Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1273274
  • 博文数量: 727
  • 博客积分: 10011
  • 博客等级: 上将
  • 技术积分: 8320
  • 用 户 组: 普通用户
  • 注册时间: 2008-07-13 15:42
文章分类

全部博文(727)

文章存档

2011年(1)

2008年(726)

我的朋友

分类: 服务器与存储

2008-07-14 13:53:12

这种方式比较容易实现,但是需要注意到以下问题:
    第一,带内加密没有基于主机加密或者基于设备加密那样高的安全性,有可能被不良人士通过改变LAN的网络设施这种迂回的方式,在数据尚未加密的时候就侵入进来。
    第二,这也是费用比较高的一种方式,需要为每一对或者每6个存储设备之间配备专用的加密设备。
    第三,在三种加密方式中,带内加密的可扩展性是最差的。对于当前的应用,这种方式可以较好地适应。但是随着数据量的增加,扩展费用是比较昂贵的。

    总评:带内加密比较容易实现,作为一种局域网环境中的加密解决方案,可以很快地架设起来。

    存储阶段:基于存储设备的加密(device-based encryption)

    处于存储状态的数据可以通过磁盘控制器或者专用的存储服务器来进行加密,这样可以免除加密运算给工作服务器带来的性能压力。这种方式也非常容易实现,对于拥有多种操作系统但又比较固定的环境,是非常适用的,而且这种方式还支持数据压缩。另外,这种方式也不会在不知不觉之间就被恶意侵入。同时,由于由存储设备来负责加密工作,这就不需要对原有的数据架构做什么改变。解密工作也是在数据存储设备之中完成的,所以也不需要维护加密/解密软件。

    尽管基于存储设备加密技术很有前途,但也有值得注意的问题:数据在传递过程以及进入存储设备之前中并没有被加密。

    总评:基于存储设备的加密比较容易实现,价格也比较低廉,最适合于静态和归档数据。

    密钥管理是核心关键

    不论采用哪种加密方式,数据访问都是必须通过密钥来进行。这就是说,丢掉了密钥,就掉了所有的数据。因此,在以加密来实现数据安全的环境中,密钥是最重要的一部分。

    即使在“卫兵和门锁”的时代,“钥匙”也是非常重要的。在数字时代,密钥如果出了问题,造成的后果将会更加严重。如果把纸张或者胶片资料锁在柜子里,通常只会给这个保密柜配一两把钥匙。如今,资料放在存储设备里,可能需要被全球各地很多人同时调阅。在这样的环境中,密钥的数量当然会非常大。新的挑战是,你需要管理的钥匙不再是一两把,而是成千上万甚至数百万个数字密钥。成功的密钥管理策略必须能够应对这种挑战,确保所有的密钥永远都不会丢失。

    为所有的数据配备密钥,这并不是一个明智的方法。成功的密钥管理方法是利用密钥的冗余性,用较少的密钥来管理较多的数据。由一群特定的人分组管理不同的密钥。这样,如果某个密钥丢失,也可以在不危及数据的前提下更换密钥。冗余策略使密钥管理做到了设备无关性,让IT管理者可以自由地选择数据加密的地点和方式,不论是在主机上、网络上还是存储设备上。作为一项额外的回报,冗余策略还不需要对原来的应用和流程做出任何改变。

    随着加密变得越来越普遍,密钥管理将会更加自动化,而且可以通过在操作系统和应用中植入一系列的规则来实现。当这些规则都就绪之后,带有自动密钥管理功能的文件加密技术将会支持通过密钥来进行数据管理。这样一来,企业用户就可以不再担心数据将会存在哪里,也不用担心数据有多少份拷贝散布在外面。

    基于密钥管理的系统显然是一种必然趋势,Sun公司为此做出了清晰的阶段性规划。经过周密的设计,Sun公司的密钥管理系统可以在不要求用户改变原有硬件和工作流程的前提下顺利地引入最新的密钥管理技术。

  第一阶段:有限的密钥管理。初期的解决方案同样具有很强的安全措施,但只有有限的密钥管理能力。加密主要通过存储设备来实现,这样就可以不对应用和基础结构造成影响,从而在很短的时间内、以比较简便的方式即可完成。
  第二阶段:文件级别的密钥管理。密钥将被动态地部署在Sun存储软件架构之中。
  第三阶段:基于规则的自动化密钥管理。在文件级或者数据块层级上,可以用通用的工具集命令对设备层级的加密。

设计思想决定先进性

    尽管市场上不止一家厂商可以提供数据加密解决方案,但是设计思想决定了Sun StorageTek的先进性。评价不同数据加密解决方案的优劣,首要是看它把密钥管理放在什么地位。

    在复杂多变的企业IT系统中,只有坚持贯彻始终的密钥管理策略,才能为用户提供最大的利益。如果没有保持一致性的密钥管理策略,就没有办法从根本上解决复杂的密钥管理问题,用户就必须疲于应付各个不同设备中的密钥管理问题,从而在管理成本和复杂度上付出极大的代价。

    与别家厂商提供的加密解决方案不同,Sun公司提供统一并且可适用于异构环境的密钥管理解决方案――Crypto Key Management Station (KMS,密钥管理平台),这是一个独立于平台、应用和设备的密钥管理系统,不仅可以实现密钥管理,还可以在异构的企业IT系统中实施数据加密决策。

    Sun公司的KMS由一台Ultra 20服务器(包括显示器、键盘和鼠标)组成,运行安全性极高的Solaris 10操作系统,其中还包括一个SCA 6000 crypto-module卡和KMS 密钥管理软件。不像其他厂商为不同设备配备不同的密钥管理系统,Sun公司的这套方案具备整个企业中所有加密设备的密钥管理能力。所以,IT管理人员只需要学习和管理一套系统即可。

    磁带加密存储利器――Sun StorageTek T10000

    正如前面所述,Sun公司提出了清晰的数据加密解决方案蓝图,其中第一阶段就是实施基于存储设备的加密。就在不久前,Sun公司发布了与此相关的产品:Sun StorageTek Crypto-Ready T10000磁带驱动器和Sun StorageTek Crypto密钥管理工作站。

    StorageTek Crypto-Ready T10000磁带驱动器支持Solaris OS、z/OS和Windows等多种操作系统,支持客户采用AES-256加密算法,在数据写入驱动器时为数据加密,而且无论是针对应用、操作系统或是主要存储器件,都不影响数据备份时间或恢复时间,因此可以大大降低将数据暴露在未授权的人员面前的危险,防止在数据中心内外两种情况下的数据丢失,确保数据在传递中的安全。

    除了具备Sun StorageTek统一化密钥管理体系在架构上的优势之外,StorageTek Crypto-Ready T10000磁带驱动器作为一个独立的存储设备,其加密机制也明显优于竞争对手的产品。

    例如,有的竞争对手产品把加密密钥也放在磁带机上,尽管这个密钥本身也是被加密的,但是如果磁带设备落入不良分子手中,这仍然是非常危险的。另外,把密钥与数据一起写在磁带上,如果这些数据遭到破坏,密钥也就丢失了。从性能方面来看,把密钥与数据一起写在磁带上,也会因为存储数据的时候必须先读取密钥而影响效率。与此相反,Sun公司的磁带机只是把密钥的标示符号写在磁带上,实际的密钥是保存在密钥管理平台之中,这几乎不会对性能带来任何影响,而且具有更高的安全性。

    企业数据正在以不可想象的速度向全球各地蔓延,传统的数据安全管理方式已经远远不能跟上实际需求。在数字时代,最安全可靠的途径就是加密。为此,Sun公司提出了清晰的蓝图,在数据的产生、传输和存储等不同的环节实施完备的加密措施,同时还特别强调采用高度一致性的密钥管理解决方案。根据Sun StorageTek数据加密解决方案的蓝图,企业用户最终将会走向基于密钥管理的完全自动化的数据系统。

阅读(783) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~