儲存加密的分類及應(yīng)用研究

儲存加密指的是當(dāng)數(shù)據(jù)從前端服務(wù)器輸出，或在寫進(jìn)儲存媒體之前通過系統(tǒng)為數(shù)據(jù)加密，以確保存放在儲存媒體上的數(shù)據(jù)只有經(jīng)過授權(quán)才能讀取。

一、存儲加密問題的提出

長久以來，儲存系統(tǒng)的安全是企業(yè)信息系統(tǒng)中較容易受到忽略的環(huán)節(jié)，由于過去的儲存設(shè)備都是采用DAS架構(gòu)，直接與前端的主機(jī)連接，外界要存取儲存設(shè)備的唯一通道是經(jīng)由前端的主機(jī)，因此只要主機(jī)安全，則后端的儲存設(shè)備也是安全的。 然而許多大型企業(yè)的儲存架構(gòu)，多半已改用儲存局域網(wǎng)絡(luò)（SAN）或網(wǎng)絡(luò)儲存系統(tǒng)（NAS），通過光纖信道（FC）或IP網(wǎng)絡(luò)的連接，整合整個(gè)企業(yè)的儲存資源，以提高運(yùn)用效率。但由于含有許多交換器或網(wǎng)關(guān)器的儲存網(wǎng)絡(luò)可允許用戶從多個(gè)接入點(diǎn)存取儲存資源，因此儲存資源遭受攻擊或非授權(quán)存取的機(jī)率也就大為提高。

不過企業(yè)本地端的SAN或NAS畢竟是由企業(yè)自行掌控，因此問題相對較小，除非遭遇企業(yè)內(nèi)鬼。但如果是將數(shù)據(jù)送到遠(yuǎn)程供作異地備援時(shí)，所會遭遇的風(fēng)險(xiǎn)程度就會完全不同。 在不同數(shù)據(jù)中心的SAN之間，只要通過主機(jī)端、網(wǎng)關(guān)器端或儲存設(shè)備端的復(fù)制軟件，就能將數(shù)據(jù)以同步或異步的方式復(fù)制數(shù)據(jù)。然而由于數(shù)據(jù)離開數(shù)據(jù)中心后，所經(jīng)過的線路設(shè)備所有權(quán)并不是企業(yè)所擁有，而多是固網(wǎng)業(yè)者提供給企業(yè)租用。即使這些線路是由企業(yè)所自行建置，但管理單位也與SAN的管理單位不同，因此在數(shù)據(jù)傳輸?shù)耐瑫r(shí)，也會面臨在黑客從網(wǎng)絡(luò)上任一節(jié)點(diǎn)擷取數(shù)據(jù)，導(dǎo)致數(shù)據(jù)外泄的風(fēng)險(xiǎn)。

所以企業(yè)數(shù)據(jù)的保護(hù)可分為3個(gè)層級：第一層為網(wǎng)絡(luò)防護(hù)，這部分包括防火墻、防毒軟件、入侵偵測軟件或VPN等；第二層為身份認(rèn)證，也就是對不同身份的人員分別建立不同存取權(quán)限，也可搭配辨識系統(tǒng)使用；第三層則是數(shù)據(jù)保護(hù)，即儲存加密，對寫入儲存媒體系統(tǒng)的數(shù)據(jù)進(jìn)行加密編碼，就算數(shù)據(jù)遺失也無法被解讀出有意義的內(nèi)容，從而減輕數(shù)據(jù)遺失造成的損失，所以說加密是數(shù)據(jù)安全的最后一道關(guān)卡。

二、儲存加密的分類

加密可以從信息系統(tǒng)的多個(gè)環(huán)節(jié)，分別以多種方式進(jìn)行，以加密裝置可分為硬件加密或軟件加密，以執(zhí)行加密的環(huán)節(jié)則可區(qū)分為主機(jī)層（Host-base）、網(wǎng)絡(luò)層（Network-base）與儲存層（Storage-base）。

1. 硬件加密與軟件加密

軟件加密的優(yōu)點(diǎn)是使用方便，只要安裝軟件，開啟選項(xiàng)即能自動(dòng)執(zhí)行。但軟件加密的缺點(diǎn)是加密運(yùn)算將會增加系統(tǒng)負(fù)擔(dān)，拖累效能。而且密鑰檔的保管也相當(dāng)麻煩，如果密鑰存放在服務(wù)器上，則有可能遭到黑客的復(fù)制或盜取；如果將密鑰轉(zhuǎn)出并交由管理人員保管，則又有容易遺失的問題。另外一旦密鑰文件損毀，則還原資料就會遇到許多困難。這時(shí)候硬件加密裝置就成為另一種選擇。

硬件加密則是可通過獨(dú)立的加密硬件來進(jìn)行加密運(yùn)算，因此不會拖累系統(tǒng)效能。另外密鑰管理也是通過獨(dú)立硬件進(jìn)行，不會受到前端服務(wù)器損毀的影響，而且還可結(jié)合IC卡提供更進(jìn)階的保護(hù)機(jī)制。當(dāng)然反過來說硬件加密裝置也有價(jià)格較高，以及需要額外布建裝置的麻煩。

表1 硬件加密與軟件加密對比

2. 主機(jī)、網(wǎng)絡(luò)與儲存媒體加密

主機(jī)層，即加密存儲的管理軟件安裝在主機(jī)上，如卷管理器，卷復(fù)制器。主機(jī)層加密的做法，是在前端欲加密的主機(jī)上安裝加密軟件，當(dāng)數(shù)據(jù)從服務(wù)器輸出時(shí)就已是加密狀態(tài)。

網(wǎng)絡(luò)層是指數(shù)據(jù)在數(shù)據(jù)于儲存網(wǎng)絡(luò)上流通時(shí)加密，而儲存層則是由儲存媒體自身來加密。網(wǎng)絡(luò)層加密則是通過在儲存網(wǎng)絡(luò)中插入特殊加密硬件，或是在欲加密的服務(wù)器上安裝加密軟件。而儲存層加密則通過使用某些帶有身分認(rèn)證與加密機(jī)制的硬盤或磁帶機(jī)就能達(dá)成。理論上，自身附帶加密機(jī)制的儲存設(shè)備在部署上較為方便，用戶無須再購買任何特殊軟硬件。但就管理來說，由于企業(yè)通常擁有數(shù)十臺甚至上百、上千臺儲存裝置，如果加密是依靠這許多的儲存裝置自身分別執(zhí)行，顯然會給管理人員帶來許多困難。相較下主機(jī)層與網(wǎng)絡(luò)層加密就有統(tǒng)一管理的好處，可藉由整合的監(jiān)控臺來統(tǒng)一控管，不過在主機(jī)層加密有損耗服務(wù)器運(yùn)算效能的缺點(diǎn)，而網(wǎng)絡(luò)層雖不會耗損服務(wù)器資源，但會影響網(wǎng)絡(luò)帶寬。

三、典型部署網(wǎng)絡(luò)環(huán)境

在圖1中，應(yīng)用環(huán)境中的所有數(shù)據(jù)經(jīng)過光纖交換機(jī)與客戶端的加密（使用Ipsec），在圖中所有由以太網(wǎng)交換機(jī)過FC傳輸?shù)絅AS存儲設(shè)備的數(shù)據(jù)都經(jīng)過加密（使用硬件加密）。

圖1 加密存儲的簡單網(wǎng)絡(luò)環(huán)境

四、當(dāng)前儲存加密產(chǎn)品概覽

目前供企業(yè)使用的儲存加密產(chǎn)品有主機(jī)型、網(wǎng)絡(luò)型加密產(chǎn)品以及加密型儲存媒體三大類，主機(jī)型加密產(chǎn)品一般都是軟件產(chǎn)品，而網(wǎng)絡(luò)型與加密型儲存媒體則多為 硬件設(shè)備。目前主要的硬件加密廠商有剛被NetApp收購的Decru，以及Neoscale與MaXXan等，至于曾被美國國安局列為指定供貨商的Kasten Chase則已在今年年中停止?fàn)I業(yè)，因此其著名的Assurancy SecureData加密器也將隨之逐漸退出市場。

1. Decru DataFort

設(shè)備是企業(yè)級的存儲加密系統(tǒng)，這種基于硬件的系統(tǒng)旨在獲得高可用性和可擴(kuò)展性，性能。DataFort 硬件提供 AES–256 加密、集成密鑰管理以及策略執(zhí)行，對性能的影響幾乎可忽略不計(jì)。 可擴(kuò)展性。初始部署后易于擴(kuò)展，能夠用一個(gè)管理界面管理企業(yè)數(shù)百個(gè)設(shè)備。簡單性。DataFort 是一種成套設(shè)備，對于應(yīng)用程序/操作系統(tǒng)是透明的。

DataFort是一種網(wǎng)關(guān)式應(yīng)用服務(wù)器型產(chǎn)品，典型的部署方式是采后端加密方式運(yùn)作，將DataFort直接接上IP 交換器或光纖信道交換器，透過交換器將前端送來的數(shù)據(jù)指向DataFort，經(jīng)DataFort加密后才會送到儲存裝置。在比較大型的SAN中也可采取前端加密部署，將前端的服務(wù)器分組分別接上DataFort，然后再將數(shù)據(jù)經(jīng)交換器送到儲存裝置上。 DataFort提供的加密機(jī)制為AES256與SHA-1與SHA-256，產(chǎn)品有支持IP網(wǎng)絡(luò)環(huán)境的E系列、支持光纖SAN環(huán)境的FC系列，以及專門針對SCSI磁帶機(jī)的S系列。另外還有稱做Lifetime Key Management的密鑰管理應(yīng)用服務(wù)器，可為網(wǎng)絡(luò)中的多部 DataFort提供自動(dòng)化的密鑰管理。 圖1 的典型部署網(wǎng)絡(luò)環(huán)境使用的基于硬件的加密設(shè)備使用的就是 DataFort F 系列：SAN/磁帶的 2Gbit 光纖通道。

圖2 Decru DataFort C-Series

Decru的DataFort有E、FC與S三個(gè)系列，可分別支持IP網(wǎng)絡(luò)、光纖信道與SCSI總線。

2. Neoscale

Neoscale的加密器在功能與定位上均與Decru的DataFort相近，產(chǎn)品主要有支持FC儲存網(wǎng)絡(luò)的CryptoStor FC系列，以及針對FC或SCSI信道磁帶加密的CryptoStor Tape，均能提供3DES、AES與SHA-1、SHA-256等加密機(jī)制，可采前端或后端部署。另外也有一款稱為CryptoStor KeyVault的密鑰管理應(yīng)用服務(wù)器。

隨著用戶受到的遵從壓力越來越大，NeoScale的2U機(jī)架高度的CryptoStor FC 712設(shè)備是以更高速度鎖住更多數(shù)據(jù)的一條途徑。你現(xiàn)在可以在一臺設(shè)備后面支持更多的磁帶驅(qū)動(dòng)器，并支持本地的4Gb/s服務(wù)器速度。NeoScale現(xiàn)有的2Gb/s加密設(shè)備FC 702支持兩臺LTO-3磁帶驅(qū)動(dòng)器或5臺LTO-2驅(qū)動(dòng)器。FC 712根據(jù)壓縮率的不同，可以連接多達(dá)兩倍數(shù)量的驅(qū)動(dòng)器。

由于內(nèi)建加密功能的儲存設(shè)備才剛陸續(xù)推出，因此目前企業(yè)應(yīng)用的加密產(chǎn)品以主機(jī)或網(wǎng)絡(luò)型產(chǎn)品為主流。而加密硬件雖較昂貴，但因效能及可與儲存網(wǎng)絡(luò)整合的優(yōu)勢，應(yīng)用上和軟件產(chǎn)相比應(yīng)用更加廣泛一些。

責(zé)任編輯：gt