適配器存儲(chǔ)適配器上的無(wú)源SED指南

隨著網(wǎng)絡(luò)攻擊的威脅在數(shù)據(jù)中心和云計(jì)算行業(yè)中變得越來(lái)越普遍，數(shù)據(jù)安全的重要性正在迅速增加。數(shù)據(jù)加密現(xiàn)在是醫(yī)療保健、金融和保險(xiǎn)行業(yè)的安全要求，政府要求對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全和隱私保護(hù)。

Microchip的Adaptec?存儲(chǔ)適配器提供兩種加密功能。第一個(gè)是基于控制器的加密 （CBE），第二個(gè)是自加密驅(qū)動(dòng)器 （SED） 支持?；诳刂破鞯募用埽–BE）是大多數(shù)Adaptec RAID適配器上提供的綜合加密解決方案，但是如果您當(dāng)前的系統(tǒng)與支持Adaptec? maxCrypto? CBE的適配器不兼容，或者您需要HBA加密解決方案，我們現(xiàn)在也提供SY。我們對(duì) SAS 和 SATA 設(shè)備的無(wú)源 SED 支持現(xiàn)已在大多數(shù) SmartRAID 3100 和 SmartHBA 2100 型號(hào)（HBA 模式下）以及固件版本 1100.4 及更高版本的 HBA 11 型號(hào)中提供，并將在 3200 日歷年第一季度在大多數(shù) SmartRAID 2200 和 SmartHBA 1200 型號(hào)（HBA 模式下）和 HBA 2022 型號(hào)中提供。

什么是自加密驅(qū)動(dòng)器？

自加密驅(qū)動(dòng)器 （SED） 是一種基于硬件的 HDD 和 SSD 加密方法，可獨(dú)立于外部加密處理器或操作系統(tǒng)自動(dòng)加密和解密數(shù)據(jù)。SED 提供靜態(tài)數(shù)據(jù)保護(hù)，并減輕主機(jī) CPU 的加密處理，對(duì)延遲和 I/O 性能幾乎沒(méi)有影響。

自加密驅(qū)動(dòng)器如何工作？

加密過(guò)程是使用唯一的隨機(jī)數(shù)據(jù)加密密鑰 （DEK） 完成的，驅(qū)動(dòng)器使用該密鑰來(lái)加密和解密數(shù)據(jù)。每當(dāng)數(shù)據(jù)寫(xiě)入驅(qū)動(dòng)器時(shí)，它首先根據(jù) DEK 進(jìn)行加密。同樣，每當(dāng)從驅(qū)動(dòng)器讀取數(shù)據(jù)時(shí)，它首先由同一 DEK 解密，然后再發(fā)送到系統(tǒng)的其余部分。這種基于硬件的加密提供了額外的安全性，可防止網(wǎng)絡(luò)攻擊，因?yàn)闊o(wú)法從軟件級(jí)攻擊訪問(wèn)密鑰。DEK 還非常有用，因?yàn)槿绻?DEK 已泄露并需要更新，或者需要安全擦除數(shù)據(jù)，在這種情況下可以刪除 DEK，則用戶可以對(duì)其進(jìn)行管理。除了 DEK 之外，還需要配置身份驗(yàn)證密鑰 （AK） 以確保靜態(tài)數(shù)據(jù)保護(hù)。當(dāng)驅(qū)動(dòng)器斷電時(shí)，此 AK 將鎖定 SED 的加密數(shù)據(jù)，從而防止在驅(qū)動(dòng)器數(shù)據(jù)被盜或內(nèi)部訪問(wèn)時(shí)訪問(wèn)驅(qū)動(dòng)器數(shù)據(jù)。

Adaptec 適配器上的被動(dòng) SED 提供通信和訪問(wèn)任何 SED 設(shè)備的完整功能集所需的可信計(jì)算組安全協(xié)議 （TCG）。在被動(dòng) SED 中，適配器支持級(jí)別 0 發(fā)現(xiàn)標(biāo)頭，以識(shí)別它是 SED 設(shè)備、TCG 安全協(xié)議是企業(yè)還是 Opal，以及設(shè)備是鎖定還是解鎖。當(dāng) SED 設(shè)備連接到 HBA 或 RAID 適配器時(shí)，它僅作為 SCSI 目標(biāo)與操作系統(tǒng)通信。不建議在 RAID 卷中使用 SED。連接后，操作系統(tǒng)使用第三方實(shí)用程序，通過(guò) Adaptec 控制器的物理 SCSI 直通接口，使用 TCG 安全協(xié)議與 SED 進(jìn)行通信。Adaptec 的被動(dòng) SED 基本代碼支持 TCG 安全協(xié)議的 SAS 和 SATA 接口版本。

SED 有什么好處？

在考慮購(gòu)買(mǎi) SED 時(shí)，請(qǐng)考慮以下好處：

SED 對(duì)性能速度和延遲的影響可以忽略不計(jì)。加密過(guò)程是完全集成的，因此不需要其他系統(tǒng)組件介入并執(zhí)行任何繁重的工作。

除了CBE適配器，SED是金錢(qián)可以買(mǎi)到的最強(qiáng)大的安全工具之一。它們獨(dú)立于操作系統(tǒng)，因此即使黑客攻擊計(jì)算機(jī)，當(dāng)計(jì)算機(jī)關(guān)閉時(shí)，也幾乎不可能訪問(wèn) SED（以及存儲(chǔ)在其中的加密密鑰）。

使用SED很簡(jiǎn)單 - 一旦與第三方加密密鑰管理軟件配對(duì)。該軟件優(yōu)化了 SED 的解密和加密功能以及密鑰管理，減輕了用戶任何主動(dòng) SED 管理的負(fù)擔(dān)。

SED 的部署和維護(hù)成本低廉。SED 在下線的那一刻進(jìn)行加密。管理軟件完成其余的工作，確保 SED 無(wú)需人工干預(yù)即可完成工作，從而節(jié)省時(shí)間和金錢(qián)。

結(jié)論

如果 Adaptec maxCrypto? CBE 控制器不是一種選擇，但您仍然希望實(shí)施強(qiáng)大的保護(hù)，防止對(duì)您的業(yè)務(wù)和/或客戶數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)攻擊，那么 SED 是一個(gè)很好的方法。使用 SED 可將安全數(shù)據(jù)與軟件級(jí)攻擊隔離開(kāi)來(lái)，并最大限度地減少安全協(xié)議中的人為錯(cuò)誤。

審核編輯：郭婷