自加密驅(qū)動(dòng)器(SED)概述、工作原理及優(yōu)勢(shì)

智能存儲(chǔ)適配器現(xiàn)針對(duì)SAS和SATA設(shè)備提供全新的被動(dòng)SED支持，可為使用中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)提供保護(hù)。

隨著網(wǎng)絡(luò)攻擊成為數(shù)據(jù)中心和云計(jì)算從業(yè)者面臨的普遍威脅，數(shù)據(jù)安全問(wèn)題愈發(fā)受到重視。數(shù)據(jù)加密已成為醫(yī)療保健、金融和保險(xiǎn)行業(yè)的一項(xiàng)固定安全要求，政府規(guī)定，必須為靜態(tài)數(shù)據(jù)提供安全和隱私保護(hù)。

Microchip的Adaptec存儲(chǔ)適配器提供兩種加密功能。第一種是基于控制器的加密(CBE)，第二種是自加密驅(qū)動(dòng)器(SED)。基于控制器的加密(CBE)是應(yīng)用于大多數(shù)Adaptec RAID適配器的綜合性加密解決方案，但如果您當(dāng)前的系統(tǒng)無(wú)法兼容采用maxCrypto CBE加密的Adaptec適配器，或者您需要一種HBA加密解決方案，我們也可以提供SED支持。如今，大多數(shù)固件版本為4.11及更高版本的SmartRAID 3100、SmartHBA 2100(HBA模式)和HBA 1100型適配器均已針對(duì)SAS和SATA設(shè)備提供被動(dòng)SED支持，到2022日歷年的第一季度，大多數(shù)SmartRAID 3200、SmartHBA 2200(HBA模式)和HBA 1200型適配器也將提供相應(yīng)支持。

什么是自加密驅(qū)動(dòng)器?

自加密驅(qū)動(dòng)器(SED)是一種基于硬件的HDD/SSD加密方法，可獨(dú)立于外部加密處理器或操作系統(tǒng)自動(dòng)加密和解密數(shù)據(jù)。SED可為靜態(tài)數(shù)據(jù)提供保護(hù)，減少主機(jī)CPU的加密工作量，并且?guī)缀醪粫?huì)產(chǎn)生延時(shí)或影響I/O性能。

自加密驅(qū)動(dòng)器的工作原理

驅(qū)動(dòng)器使用惟一且隨機(jī)的數(shù)據(jù)加密密鑰(DEK)對(duì)數(shù)據(jù)執(zhí)行加密和解密過(guò)程。每次向驅(qū)動(dòng)器寫入數(shù)據(jù)時(shí)，驅(qū)動(dòng)器都會(huì)根據(jù)DEK來(lái)加密數(shù)據(jù)。同樣，每次從驅(qū)動(dòng)器讀取數(shù)據(jù)時(shí)，驅(qū)動(dòng)器都會(huì)使用相同的DEK解密數(shù)據(jù)，隨后將數(shù)據(jù)發(fā)送到系統(tǒng)的其余部分。這種基于硬件的加密方法能夠進(jìn)一步提高系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力，因?yàn)椴环ǚ肿訉o(wú)法通過(guò)軟件層面的攻擊竊取密鑰。DEK的另一項(xiàng)優(yōu)勢(shì)在于，如果懷疑密鑰遭到竊取，用戶可根據(jù)需要自行更新DEK，也可在需要安全擦除數(shù)據(jù)時(shí)刪除DEK。除DEK外，用戶還需配置認(rèn)證密鑰(AK)以保護(hù)靜態(tài)數(shù)據(jù)。一旦驅(qū)動(dòng)器斷電，AK便會(huì)鎖定SED的加密數(shù)據(jù)，確保不法分子在盜取驅(qū)動(dòng)器或從內(nèi)部訪問(wèn)驅(qū)動(dòng)器時(shí)無(wú)法獲取其中的數(shù)據(jù)。

Adaptec適配器上的被動(dòng)SED可提供相應(yīng)的可信計(jì)算組織(TCG)安全協(xié)議，幫助用戶進(jìn)行通信并訪問(wèn)SED設(shè)備的完整功能集。配備被動(dòng)SED的適配器支持0級(jí)發(fā)現(xiàn)報(bào)頭，可識(shí)別設(shè)備是否為SED設(shè)備、TCG安全協(xié)議是Enterprise協(xié)議還是Opal協(xié)議，以及設(shè)備處于鎖定還是解鎖狀態(tài)。當(dāng)SED設(shè)備連接到HBA或RAID適配器時(shí)，該設(shè)備僅作為SCSI目標(biāo)與操作系統(tǒng)通信。不建議在RAID卷中使用SED。連接成功后，操作系統(tǒng)可利用第三方實(shí)用程序通過(guò)Adaptec控制器的物理SCSI直通接口使用TCG安全協(xié)議與SED通信。Adaptec的被動(dòng)SED基本代碼支持TCG安全協(xié)議的SAS和SATA兩種接口版本。

SED有哪些優(yōu)勢(shì)?

購(gòu)買SED時(shí)，可以考慮下列優(yōu)勢(shì)：

SED對(duì)性能、速度和延時(shí)的影響可以忽略不計(jì)。加密流程已全部集成在系統(tǒng)中，因此無(wú)需額外使用其他系統(tǒng)組件或執(zhí)行任何復(fù)雜的操作。

除CBE適配器之外，SED適配器是市面上現(xiàn)有的最強(qiáng)大安全工具之一。這款適配器獨(dú)立于操作系統(tǒng)，因此即使黑客嘗試攻擊計(jì)算機(jī)，也幾乎不可能在計(jì)算機(jī)關(guān)機(jī)的情況下訪問(wèn)SED(以及其中存儲(chǔ)的加密密鑰)。

與第三方加密密鑰管理軟件完成配對(duì)后，即可輕松使用SED，操作十分簡(jiǎn)單。該軟件可優(yōu)化SED的解密和加密功能以及密鑰的管理，為用戶免除了復(fù)雜的SED管理工作。

SED無(wú)需投入大量資金進(jìn)行部署和維護(hù)。SED出廠后支持即插即用。在管理軟件的輔助下，SED無(wú)需人工干預(yù)即可完成工作，能夠?yàn)橛脩艄?jié)省時(shí)間和成本。

結(jié)論

如果您希望有效抵御網(wǎng)絡(luò)攻擊，為您的業(yè)務(wù)和/或客戶數(shù)據(jù)提供強(qiáng)大的保護(hù)，但Adaptec maxCrypto CBE控制器無(wú)法滿足您的需求，那么SED將是一種理想的解決方案。SED可保護(hù)安全數(shù)據(jù)免受軟件層面的攻擊，并最大限度地避免安全協(xié)議中的人為錯(cuò)誤。

原文標(biāo)題：專家博文：RAID適配器101：Adaptec?存儲(chǔ)適配器被動(dòng)SED功能指南

文章出處：【微信公眾號(hào)：Microchip微芯】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

審核編輯：湯梓紅