накопителя под конкретные задачи. Например, компактный E1.S подходит для NVMe SSD с высокой плотностью установки, а более крупный E3.S используют для производительных решений с высоким тепловыделением. Так выглядят новые форм-факторы (с сайта SSSTC, исследовательского отделения компании Kioxia):

Охлаждение — принципиальный вопрос в серверных стойках, в которых накопители устанавливаются плотными рядами. С ростом производительности SSD возрастает и энергопотребление, а следовательно — выделение тепла, которое нужно отводить. Разработчики утверждают, что накопители в форм-факторе E3.S требуют меньшего воздушного потока для охлаждения по сравнению с U.2 с таким же потреблением. Это — прямое следствие более эффективной конструкции с ортогональным подключением, оптимизированной для прохождения воздушного потока.

Накопители EDSFF

В форм-факторе EDSFF выходят современные модели накопителей — Kioxia XD7P, SMART Modular MP3000 и Solidigm D7-PS1010 с немыслимым для «домашних» накопителей максимальным объёмом в 15.36 TB. Так выглядит Solidigm D7-PS1010 в форм-факторе U.2:

Он же — в новом форм-факторе EDSFF E3.S:

А так выглядит накопитель SMARTM MP3000 в формате EDSFF E1.S:

Что означает новый форм-фактор для экспертов-криминалистов

В контексте компьютерной криминалистики физический доступ к накопителю традиционно считается важным преимуществом. Изъятие SSD или HDD позволяет экспертам извлекать данные напрямую, в обход операционной системы или сетевой инфраструктуры. Однако когда речь идёт о серверных и датацентровых накопителях ситуация меняется радикально.

Во-первых, стоит признать, что распространённость накопителей EDSFF за пределами датацентров крайне мала. Этот форм-фактор предназначен исключительно для серверов и корпоративных систем, а значит, в типичных сценариях криминалистической лаборатории он встречаться не будет, что затруднит физическое подключение накопителя к стенду. Для подключения единичного диска можно использовать недорогой адаптер для слота PCIe (в конце концов, за исключениеи физических особенностей интерфейса EDSFF — это обычный PCIe с протоколом NVMe):

Несмотря на это, извлечение накопителей из серверов датацентров практически всегда бесполезно с точки зрения доступа к данным: в состав пула может входить множество накопителей, и извлечение одного из них не позволит получить доступа к данным даже без учёта шифрования.

Корпоративные SSD используют многоуровневые схемы шифрования, которые делают содержимое накопителей недоступным даже при полном физическом контроле над устройством. Типичная конфигурация защиты включает:

• Аппаратное шифрование на уровне диска (SED, Self-Encrypting Drive, стандарт IEEE 1667 / TCG Opal). Корпоративные накопители по умолчанию поддерживают аппаратное шифрование на уровне контроллера (Lenovo, ATP).  Без ключа расшифровки (обычно хранящегося в оперативной памяти контроллера или системе управления) доступ к данным невозможен. Отметим, однако, что аппаратное шифрование хоть и поддерживается всеми производителями корпоративных накопителей, но является опциональным; его включение зависит от конфигурации системы.
• Шифрование на уровне пула или логического тома. Накопители в стойках объединяются в пулы с избыточностью хранения данных. Данные на массиве из нескольких накопителей дополнительно шифруются средствами операционной системы или ПО управления хранилищем.
• Шифрование данных. Сами данные (файлы, папки, базы данных, отдельные записи) могут быть дополнительно зашифрованы на логическом уровне (например, аналогично тому, как это реализовано в облачном сервисе iCloud).

При правильной конфигурации ключи шифрования хранятся отдельно от данных и их копий на накопителях (а в случае с Apple — даже не в том же физическом датацентре); соответственно, бесполезным будет как извлечение только дисков, так и всего сервера целиком.

Эта многоуровневая защита проектируется с учётом угроз физической компрометации — от кражи отдельного диска до захвата всего сервера или датацентра. Это стандартная модель угроз для enterprise-данных. Она учитывает кражу отдельных дисков, серверов и даже датацентров (пример — защита против злонамеренного инсайдера или физического вторжения); см. NIST SP 800-111.

Даже если гипотетически извлечь накопитель EDSFF из серверной стойки, без доступа к ключам всех уровней шифрования любые криминалистические методы (включая анализ образов диска, попытки прямого чтения NAND-чипов и т.д.) не дадут результата за исключением экзотических атак в специфических конфигурациях — к примеру, cold boot attack (ключи в DRAM при сбросе питания) или side-channel attacks (экзотика).

Конечно, исключения возможны — например, в случае ошибок администрирования или саботажа, когда шифрование настроено некорректно или неактивно. Но в индустрии, где защита данных критически важна и автоматизирована, такие случаи крайне редки.

Таким образом, для криминалистов появление EDSFF не несёт принципиальных изменений — оно просто продолжает тренд на усложнение физического доступа к данным в датацентрах. Более того, повышенные плотность, уникальные разъёмы и особенности монтажа этих накопителей дополнительно затрудняют их анализ вне родной инфраструктуры. Как бы парадоксально это ни звучало, но для экспертов-криминалистов чем новее и совершеннее форм-фактор — тем меньше пользы от физического изъятия такого устройства.