儲(chǔ)存加密指的是當(dāng)數(shù)據(jù)從前端服務(wù)器輸出,或在寫進(jìn)儲(chǔ)存媒體之前通過(guò)系統(tǒng)為數(shù)據(jù)加密,以確保存放在儲(chǔ)存媒體上的數(shù)據(jù)只有經(jīng)過(guò)授權(quán)才能讀取。
一、存儲(chǔ)加密問(wèn)題的提出
長(zhǎng)久以來(lái),儲(chǔ)存系統(tǒng)的安全是企業(yè)信息系統(tǒng)中較容易受到忽略的環(huán)節(jié),由于過(guò)去的儲(chǔ)存設(shè)備都是采用DAS架構(gòu),直接與前端的主機(jī)連接,外界要存取儲(chǔ)存設(shè)備的唯一通道是經(jīng)由前端的主機(jī),因此只要主機(jī)安全,則后端的儲(chǔ)存設(shè)備也是安全的。 然而許多大型企業(yè)的儲(chǔ)存架構(gòu),多半已改用儲(chǔ)存局域網(wǎng)絡(luò)(SAN)或網(wǎng)絡(luò)儲(chǔ)存系統(tǒng)(NAS),通過(guò)光纖信道(FC)或IP網(wǎng)絡(luò)的連接,整合整個(gè)企業(yè)的儲(chǔ)存資源,以提高運(yùn)用效率。但由于含有許多交換器或網(wǎng)關(guān)器的儲(chǔ)存網(wǎng)絡(luò)可允許用戶從多個(gè)接入點(diǎn)存取儲(chǔ)存資源,因此儲(chǔ)存資源遭受攻擊或非授權(quán)存取的機(jī)率也就大為提高。
不過(guò)企業(yè)本地端的SAN或NAS畢竟是由企業(yè)自行掌控,因此問(wèn)題相對(duì)較小,除非遭遇企業(yè)內(nèi)鬼。但如果是將數(shù)據(jù)送到遠(yuǎn)程供作異地備援時(shí),所會(huì)遭遇的風(fēng)險(xiǎn)程度就會(huì)完全不同。 在不同數(shù)據(jù)中心的SAN之間,只要通過(guò)主機(jī)端、網(wǎng)關(guān)器端或儲(chǔ)存設(shè)備端的復(fù)制軟件,就能將數(shù)據(jù)以同步或異步的方式復(fù)制數(shù)據(jù)。然而由于數(shù)據(jù)離開數(shù)據(jù)中心后,所經(jīng)過(guò)的線路設(shè)備所有權(quán)并不是企業(yè)所擁有,而多是固網(wǎng)業(yè)者提供給企業(yè)租用。即使這些線路是由企業(yè)所自行建置,但管理單位也與SAN的管理單位不同,因此在數(shù)據(jù)傳輸?shù)耐瑫r(shí),也會(huì)面臨在黑客從網(wǎng)絡(luò)上任一節(jié)點(diǎn)擷取數(shù)據(jù),導(dǎo)致數(shù)據(jù)外泄的風(fēng)險(xiǎn)。
所以企業(yè)數(shù)據(jù)的保護(hù)可分為3個(gè)層級(jí):第一層為網(wǎng)絡(luò)防護(hù),這部分包括防火墻、防毒軟件、入侵偵測(cè)軟件或VPN等;第二層為身份認(rèn)證,也就是對(duì)不同身份的人員分別建立不同存取權(quán)限,也可搭配辨識(shí)系統(tǒng)使用;第三層則是數(shù)據(jù)保護(hù),即儲(chǔ)存加密,對(duì)寫入儲(chǔ)存媒體系統(tǒng)的數(shù)據(jù)進(jìn)行加密編碼,就算數(shù)據(jù)遺失也無(wú)法被解讀出有意義的內(nèi)容,從而減輕數(shù)據(jù)遺失造成的損失,所以說(shuō)加密是數(shù)據(jù)安全的最后一道關(guān)卡。
二、儲(chǔ)存加密的分類
加密可以從信息系統(tǒng)的多個(gè)環(huán)節(jié),分別以多種方式進(jìn)行,以加密裝置可分為硬件加密或軟件加密,以執(zhí)行加密的環(huán)節(jié)則可區(qū)分為主機(jī)層(Host-base)、網(wǎng)絡(luò)層(Network-base)與儲(chǔ)存層(Storage-base)。
1. 硬件加密與軟件加密
軟件加密的優(yōu)點(diǎn)是使用方便,只要安裝軟件,開啟選項(xiàng)即能自動(dòng)執(zhí)行。但軟件加密的缺點(diǎn)是加密運(yùn)算將會(huì)增加系統(tǒng)負(fù)擔(dān),拖累效能。而且密鑰檔的保管也相當(dāng)麻煩,如果密鑰存放在服務(wù)器上,則有可能遭到黑客的復(fù)制或盜取;如果將密鑰轉(zhuǎn)出并交由管理人員保管,則又有容易遺失的問(wèn)題。另外一旦密鑰文件損毀,則還原資料就會(huì)遇到許多困難。這時(shí)候硬件加密裝置就成為另一種選擇。
硬件加密則是可通過(guò)獨(dú)立的加密硬件來(lái)進(jìn)行加密運(yùn)算,因此不會(huì)拖累系統(tǒng)效能。另外密鑰管理也是通過(guò)獨(dú)立硬件進(jìn)行,不會(huì)受到前端服務(wù)器損毀的影響,而且還可結(jié)合IC卡提供更進(jìn)階的保護(hù)機(jī)制。當(dāng)然反過(guò)來(lái)說(shuō)硬件加密裝置也有價(jià)格較高,以及需要額外布建裝置的麻煩。
表1 硬件加密與軟件加密對(duì)比
2. 主機(jī)、網(wǎng)絡(luò)與儲(chǔ)存媒體加密
主機(jī)層,即加密存儲(chǔ)的管理軟件安裝在主機(jī)上,如卷管理器,卷復(fù)制器。主機(jī)層加密的做法,是在前端欲加密的主機(jī)上安裝加密軟件,當(dāng)數(shù)據(jù)從服務(wù)器輸出時(shí)就已是加密狀態(tài)。
網(wǎng)絡(luò)層是指數(shù)據(jù)在數(shù)據(jù)于儲(chǔ)存網(wǎng)絡(luò)上流通時(shí)加密,而儲(chǔ)存層則是由儲(chǔ)存媒體自身來(lái)加密。網(wǎng)絡(luò)層加密則是通過(guò)在儲(chǔ)存網(wǎng)絡(luò)中插入特殊加密硬件,或是在欲加密的服務(wù)器上安裝加密軟件。而儲(chǔ)存層加密則通過(guò)使用某些帶有身分認(rèn)證與加密機(jī)制的硬盤或磁帶機(jī)就能達(dá)成。理論上,自身附帶加密機(jī)制的儲(chǔ)存設(shè)備在部署上較為方便,用戶無(wú)須再購(gòu)買任何特殊軟硬件。但就管理來(lái)說(shuō),由于企業(yè)通常擁有數(shù)十臺(tái)甚至上百、上千臺(tái)儲(chǔ)存裝置,如果加密是依靠這許多的儲(chǔ)存裝置自身分別執(zhí)行,顯然會(huì)給管理人員帶來(lái)許多困難。相較下主機(jī)層與網(wǎng)絡(luò)層加密就有統(tǒng)一管理的好處,可藉由整合的監(jiān)控臺(tái)來(lái)統(tǒng)一控管,不過(guò)在主機(jī)層加密有損耗服務(wù)器運(yùn)算效能的缺點(diǎn),而網(wǎng)絡(luò)層雖不會(huì)耗損服務(wù)器資源,但會(huì)影響網(wǎng)絡(luò)帶寬。
三、典型部署網(wǎng)絡(luò)環(huán)境
在圖1中,應(yīng)用環(huán)境中的所有數(shù)據(jù)經(jīng)過(guò)光纖交換機(jī)與客戶端的加密(使用Ipsec),在圖中所有由以太網(wǎng)交換機(jī)過(guò)FC傳輸?shù)絅AS存儲(chǔ)設(shè)備的數(shù)據(jù)都經(jīng)過(guò)加密(使用硬件加密)。
圖1 加密存儲(chǔ)的簡(jiǎn)單網(wǎng)絡(luò)環(huán)境
四、當(dāng)前儲(chǔ)存加密產(chǎn)品概覽
目前供企業(yè)使用的儲(chǔ)存加密產(chǎn)品有主機(jī)型、網(wǎng)絡(luò)型加密產(chǎn)品以及加密型儲(chǔ)存媒體三大類,主機(jī)型加密產(chǎn)品一般都是軟件產(chǎn)品,而網(wǎng)絡(luò)型與加密型儲(chǔ)存媒體則多為 硬件設(shè)備。目前主要的硬件加密廠商有剛被NetApp收購(gòu)的Decru,以及Neoscale與MaXXan等,至于曾被美國(guó)國(guó)安局列為指定供貨商的Kasten Chase則已在今年年中停止?fàn)I業(yè),因此其著名的Assurancy SecureData加密器也將隨之逐漸退出市場(chǎng)。
1. Decru DataFort
設(shè)備是企業(yè)級(jí)的存儲(chǔ)加密系統(tǒng),這種基于硬件的系統(tǒng)旨在獲得高可用性和可擴(kuò)展性,性能。DataFort 硬件提供 AES–256 加密、集成密鑰管理以及策略執(zhí)行,對(duì)性能的影響幾乎可忽略不計(jì)。 可擴(kuò)展性。初始部署后易于擴(kuò)展,能夠用一個(gè)管理界面管理企業(yè)數(shù)百個(gè)設(shè)備。簡(jiǎn)單性。DataFort 是一種成套設(shè)備,對(duì)于應(yīng)用程序/操作系統(tǒng)是透明的。
DataFort是一種網(wǎng)關(guān)式應(yīng)用服務(wù)器型產(chǎn)品,典型的部署方式是采后端加密方式運(yùn)作,將DataFort直接接上IP 交換器或光纖信道交換器,透過(guò)交換器將前端送來(lái)的數(shù)據(jù)指向DataFort,經(jīng)DataFort加密后才會(huì)送到儲(chǔ)存裝置。在比較大型的SAN中也可采取前端加密部署,將前端的服務(wù)器分組分別接上DataFort,然后再將數(shù)據(jù)經(jīng)交換器送到儲(chǔ)存裝置上。 DataFort提供的加密機(jī)制為AES256與SHA-1與SHA-256,產(chǎn)品有支持IP網(wǎng)絡(luò)環(huán)境的E系列、支持光纖SAN環(huán)境的FC系列,以及專門針對(duì)SCSI磁帶機(jī)的S系列。另外還有稱做Lifetime Key Management的密鑰管理應(yīng)用服務(wù)器,可為網(wǎng)絡(luò)中的多部 DataFort提供自動(dòng)化的密鑰管理。 圖1 的典型部署網(wǎng)絡(luò)環(huán)境使用的基于硬件的加密設(shè)備使用的就是 DataFort F 系列:SAN/磁帶的 2Gbit 光纖通道。
圖2 Decru DataFort C-Series
Decru的DataFort有E、FC與S三個(gè)系列,可分別支持IP網(wǎng)絡(luò)、光纖信道與SCSI總線。
2. Neoscale
Neoscale的加密器在功能與定位上均與Decru的DataFort相近,產(chǎn)品主要有支持FC儲(chǔ)存網(wǎng)絡(luò)的CryptoStor FC系列,以及針對(duì)FC或SCSI信道磁帶加密的CryptoStor Tape,均能提供3DES、AES與SHA-1、SHA-256等加密機(jī)制,可采前端或后端部署。另外也有一款稱為CryptoStor KeyVault的密鑰管理應(yīng)用服務(wù)器。
隨著用戶受到的遵從壓力越來(lái)越大,NeoScale的2U機(jī)架高度的CryptoStor FC 712設(shè)備是以更高速度鎖住更多數(shù)據(jù)的一條途徑。你現(xiàn)在可以在一臺(tái)設(shè)備后面支持更多的磁帶驅(qū)動(dòng)器,并支持本地的4Gb/s服務(wù)器速度。NeoScale現(xiàn)有的2Gb/s加密設(shè)備FC 702支持兩臺(tái)LTO-3磁帶驅(qū)動(dòng)器或5臺(tái)LTO-2驅(qū)動(dòng)器。FC 712根據(jù)壓縮率的不同,可以連接多達(dá)兩倍數(shù)量的驅(qū)動(dòng)器。
由于內(nèi)建加密功能的儲(chǔ)存設(shè)備才剛陸續(xù)推出,因此目前企業(yè)應(yīng)用的加密產(chǎn)品以主機(jī)或網(wǎng)絡(luò)型產(chǎn)品為主流。而加密硬件雖較昂貴,但因效能及可與儲(chǔ)存網(wǎng)絡(luò)整合的優(yōu)勢(shì),應(yīng)用上和軟件產(chǎn)相比應(yīng)用更加廣泛一些。
責(zé)任編輯:gt
-
光纖
+關(guān)注
關(guān)注
19文章
3869瀏覽量
72955 -
交換機(jī)
+關(guān)注
關(guān)注
21文章
2622瀏覽量
99260
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論