2008年(8065)
分类: 服务器与存储
2008-12-03 14:20:45
所幸的是,现在那些降低丢失密钥几率的密钥管理技术不断升级,越来越多确保备份流程每个步骤加密数据的新技术选择也层出不穷。大多数厂商都意识到了这个问题,并且积极致力于解决它。例如,RSA的Key Management Suite能够兼容RSA合作伙伴的加密产品,为IT用户提供一个管理所有密钥的统一平台。
加密厂商也开始将密钥管理技术集成到他们的产品中,或者将其作为一项选配功能提供给那些并不急于应用这项技术的用户。
磁带的传奇
安全分析师比较倾向于在所有数据发送到备份之前在主机上对其进行加密。这确保了终端对终端的隐私性,尽可能较少发生错误的位置。现在有许多产品都提供了这种功能。赛门铁克公司的NetBackup就是一个很好的例子——它只生成一个密钥,只需要点击用户界面的一个按钮就可以完成所有数据组的加密。备份服务器指导用户在数据传输过程中对其进行加密。
然而这种方法也存在一些缺点。因为是在主机上加密数据,所有必须在服务器上进行重复数据删除操作。加密操作向服务器增加了负载,延长了备份窗口等待时间,这可能会影响到整体性能水平。而且,用户可能无法从随机数据中辨别出加密数据,这样就可能导致磁带驱动器压缩是完全没有用处的。因为大多数磁带驱动器的压缩率至少在2:1左右,所有服务器层级的加密轻易就使你的磁带消耗翻一番。
但是密钥管理可能是最大的问题。现在只有备份厂商开始向他们的中增加密钥管理功能,而大多数厂商仍然依赖于备份管理者来处理这个管理任务。
自动操作?任何人?
将加密靠近磁带驱动器的是那些在加密数据传输带磁带库的设备。这些设备可以与SAN的通道架构相连接,SCSI与磁带驱动器或者iSCSI连接,这提供很高的灵活性。应用设备将处理负载从服务器上卸载下来,它以其备份软件和硬件的多样化选择、快速安装以及配置简易性受到用户的青睐。NetApp 的Decru部门和nCipher的NeoScale CryptoStor甚至可以在中进行加密,另外独立的密钥管理设备或者软件系统提供了密钥归档和安全性。
也许现在在磁带加密方面最激动人心的技术变革就是向驱动器本身加入了加密功能。Sun的StorageTek 10000B、惠普、昆腾以及IBM的LTO4 Ultrium驱动器都嵌入了加密硬件。这不会带来很多成本的增加,而且会性能的影响很小。压缩可以在加密之前完成,这样最大程度上节约了存储空间,而且更重要的是,加密数据只能在被写入和解密之后才能被读取,这确保了错误的发生。
IBM的磁带加密技术配合RSA的Key Management Suite,IBM还出货了他们自己的Enterprise Key Manager (EKM),它支持一系列合作伙伴产品。IBM EKM使用公开密钥加密系统在保存合作伙伴开放密钥的磁带上加密数据,然后合作伙伴使用他们的私人密钥来读取数据。这样在合作伙伴之间就不存在密钥的交换,但是磁带仍然是安全的。
磁带方面有很多选择,而且可以弥补磁盘存储加密的一些不足。PGP的NetShare对那些保存研究机构或者信用部门等用户机密数据的企业用户提供了不错的选择。这些用户的计算机可能已经安装了NetShare,任何时间内容都被写入到一个加密文件夹,认证用户使用公开密码就可以对这些文件进行加密。
这听上去与微软的Encrypting File System有些类似,但是它将这个理念进行了延伸。NetShare不仅可以保存在目标文件系统中,而且还可以被复制到其他文件夹、服务器、甚至是可移动存储设备中。这对那些拥有多样化服务器环境或者经常传输文件的用户来说非常有用。
另外一种选择就是EMC的PowerPath存储,它运行在服务器上,提供对EMC存储系统的虚拟化和冗余功能的完全路径。通过向PowerPath增加数据加密,EMC可以为所有SAN用户在服务器曾家加密数据,加密局限于Windows、Solaris以及Linux系统,不过未来还将增加对其他操作平台的支持。
EMC的让存储管理者可以决定加密哪些虚拟卷,而且他们的解决方案能够与RSA部门的Key Management Suite兼容。因为加密是直接与密钥管理软件配合的,所以这种方法避免了在SAN中与存储优化技术发生冲突。
最近宣布推出了一款配置了硬件加密功能的企业级磁盘驱动器。但是要想让阵列产品都采用这种驱动器设备,存储厂商必须不增加任何开销而提供加密技术。密钥管理仍然是一个问题,但是像IBM这样的厂商将向他们的密钥管理软件中整合这些设备。
这种做法需要对服务器或者存储架构最低程度的改变,因为它发生在所有其他存储优化(例如RAID、虚拟化、压缩以及重复数据删除)之后。
最后,对以太网连接层传输进行加密听上去似乎没有必要,但是IEEE 802.1AE规范所要求的。思科的TrustSec技术使用802.1AE作为一个基于精确角色的访问控制系统中的基础,在这个控制系统中,网络可以通过用户认证来标记数据包。