储存加密指的是当数据从前端服务器输出,或在写进储存媒体之前通过系统为数据加密,以确保存放在储存媒体上的数据只有经过授权才能读取。
一、存储加密问题的提出
长久以来,储存系统的安全是企业信息系统中较容易受到忽略的环节,由于过去的储存设备都是采用DAS架构,直接与前端的主机连接,外界要存取储存设备的唯一通道是经由前端的主机,因此只要主机安全,则后端的储存设备也是安全的。 然而许多大型企业的储存架构,多半已改用储存局域网络(SAN)或网络储存系统(NAS),通过光纤信道(FC)或IP网络的连接,整合整个企业的储存资源,以提高运用效率。但由于含有许多交换器或网关器的储存网络可允许用户从多个接入点存取储存资源,因此储存资源遭受攻击或非授权存取的机率也就大为提高。
不过企业本地端的SAN或NAS毕竟是由企业自行掌控,因此问题相对较小,除非遭遇企业内鬼。但如果是将数据送到远程供作异地备援时,所会遭遇的风险程度就会完全不同。 在不同数据中心的SAN之间,只要通过主机端、网关器端或储存设备端的复制软件,就能将数据以同步或异步的方式复制数据。然而由于数据离开数据中心后,所经过的线路设备所有权并不是企业所拥有,而多是固网业者提供给企业租用。即使这些线路是由企业所自行建置,但管理单位也与SAN的管理单位不同,因此在数据传输的同时,也会面临在黑客从网络上任一节点撷取数据,导致数据外泄的风险。
所以企业数据的保护可分为3个层级:第一层为网络防护,这部分包括防火墙、防毒软件、入侵侦测软件或VPN等;第二层为身份认证,也就是对不同身份的人员分别建立不同存取权限,也可搭配辨识系统使用;第三层则是数据保护,即储存加密,对写入储存媒体系统的数据进行加密编码,就算数据遗失也无法被解读出有意义的内容,从而减轻数据遗失造成的损失,所以说加密是数据安全的最后一道关卡。
二、储存加密的分类
加密可以从信息系统的多个环节,分别以多种方式进行,以加密装置可分为硬件加密或软件加密,以执行加密的环节则可区分为主机层(Host-base)、网络层(Network-base)与储存层(Storage-base)。
1. 硬件加密与软件加密
软件加密的优点是使用方便,只要安装软件,开启选项即能自动执行。但软件加密的缺点是加密运算将会增加系统负担,拖累效能。而且密钥档的保管也相当麻烦,如果密钥存放在服务器上,则有可能遭到黑客的复制或盗取;如果将密钥转出并交由管理人员保管,则又有容易遗失的问题。另外一旦密钥文件损毁,则还原资料就会遇到许多困难。这时候硬件加密装置就成为另一种选择。
硬件加密则是可通过独立的加密硬件来进行加密运算,因此不会拖累系统效能。另外密钥管理也是通过独立硬件进行,不会受到前端服务器损毁的影响,而且还可结合IC卡提供更进阶的保护机制。当然反过来说硬件加密装置也有价格较高,以及需要额外布建装置的麻烦。
表1 硬件加密与软件加密对比
2. 主机、网络与储存媒体加密
主机层,即加密存储的管理软件安装在主机上,如卷管理器,卷复制器。主机层加密的做法,是在前端欲加密的主机上安装加密软件,当数据从服务器输出时就已是加密状态。
网络层是指数据在数据于储存网络上流通时加密,而储存层则是由储存媒体自身来加密。网络层加密则是通过在储存网络中插入特殊加密硬件,或是在欲加密的服务器上安装加密软件。而储存层加密则通过使用某些带有身分认证与加密机制的硬盘或磁带机就能达成。理论上,自身附带加密机制的储存设备在部署上较为方便,用户无须再购买任何特殊软硬件。但就管理来说,由于企业通常拥有数十台甚至上百、上千台储存装置,如果加密是依靠这许多的储存装置自身分别执行,显然会给管理人员带来许多困难。相较下主机层与网络层加密就有统一管理的好处,可藉由整合的监控台来统一控管,不过在主机层加密有损耗服务器运算效能的缺点,而网络层虽不会耗损服务器资源,但会影响网络带宽。
三、典型部署网络环境
在图1中,应用环境中的所有数据经过光纤交换机与客户端的加密(使用Ipsec),在图中所有由以太网交换机过FC传输到NAS存储设备的数据都经过加密(使用硬件加密)。
图1 加密存储的简单网络环境
四、当前储存加密产品概览
目前供企业使用的储存加密产品有主机型、网络型加密产品以及加密型储存媒体三大类,主机型加密产品一般都是软件产品,而网络型与加密型储存媒体则多为 硬件设备。目前主要的硬件加密厂商有刚被NetApp收购的Decru,以及Neoscale与MaXXan等,至于曾被美国国安局列为指定供货商的Kasten Chase则已在今年年中停止营业,因此其著名的Assurancy SecureData加密器也将随之逐渐退出市场。
1. Decru DataFort
设备是企业级的存储加密系统,这种基于硬件的系统旨在获得高可用性和可扩展性,性能。DataFort 硬件提供 AES–256 加密、集成密钥管理以及策略执行,对性能的影响几乎可忽略不计。 可扩展性。初始部署后易于扩展,能够用一个管理界面管理企业数百个设备。简单性。DataFort 是一种成套设备,对于应用程序/操作系统是透明的。
DataFort是一种网关式应用服务器型产品,典型的部署方式是采后端加密方式运作,将DataFort直接接上IP 交换器或光纤信道交换器,透过交换器将前端送来的数据指向DataFort,经DataFort加密后才会送到储存装置。在比较大型的SAN中也可采取前端加密部署,将前端的服务器分组分别接上DataFort,然后再将数据经交换器送到储存装置上。 DataFort提供的加密机制为AES256与SHA-1与SHA-256,产品有支持IP网络环境的E系列、支持光纤SAN环境的FC系列,以及专门针对SCSI磁带机的S系列。另外还有称做Lifetime Key Management的密钥管理应用服务器,可为网络中的多部 DataFort提供自动化的密钥管理。 图1 的典型部署网络环境使用的基于硬件的加密设备使用的就是 DataFort F 系列:SAN/磁带的 2Gbit 光纤通道。
图2 Decru DataFort C-Series
Decru的DataFort有E、FC与S三个系列,可分别支持IP网络、光纤信道与SCSI总线。
2. Neoscale
Neoscale的加密器在功能与定位上均与Decru的DataFort相近,产品主要有支持FC储存网络的CryptoStor FC系列,以及针对FC或SCSI信道磁带加密的CryptoStor Tape,均能提供3DES、AES与SHA-1、SHA-256等加密机制,可采前端或后端部署。另外也有一款称为CryptoStor KeyVault的密钥管理应用服务器。
随着用户受到的遵从压力越来越大,NeoScale的2U机架高度的CryptoStor FC 712设备是以更高速度锁住更多数据的一条途径。你现在可以在一台设备后面支持更多的磁带驱动器,并支持本地的4Gb/s服务器速度。NeoScale现有的2Gb/s加密设备FC 702支持两台LTO-3磁带驱动器或5台LTO-2驱动器。FC 712根据压缩率的不同,可以连接多达两倍数量的驱动器。
由于内建加密功能的储存设备才刚陆续推出,因此目前企业应用的加密产品以主机或网络型产品为主流。而加密硬件虽较昂贵,但因效能及可与储存网络整合的优势,应用上和软件产相比应用更加广泛一些。
责任编辑:gt
全部0条评论
快来发表一下你的评论吧 !