存儲安全從數據加密起步

　　近日，Arrow Electronics對美國的200家中型企業(yè)進(jìn)行了一項調查，結果顯示，與降低經(jīng)營(yíng)成本相比，大多數企業(yè)都會(huì )把信息安全看得更為重要。其中，近80%的公司都將信息安全看成最關(guān)注的商業(yè)問(wèn)題，有69%的公司則首選降低成本。

　　政府、企業(yè)的客戶(hù)隱私信息、公司機密數據、財務(wù)信息的急速增長(cháng)，以及國家和各行業(yè)的信息安全監管制度的健全，正在驅使著(zhù)各個(gè)組織對它們在磁盤(pán)和磁帶上的敏感數據做更安全的存儲。同時(shí)，存儲和安全廠(chǎng)商間也加快了融合和并購的腳步。用戶(hù)在采購和招標中，也把存儲安全放在越來(lái)越重要的位置。安全與存儲融合的趨勢不容置疑，但在存儲安全的實(shí)現手段和方式以及標準上，各個(gè)廠(chǎng)商卻有不同的看法。本文將著(zhù)重分析存儲安全的方展趨勢和方向。

　　安全存儲有章要循

　　存儲和安全本是兩個(gè)不相關(guān)的行業(yè)。但隨著(zhù)美國時(shí)代華納公司保存公司60萬(wàn)名在職和離職員工個(gè)人信息的40盤(pán)磁帶在運輸途中丟失，華旗集團一批記錄著(zhù)390萬(wàn)客戶(hù)賬戶(hù)及個(gè)人信息的備份磁帶在運送過(guò)程中神秘失蹤……還有企業(yè)中懷有惡意的員工、不道德的內部人員以及黑客對企業(yè)內保存客戶(hù)數據的盜用，存儲廠(chǎng)商每年收回大量的返修驅動(dòng)器上面的敏感數據等數據丟失問(wèn)題的出現，人們越來(lái)越重視在企業(yè) SAN存儲局域網(wǎng)中的數據安全問(wèn)題了。ESG創(chuàng )始人Steve Duplessie表示：“大多數公司處理信息數據的流程均存在漏洞。這是因為企業(yè)對信息安全缺乏足夠的重視。”

　　相應的法律法規也不斷涌現，比如零售業(yè)的信用卡服務(wù)公司要遵循的PCI- DSS（Payment Card Industry Data Security Standard）法規要求防止個(gè)人信息被盜、數據安全加密等。金融系統的GLBA（Gramm-Leach-Bliley Act）和美國34個(gè)州的數據安全法案、醫療系統的HIPAA（Health Insurance Portability & Accountability Act）、美國聯(lián)邦政府的DOD 5015.2（Department of Defense 5015.2），以及對存儲服務(wù)提供商的SAS 70，都要求數據外包的安全管理和安全容災VTL的服務(wù)。此外還有大家熟知的SOX（ Sarbanes-Oxley）等。

　　相關(guān)標準機構也將目光集中到了這個(gè)領(lǐng)域，存儲安全標準似乎正在以前所未有的速度發(fā)展著(zhù)。以下是幾種不同的標準：執行嵌入式AES 256位加密技術(shù)的LTO技術(shù)聯(lián)盟（LTO Consortium）；T10委員會(huì )正在致力于SCSI存儲接口標準的制定；電氣及電子工程師學(xué)會(huì )（Institute of Electrical and Electronics Engineers，IEEE）1619.3委員會(huì )正在著(zhù)眼于密鑰管理領(lǐng)域；Trusted Computing Group（TCG）有他們自己的可信任安全技術(shù)；存儲網(wǎng)絡(luò )工業(yè)協(xié)會(huì )（Storage Networking Industry Association，SNIA）的存儲安全論壇SSIF則正在研究一種長(cháng)期的整體安全架構。其中比較重要的是IEEE1619.3將可以獲得廣泛的支持，形成各家統一支持的標準。

　　數據加密的四種途徑

　　廠(chǎng)商對數據加密相當關(guān)注，無(wú)論是通過(guò)收購或是新產(chǎn)品的研發(fā)，都希望在數據加密領(lǐng)域占得先機。

　　對企業(yè)而言，如何選擇適合自己企業(yè)的加密技術(shù)和產(chǎn)品的前提是了解目前存在的加密方法。數據加密有各種分類(lèi)方法，按照實(shí)現手段可以分為四種：主機軟件加密、加密存儲安全交換機、嵌入式專(zhuān)門(mén)加密設備以及基于存儲層的存儲設備。

　　主機軟件加密已經(jīng)推出很多年，其優(yōu)缺點(diǎn)都比較明顯。

　　其優(yōu)點(diǎn)是：成本低，只要有備份軟件，不需要購買(mǎi)額外產(chǎn)品，只需付服務(wù)費用；對現有系統改動(dòng)小。其缺點(diǎn)是：性能影響，對主機和備份的性能影響。當我們對一個(gè)企業(yè)的數據加密時(shí)，面對TB級別的數據容量，我們需要考慮的是性能和管理是否能滿(mǎn)足我們的需要；基于備份軟件的加密方式目前只支持磁帶加密，無(wú)法做到磁盤(pán)存儲加密，同時(shí)也沒(méi)有壓縮的功能；對操作系統有一定的依賴(lài)性。

　　主機軟件加密的代表產(chǎn)品主要包括Symantec Veritas NetBackup、IBM TSM、EMC Legato Networker等。

　　加密存儲安全交換機連接在存儲設備和主機之間，不改變原有的IT結構，本身也可以做光纖交換機使用，同時(shí)具有加密功能，也可以同原有交換機互聯(lián)。

　　加密存儲安全交換機的優(yōu)點(diǎn)是：擴展性好，目前加密交換機有16口到256口的不同型號，適合企業(yè)客戶(hù)；高性能，由交換機本身完成加密功能，對主機和存儲沒(méi)有影響，同時(shí)又提高磁帶壓縮功能；異構的支持，加密存儲交換機支持各個(gè)廠(chǎng)商的存儲，同時(shí)也支持磁盤(pán)、磁帶、VTL等各種設備，同時(shí)也可以支持原有設備；管理型，加密交換機方式支持單獨的統一的密鑰管理工具，管理簡(jiǎn)單。

　　加密存儲安全交換機的不足之處主要表現在，對已經(jīng)有存儲交換機的用戶(hù)來(lái)說(shuō)，需要額外單獨購買(mǎi)加密交換機。

　　加密存儲安全交換機的代表產(chǎn)品主要包括CipherMax CM系列、思科的MDS系列等。

　　嵌入式專(zhuān)門(mén)加密設備是單獨的一個(gè)加密設備，需要連接在存儲和交換機之間。這種加密產(chǎn)品的優(yōu)點(diǎn)是：靈活性，此類(lèi)產(chǎn)品可以提供端口的加密，可以隨時(shí)一對一連接到存儲上；對主機性能影響小，設備本身提供加密功能，同主機和存儲無(wú)關(guān)；支持異構存儲。

　　嵌入式專(zhuān)門(mén)加密設備的缺點(diǎn)在于兩方面：擴展性，此類(lèi)設備多是點(diǎn)對點(diǎn)解決方案，但如果是單一的一對一加密產(chǎn)品，擴展起來(lái)難度大，或者成本高。如果部署在端口數量多的企業(yè)環(huán)境，或者多個(gè)站點(diǎn)需要加以保護，就會(huì )出現問(wèn)題；在企業(yè)環(huán)境中，如果對多端口的存儲設備，需安裝多臺硬件設備所需的成本會(huì )高得驚人，這給管理增加了沉重負擔。

　　基于存儲層的存儲設備本身加密方式，由存儲本身提供加密功能。這類(lèi)產(chǎn)品的優(yōu)點(diǎn)是：擴展性好，由存儲本身提供的功能擴展性可以得到保障；投資低，存儲本身具備的功能，不需另外購買(mǎi)設備；對主機的性能沒(méi)有影響，由存儲本身完成。

　　但是這類(lèi)產(chǎn)品也有缺點(diǎn)：可用性——目前各個(gè)存儲廠(chǎng)商只推出了具有加密功能的磁帶產(chǎn)品，具有加密功能的磁盤(pán)和虛擬磁帶庫還在研發(fā)過(guò)程中；投資保護——只能保證具有加密功能的設備本身的安全，無(wú)法對用戶(hù)原有環(huán)境中的所有存儲設備進(jìn)行加密，無(wú)法利舊；管理性——各個(gè)廠(chǎng)商各有各的密鑰管理軟件，系統中會(huì )出現很多的加密密鑰管理軟件，無(wú)法做統一管理，而且目前各廠(chǎng)商提供的密鑰管理軟件都不夠成熟。這是用戶(hù)最關(guān)注的問(wèn)題；性能——存儲設備本身加入加密功能對性能有一定的影響。加密存儲產(chǎn)品的代表是LTO-4磁帶機和Sun T10000磁帶驅動(dòng)器等。

　　法規遵從是促進(jìn)因素

　　公司一旦發(fā)生數據失竊，就可能違犯法律、身纏官司、股價(jià)下跌，從而失去客戶(hù)、供應商及合作伙伴的信任。法規遵從與存儲安全的關(guān)系正變得更緊密。市場(chǎng)分析家不約而同地認為，存儲加密市場(chǎng)蘊藏著(zhù)無(wú)限商機，市場(chǎng)總額以數億美元計算。 Gartner的報告也指出，到2007年底，財富1000強企業(yè)中有八成為靜態(tài)關(guān)鍵數據加密，構建安全存儲架構，由此可見(jiàn)存儲加密受到了全球企業(yè)的廣泛關(guān)注。以前談及法規遵從問(wèn)題，大多數企業(yè)將注意力集中在數據保留方面，即怎樣長(cháng)期存儲數據這樣的事情，但是對這些數據是否安全以及如何保證數據的安全則忽略了。隨著(zhù)法規遵從的進(jìn)一步發(fā)展，社會(huì )對于企業(yè)數據安全的要求將增加。

　　我們相信，不久的將來(lái)，隨著(zhù)法規的逐漸健全，中國企業(yè)未來(lái)也將面臨嚴峻的法規遵從挑戰。數據安全存儲有可能成為用戶(hù)IT招標中要考慮的重要的必選因素。企業(yè)也應提前做好迎接新的挑戰的準備。