分类: 服务器与存储
2008-06-26 23:02:08
随着像NeoScale、KastenChase和Decru这类独立的厂商退出这个领域,大型的存储器厂商开始在它们的产品中融入更强大的安全性功能,而各个标准化组织业正在纷纷发表它们在这方面所取得的成果。
存储安全标准看上去似乎正在不断的向前发展,标准的种类和数量不断的增加。这里列出了各种标准中的其中一些标准(这里仅仅只是其中一些,全部的安全标准远不止这些):LTO(线性开放协议磁带)联盟实施了一种内置的256位的高级加密标准(AES),目前该标准是LTO-4磁带驱动器中自带的一种标准;T10组织正致力于SCSI存储接口标准的制定;美国电气及电子工程师协会(IEEE)1619.3委员会正在制定加密密钥管理标准;可信赖计算组织(TCG)发起了可信赖安全性活动;行业协会(SNIA)的存储安全行业论坛(SSIF)正在开发一个更长远的整体安全框架。
企业策略集团公司(ESG)信息安全分析师JonOltsik说:“AES-256是一个已经建立的并被广泛使用的标准,而其它的标准正处于进展阶段。”
一年前,LTO-4联盟就宣布其开始采用AES-256加密标准,从去年中期开始,融合该标准的磁带驱动器就已经上市。Quantum、IBM和HP都已经开始在各自的光纤通道、SAS和大多数SCSI版本的LTO-4驱动器上实施这项加密标准。结果是显而易见的,加密标准被内置到磁带驱动器中,取代了原先用一个设备或安装来保护磁带中数据的方法。
加密的密钥
正如Oltsik指出的,其余的那些安全标准到目前为止还没有完成。一些标准可能还需要一段时间才能成形,而其它一些标准正处于成形的边缘。IEEE1619.3密钥管理标准组织正属于后者,其正处于成形的边缘。1619.3委员会正致力于开发一个通用方法使得加密密钥管理工具能够同诸如磁带这样的设备进行通信和对话。这样做的目的在于使用户可以不用部署专用的密钥管理,因为这些解决方案会带来跟踪和管理上的不便。1619.3旨在使用户能够选择一个跨平台跨厂商的密钥管理解决方案。
Oltsik说:“该委员会正致力于开发密钥管理标准,我相信,随着越来越多的加密机制的部署,这种标准会成为一个非常重要的议题,备受关注。”
该委员会由很多来自终端用户公司和厂商的工程师组成。例如,Quantum在很多存储安全标准中都占据重要的地位,发挥很大的作用。
Quantum的SecurityandEnablingSolutions高级产品经理RobertCallaghan说:“1619.3建立了一个基于标准的密钥管理API,那些将提供加密解决方案作为其存储磁带、磁盘和产品的各种各样的密钥管理厂商和存储提供商都可以施行这种加密标准。其目的是为客户提供可选择性和互操作性。”
他举例说,一个使用带LTO-4驱动器和加密的Quantumi2000库的用户,可以自由选择来自其他厂商的密钥管理器,只要他觉得符合他的预算和需求就行,而不必像以前一样锁定在Quantum密钥管理器上。
这种方式还解决了另一个潜在的问题,就是用户不再需要管理多个加密密钥管理器以及多个密钥集,同时还简化了对这些密钥备份的管理和对这些密钥的及传递的保护。利用一个密钥管理器来管理所有的加密密钥能够节省时间和成本,而且排除了由于管理多个接口和密钥管理器所带来的管理难题。
那么这个标准会很快实现吗?IEEE1619.3委员会主席MattBall对此表示乐观。该委员会所制订的标准已经陆续完成,例如IEEE1619和IEEE1619.1,而且他们得到了来自厂商的广泛支持。
IEEE1619解决的是块导向存储设备(例如,磁盘驱动器)上的数据加密问题。Ball说:“我所听到的唯一有关IEEE1619的负面反馈是来自一个大型硬盘制造商,该制造商认为这种加密模式不适合硬盘。不过这种观点看起来好像应者寥寥,因为有几家硬盘加密厂商已经可以支持XTS加密模式:TrueCrypt,FreeOTFE和dm-crpt。”
IEEE1619.1处理的是大型磁带驱动器上的加密。主要的磁带驱动器厂商,如IBM、HP、Sun和Quantum都提供了支持IEEE1619.1标准的加密磁带驱动器。
Ball说:“IEEE1619和1619.1的批准通过是存储安全领域一个主要的里程碑,因为存储厂商现在可以根据所得到的一个验证组合来提供强大的数据保护,我期待不久的将来我们能够看到用户依赖标准来保护数据,而不是‘自说自话’的密钥实践。”
他指出,如果一个厂商不愿意披露其加密算法的细节,那么很可能它是不安全的。这也就是密码协会呼吁破除安全方面的屏障的原因,但是它的努力几乎都失败了。
随着1619和1619.1的签署和发布,Ball有理由相信1619.3将很快完成。该委员会在一年前便开始了密钥管理方面的努力,而且也取得了很好的进展。他说该工作组得到了所有主要存储公司的鼎力支持,例如思科、Sun、、IBM、希捷、NetApp、RSASecurity(EMC)和nCiper等。
Ball说;“在这个夏天以前,我们预计将提出一个框架,这样各个公司可以先开始初步实施,同时我们还计划制定一个开放源代码的实施参照,这样可以加速该框架在行业内的采用。该项目将在明年年终结束。”
同时,IEEE存储工作组中的安全组(SSWIG)也在制订另一个1619旗下的标准,即1619.2。该标准针对的是宽数据块的加密。Sun公司的JimHughes是该委员会的主席。
该工作组目前在进行两个宽数据块加密标准的制订工作:EME和XCB(EME用于PGP的全磁盘加密)。在今年夏天以前,大部分工作将可能完成,然后就是投票和发布流程。
与时间赛跑
然而,这些IEEE委员会需要确保在他们所定的时间框架内不会在最后时刻出现分歧。Oltsik相信对于标准来说,时间就是一切。如果一个标准是人们所需要的,但是却没有及时出现,那么剩下的空缺将被厂商们的安排所填补,而这些安排通常是专用而非公用的。Oltsik说:“如果标准可以很快的建立并得到批准,那么1619.3将得到广泛支持,如果它延迟了,那么厂商们将自己寻找解决办法,并同其他厂商进行整合。”