政府、企业的客户隐私信息、公司机密数据、财务信息的急速增长,以及国家和各行业的信息安全监管制度的健全,正在驱使着各个组织对它们在磁盘和磁带上的敏感数据做更安全的存储。同时,存储和安全厂商间也加快了融合和并购的脚步。用户在采购和招标中,也把存储安全放在越来越重要的位置。安全与存储融合的趋势不容置疑,但在存储安全的实现手段和方式以及标准上,各个厂商却有不同的看法。

安全存储有章要循

存储和安全本是两个不相关的行业。但随着美国时代华纳公司保存公司60万名在职和离职员工个人信息的40盘磁带在运输途中丢失,华旗集团一批记录着390万客户账户及个人信息的备份磁带在运送过程中神秘失踪……还有企业中怀有恶意的员工、不道德的内部人员以及黑客对企业内保存客户数据的盗用,存储厂商每年收回大量的返修驱动器上面的敏感数据等数据丢失问题的出现,人们越来越重视在企业SAN存储局域网中的数据安全问题了。ESG创始人Steve Duplessie表示:“大多数公司处理信息数据的流程均存在漏洞。这是因为企业对信息安全缺乏足够的重视。”

相应的法律法规也不断涌现,比如零售业的信用卡服务公司要遵循的PCI-DSS(Payment Card Industry Data Security Standard)法规要求防止个人信息被盗、数据安全加密等。金融系统的GLBA(Gramm-Leach-Bliley Act)和美国34个州的数据安全法案、医疗系统的HIPAA(Health Insurance Portability & Accountability Act)、美国联邦政府的DOD 5015.2(Department of Defense 5015.2),以及对存储服务提供商的SAS 70,都要求数据外包的安全管理和安全容灾VTL的服务。此外还有大家熟知的SOX( Sarbanes-Oxley)等。相关标准机构也将目光集中到了这个领域,存储安全标准似乎正在以前所未有的速度发展着。以下是几种不同的标准:执行嵌入式AES 256位加密技术的LTO技术联盟(LTO Consortium);T10委员会正在致力于SCSI存储接口标准的制定;电气及电子工程师学会(Institute of Electrical and Electronics Engineers,IEEE)1619.3委员会正在着眼于密钥管理领域;Trusted Computing Group(TCG)有他们自己的可信任安全技术;存储网络工业协会(Storage Networking Industry Association,SNIA)的存储安全论坛SSIF则正在研究一种长期的整体安全架构。其中比较重要的是IEEE1619.3将可以获得广泛的支持,形成各家统一支持的标准。

数据加密的四种方法

厂商对数据加密相当关注,无论是通过收购或是新产品的研发,都希望在数据加密领域占得先机。

对企业而言,如何选择适合自己企业的加密技术和产品的前提是了解目前存在的加密方法。数据加密有各种分类方法,按照实现手段可以分为四种:主机软件加密、加密存储安全交换机、嵌入式专门加密设备以及基于存储层的存储设备。

主机软件加密已经推出很多年,其优缺点都比较明显。

其优点是:成本低,只要有备份软件,不需要购买额外产品,只需付服务费用;对现有系统改动小。其缺点是:性能影响,对主机和备份的性能影响。当我们对一个企业的数据加密时,面对TB级别的数据容量,我们需要考虑的是性能和管理是否能满足我们的需要;基于备份软件的加密方式目前只支持磁带加密,无法做到磁盘存储加密,同时也没有压缩的功能;对操作系统有一定的依赖性。

主机软件加密的代表产品主要包括Symantec Veritas NetBackup、IBM TSM、EMC Legato Networker等。

加密存储安全交换机连接在存储设备和主机之间,不改变原有的IT结构,本身也可以做光纤交换机使用,同时具有加密功能,也可以同原有交换机互联。

加密存储安全交换机的优点是:扩展性好,目前加密交换机有16口到256口的不同型号,适合企业客户;高性能,由交换机本身完成加密功能,对主机和存储没有影响,同时又提高磁带压缩功能;异构的支持,加密存储交换机支持各个厂商的存储,同时也支持磁盘、磁带、VTL等各种设备,同时也可以支持原有设备;管理型,加密交换机方式支持单独的统一的密钥管理工具,管理简单。

加密存储安全交换机的不足之处主要表现在,对已经有存储交换机的用户来说,需要额外单独购买加密交换机。

加密存储安全交换机的代表产品主要包括CipherMax CM系列、思科的MDS系列等。

嵌入式专门加密设备是单独的一个加密设备,需要连接在存储和交换机之间。这种加密产品的优点是:灵活性,此类产品可以提供端口的加密,可以随时一对一连接到存储上;对主机性能影响小,设备本身提供加密功能,同主机和存储无关;支持异构存储。

嵌入式专门加密设备的缺点在于两方面:扩展性,此类设备多是点对点解决方案,但如果是单一的一对一加密产品,扩展起来难度大,或者成本高。如果部署在端口数量多的企业环境,或者多个站点需要加以保护,就会出现问题;在企业环境中,如果对多端口的存储设备,需安装多台硬件设备所需的成本会高得惊人,这给管理增加了沉重负担。

嵌入式专门加密设备的代表产品是Decru DataFort系列产品。

基于存储层的存储设备本身加密方式,由存储本身提供加密功能。这类产品的优点是:扩展性好,由存储本身提供的功能扩展性可以得到保障;投资低,存储本身具备的功能,不需另外购买设备;对主机的性能没有影响,由存储本身完成。

但是这类产品也有缺点:可用性——目前各个存储厂商只推出了具有加密功能的磁带产品,具有加密功能的磁盘和虚拟磁带库还在研发过程中;投资保护——只能保证具有加密功能的设备本身的安全,无法对用户原有环境中的所有存储设备进行加密,无法利旧;管理性——各个厂商各有各的密钥管理软件,系统中会出现很多的加密密钥管理软件,无法做统一管理,而且目前各厂商提供的密钥管理软件都不够成熟。这是用户最关注的问题;性能——存储设备本身加入加密功能对性能有一定的影响。加密存储产品的代表是LTO-4磁带机和Sun T10000磁带驱动器等。

法规遵从是促进因素

公司一旦发生数据失窃,就可能违犯法律、身缠官司、股价下跌,从而失去客户、供应商及合作伙伴的信任。法规遵从与存储安全的关系正变得更紧密。市场分析家不约而同地认为,存储加密市场蕴藏着无限商机,市场总额以数亿美元计算。Gartner的报告也指出,到2007年底,财富1000强企业中有八成为静态关键数据加密,构建安全存储架构,由此可见存储加密受到了全球企业的广泛关注。以前谈及法规遵从问题,大多数企业将注意力集中在数据保留方面,即怎样长期存储数据这样的事情,但是对这些数据是否安全以及如何保证数据的安全则忽略了。随着法规遵从的进一步发展,社会对于企业数据安全的要求将增加。

我们相信,不久的将来,随着法规的逐渐健全,中国企业未来也将面临严峻的法规遵从挑战。数据安全存储有可能成为用户IT招标中要考虑的重要的必选因素。企业也应提前做好迎接新的挑战的准备。

小知识之LTO技术介绍:LTO(Linear Tape Open)技术,即线性磁带开放协议。是由HP、IBM、Seagate这三家厂商在1997年11月联合制定的,其结合了线性多通道、双向磁带格式的优点,基于服务系统、硬件数据压缩、优化的磁道面和高效率纠错技术,来提高磁带的能力和性能。