儲(chǔ)存加密指的是當(dāng)數(shù)據(jù)從前端服務(wù)器輸出�����,或在寫(xiě)進(jìn)儲(chǔ)存媒體之前通過(guò)系統(tǒng)為數(shù)據(jù)加密,以確保存放在儲(chǔ)存媒體上的數(shù)據(jù)只有經(jīng)過(guò)授權(quán)才能讀取���。
一����、存儲(chǔ)加密問(wèn)題的提出
長(zhǎng)久以來(lái),儲(chǔ)存系統(tǒng)的安全是企業(yè)信息系統(tǒng)中較容易受到忽略的環(huán)節(jié)��,由于過(guò)去的儲(chǔ)存設(shè)備都是采用DAS架構(gòu)���,直接與前端的主機(jī)連接,外界要存取儲(chǔ)存設(shè)備的唯一通道是經(jīng)由前端的主機(jī)�����,因此只要主機(jī)安全����,則后端的儲(chǔ)存設(shè)備也是安全的。 然而許多大型企業(yè)的儲(chǔ)存架構(gòu)����,多半已改用儲(chǔ)存局域網(wǎng)絡(luò)(SAN)或網(wǎng)絡(luò)儲(chǔ)存系統(tǒng)(NAS),通過(guò)光纖信道(FC)或IP網(wǎng)絡(luò)的連接����,整合整個(gè)企業(yè)的儲(chǔ)存資源,以提高運(yùn)用效率����。但由于含有許多交換器或網(wǎng)關(guān)器的儲(chǔ)存網(wǎng)絡(luò)可允許用戶(hù)從多個(gè)接入點(diǎn)存取儲(chǔ)存資源���,因此儲(chǔ)存資源遭受攻擊或非授權(quán)存取的機(jī)率也就大為提高。
不過(guò)企業(yè)本地端的SAN或NAS畢竟是由企業(yè)自行掌控���,因此問(wèn)題相對(duì)較小����,除非遭遇企業(yè)內(nèi)鬼����。但如果是將數(shù)據(jù)送到遠(yuǎn)程供作異地備援時(shí),所會(huì)遭遇的風(fēng)險(xiǎn)程度就會(huì)完全不同�。 在不同數(shù)據(jù)中心的SAN之間,只要通過(guò)主機(jī)端��、網(wǎng)關(guān)器端或儲(chǔ)存設(shè)備端的復(fù)制軟件�,就能將數(shù)據(jù)以同步或異步的方式復(fù)制數(shù)據(jù)。然而由于數(shù)據(jù)離開(kāi)數(shù)據(jù)中心后���,所經(jīng)過(guò)的線路設(shè)備所有權(quán)并不是企業(yè)所擁有��,而多是固網(wǎng)業(yè)者提供給企業(yè)租用����。即使這些線路是由企業(yè)所自行建置,但管理單位也與SAN的管理單位不同����,因此在數(shù)據(jù)傳輸?shù)耐瑫r(shí),也會(huì)面臨在黑客從網(wǎng)絡(luò)上任一節(jié)點(diǎn)擷取數(shù)據(jù)����,導(dǎo)致數(shù)據(jù)外泄的風(fēng)險(xiǎn)。
所以企業(yè)數(shù)據(jù)的保護(hù)可分為3個(gè)層級(jí):第一層為網(wǎng)絡(luò)防護(hù)���,這部分包括防火墻、防毒軟件����、入侵偵測(cè)軟件或VPN等;第二層為身份認(rèn)證���,也就是對(duì)不同身份的人員分別建立不同存取權(quán)限��,也可搭配辨識(shí)系統(tǒng)使用�;第三層則是數(shù)據(jù)保護(hù)��,即儲(chǔ)存加密�����,對(duì)寫(xiě)入儲(chǔ)存媒體系統(tǒng)的數(shù)據(jù)進(jìn)行加密編碼,就算數(shù)據(jù)遺失也無(wú)法被解讀出有意義的內(nèi)容����,從而減輕數(shù)據(jù)遺失造成的損失,所以說(shuō)加密是數(shù)據(jù)安全的最后一道關(guān)卡����。
二、儲(chǔ)存加密的分類(lèi)
加密可以從信息系統(tǒng)的多個(gè)環(huán)節(jié)��,分別以多種方式進(jìn)行�����,以加密裝置可分為硬件加密或軟件加密����,以執(zhí)行加密的環(huán)節(jié)則可區(qū)分為主機(jī)層(Host-base)、網(wǎng)絡(luò)層(Network-base)與儲(chǔ)存層(Storage-base)�����。
1. 硬件加密與軟件加密
軟件加密的優(yōu)點(diǎn)是使用方便,只要安裝軟件�,開(kāi)啟選項(xiàng)即能自動(dòng)執(zhí)行。但軟件加密的缺點(diǎn)是加密運(yùn)算將會(huì)增加系統(tǒng)負(fù)擔(dān)�����,拖累效能�����。而且密鑰檔的保管也相當(dāng)麻煩�����,如果密鑰存放在服務(wù)器上��,則有可能遭到黑客的復(fù)制或盜��������;如果將密鑰轉(zhuǎn)出并交由管理人員保管,則又有容易遺失的問(wèn)題���。另外一旦密鑰文件損毀�����,則還原資料就會(huì)遇到許多困難��。這時(shí)候硬件加密裝置就成為另一種選擇�。
硬件加密則是可通過(guò)獨(dú)立的加密硬件來(lái)進(jìn)行加密運(yùn)算,因此不會(huì)拖累系統(tǒng)效能�����。另外密鑰管理也是通過(guò)獨(dú)立硬件進(jìn)行���,不會(huì)受到前端服務(wù)器損毀的影響��,而且還可結(jié)合IC卡提供更進(jìn)階的保護(hù)機(jī)制�。當(dāng)然反過(guò)來(lái)說(shuō)硬件加密裝置也有價(jià)格較高����,以及需要額外布建裝置的麻煩。 表1 是硬件加密與軟件加密對(duì)比
2. 主機(jī)�、網(wǎng)絡(luò)與儲(chǔ)存媒體加密
主機(jī)層,即加密存儲(chǔ)的管理軟件安裝在主機(jī)上�,如卷管理器,卷復(fù)制器。主機(jī)層加密的做法���,是在前端欲加密的主機(jī)上安裝加密軟件��,當(dāng)數(shù)據(jù)從服務(wù)器輸出時(shí)就已是加密狀態(tài)���;
網(wǎng)絡(luò)層是指數(shù)據(jù)在數(shù)據(jù)于儲(chǔ)存網(wǎng)絡(luò)上流通時(shí)加密,而儲(chǔ)存層則是由儲(chǔ)存媒體自身來(lái)加密��。網(wǎng)絡(luò)層加密則是通過(guò)在儲(chǔ)存網(wǎng)絡(luò)中插入特殊加密硬件��,或是在欲加密的服務(wù)器上安裝加密軟件�。而儲(chǔ)存層加密則通過(guò)使用某些帶有身分認(rèn)證與加密機(jī)制的硬盤(pán)或磁帶機(jī)就能達(dá)成。理論上���,自身附帶加密機(jī)制的儲(chǔ)存設(shè)備在部署上較為方便��,用戶(hù)無(wú)須再購(gòu)買(mǎi)任何特殊軟硬件�����。但就管理來(lái)說(shuō),由于企業(yè)通常擁有數(shù)十臺(tái)甚至上百���、上千臺(tái)儲(chǔ)存裝置�����,如果加密是依靠這許多的儲(chǔ)存裝置自身分別執(zhí)行����,顯然會(huì)給管理人員帶來(lái)許多困難。相較下主機(jī)層與網(wǎng)絡(luò)層加密就有統(tǒng)一管理的好處�,可藉由整合的監(jiān)控臺(tái)來(lái)統(tǒng)一控管,不過(guò)在主機(jī)層加密有損耗服務(wù)器運(yùn)算效能的缺點(diǎn)�����,而網(wǎng)絡(luò)層雖不會(huì)耗損服務(wù)器資源�,但會(huì)影響網(wǎng)絡(luò)帶寬。
三��、典型部署網(wǎng)絡(luò)環(huán)境
圖1 是一個(gè)加密存儲(chǔ)的簡(jiǎn)單網(wǎng)絡(luò)環(huán)境
圖1加密存儲(chǔ)的簡(jiǎn)單網(wǎng)絡(luò)環(huán)境
在圖1中��,應(yīng)用環(huán)境中的所有數(shù)據(jù)經(jīng)過(guò)光纖交換機(jī)與客戶(hù)端的加密(使用Ipsec)�����,在圖中所有由以太網(wǎng)交換機(jī)過(guò)FC傳輸?shù)絅AS存儲(chǔ)設(shè)備的數(shù)據(jù)都經(jīng)過(guò)加密(使用硬件加密)����。
四��、當(dāng)前儲(chǔ)存加密產(chǎn)品概覽
目前供企業(yè)使用的儲(chǔ)存加密產(chǎn)品有主機(jī)型��、網(wǎng)絡(luò)型加密產(chǎn)品以及加密型儲(chǔ)存媒體三大類(lèi)���,主機(jī)型加密產(chǎn)品一般都是軟件產(chǎn)品,而網(wǎng)絡(luò)型與加密型儲(chǔ)存媒體則多為 硬件設(shè)備�。目前主要的硬件加密廠商有剛被NetApp收購(gòu)的Decru,以及Neoscale與MaXXan等���,至于曾被美國(guó)國(guó)安局列為指定供貨商的Kasten Chase則已在今年年中停止?fàn)I業(yè)���,因此其著名的Assurancy SecureData加密器也將隨之逐漸退出市場(chǎng)。
1. Decru DataFort
設(shè)備是企業(yè)級(jí)的存儲(chǔ)加密系統(tǒng)�����,這種基于硬件的系統(tǒng)旨在獲得高可用性和可擴(kuò)展性��,性能��。DataFort 硬件提供 AES–256 加密�、集成密鑰管理以及策略執(zhí)行,對(duì)性能的影響幾乎可忽略不計(jì)�����。 可擴(kuò)展性����。初始部署后易于擴(kuò)展,能夠用一個(gè)管理界面管理企業(yè)數(shù)百個(gè)設(shè)備�����。簡(jiǎn)單性���。DataFort 是一種成套設(shè)備����,對(duì)于應(yīng)用程序/操作系統(tǒng)是透明的��。
DataFort是一種網(wǎng)關(guān)式應(yīng)用服務(wù)器型產(chǎn)品���,典型的部署方式是采后端加密方式運(yùn)作�,將DataFort直接接上IP 交換器或光纖信道交換器�,透過(guò)交換器將前端送來(lái)的數(shù)據(jù)指向DataFort�����,經(jīng)DataFort加密后才會(huì)送到儲(chǔ)存裝置����。在比較大型的SAN中也可采取前端加密部署�����,將前端的服務(wù)器分組分別接上DataFort�,然后再將數(shù)據(jù)經(jīng)交換器送到儲(chǔ)存裝置上。 DataFort提供的加密機(jī)制為AES256與SHA-1與SHA-256�����,產(chǎn)品有支持IP網(wǎng)絡(luò)環(huán)境的E系列���、支持光纖SAN環(huán)境的FC系列�,以及專(zhuān)門(mén)針對(duì)SCSI磁帶機(jī)的S系列����。另外還有稱(chēng)做Lifetime Key Management的密鑰管理應(yīng)用服務(wù)器,可為網(wǎng)絡(luò)中的多部DataFort提供自動(dòng)化的密鑰管理�。 圖1 的典型部署網(wǎng)絡(luò)環(huán)境使用的基于硬件的加密設(shè)備使用的就是 DataFort F 系列:SAN/磁帶的 2Gbit 光纖通道�����。 如圖2 .
圖2 Decru DataFort C-Series
Decru的DataFort有E、FC與S三個(gè)系列��,可分別支持IP網(wǎng)絡(luò)����、光纖信道與SCSI總線。
2. Neoscale
Neoscale的加密器在功能與定位上均與Decru的DataFort相近�,產(chǎn)品主要有支持FC儲(chǔ)存網(wǎng)絡(luò)的CryptoStor FC系列,以及針對(duì)FC或SCSI信道磁帶加密的CryptoStor Tape�����,均能提供3DES����、AES與SHA-1、SHA-256等加密機(jī)制�����,可采前端或后端部署���。另外也有一款稱(chēng)為CryptoStor KeyVault的密鑰管理應(yīng)用服務(wù)器����。如圖3 .
圖3 CryptoStor KeyVault的密鑰管理應(yīng)用服務(wù)器
隨著用戶(hù)受到的遵從壓力越來(lái)越大,NeoScale的2U機(jī)架高度的CryptoStor FC 712設(shè)備是以更高速度鎖住更多數(shù)據(jù)的一條途徑����。你現(xiàn)在可以在一臺(tái)設(shè)備后面支持更多的磁帶驅(qū)動(dòng)器,并支持本地的4Gb/s服務(wù)器速度�。NeoScale現(xiàn)有的2Gb/s加密設(shè)備FC 702支持兩臺(tái)LTO-3磁帶驅(qū)動(dòng)器或5臺(tái)LTO-2驅(qū)動(dòng)器。FC 712根據(jù)壓縮率的不同�����,可以連接多達(dá)兩倍數(shù)量的驅(qū)動(dòng)器��。
由于內(nèi)建加密功能的儲(chǔ)存設(shè)備才剛陸續(xù)推出���,因此目前企業(yè)應(yīng)用的加密產(chǎn)品以主機(jī)或網(wǎng)絡(luò)型產(chǎn)品為主流���。而加密硬件雖較昂貴,但因效能及可與儲(chǔ)存網(wǎng)絡(luò)整合的優(yōu)勢(shì)�,應(yīng)用上和軟件產(chǎn)相比應(yīng)用更加廣泛一些。 |
