WatchStor.com — 领先的中文存储网络媒体 | 51CTO旗下网站

评测导购 > 数据保护 > 正文

存储加密技术帮你守住数据中的秘密

Watchstor.com  佚名丨2009-10-17 09:16 标签:数据保护 存储资源管理 

过去一段时间里,不管国内外,都常出现了大型公司因为丢失客户数据而造成的巨额损失的报道。数据安全与否关系到公司的利益,同时更重要的是关系到用户的个人信息的泄露问题。那么我们就来分析一下现如今的存储加密技术,探讨数据安全的实现方法。

在回顾这些存储安全事件时,安全专家们都会得出这样的结论:尽管这些事件造成了巨大的问题,但总体而言,仍然是一件好事情。这些侵害事件及其在公共关系方面产生的不良后果迫使企业和政府正视并努力解决敏感数据的安全加密问题。数据保护现在已经成为一个C级问题CEO和CIO关注的问题。几乎每一位首席信息官都会受到来自首席执行官/企业老板的压力,要求他们解释企业如何保护敏感数据。

保护数据的最佳方法是采用存储加密技术。因此,企业目前面临的真正问题不是“我们是否应当对自己的数据进行加密”,而是“对哪些数据进行加密。”

存储加密技术方案篇

加密成为系统工程

对企业而言,好消息是存储加密技术正变得越来越简便。在过去,加密通常会意味着严重的性能延迟和高昂的管理及实施成本。然而在今天,各类存储加密技术已变得更容易部署,价格低廉,而且对网络造成的消极影响也变得更小。

这意味着,企业现在已经完全可以在过去无法下手的地方对数据进行全面的加密。正如我们在前面所提到过的,由于一些企业曾经出现过存储磁带丢失的事件,因此这些企业都急不可耐地实施了针对特定问题的解决方案。问题在于,这些解决方案只能应付备份存储中的特定物理威胁。如果有黑客闯入包含客户主信息的服务器,或者有人丢失了一台笔记本电脑,而其中存有员工社会保险编号的数据库列表,那么结果会如何?这些都是真实存在的数据侵害事件,并对数以百万计的敏感数据记录造成的威胁。

以下是目前市面上比较流行的几种存储加密技术方法:

1、文件级加密

文件级加密的存储加密技术可以在主机上实现,也可以在网络附加存储NAS这一层以嵌入式实现。对于某些应用来讲,这种加密方法也会引起性能问题;在执行数据备份操作时,会带来某些局限性,对数据库进行备份时更是如此。特别是,文件级加密会导致密钥管理相当困难,从而添加了另外一层管理:需要根据文件级目录位置来识别相关密钥,并进行关联。

在文件层进行加密也有其不足的一面,因为企业所加密的数据仍然比企业可能需要使用的数据要多得多。如果企业关心的是无结构数据,如法律文档、工程文档、报告文件或其他不属于组织严密的应用数据库中的文件,那么文件层加密是一种理想的方法。如果数据在文件层被加密,当其写回存储介质时,写入的数据都是经过加密的。任何获得存储介质访问权的人都不可能找到有用的信息。对这些数据进行解密的唯一方法就是使用文件层的加密/解密机制。

2、数据库级加密

当数据存储在数据库里面时,数据库级加密就能实现对数据字段进行加密。这种部署机制又叫列级加密,因为它是在数据库表中的列这一级来进行加密的。对于敏感数据全部放在数据库中一列或者可能两列的公司而言,数据库级加密比较经济。不过,因为加密和解密一般由软件而不是硬件来执行,所以这个过程会导致整个系统的性能出现让人无法承受的下降。

由于数据库中数据的结构和组织都非常明确,因此对特定数据条目进行控制也就更加容易。用户可以对一个具体的列进行加密,如国家识别符列或工资列,而且每个列都会有自己的密钥。根据数据库用户的不同,企业可以有效地控制其密钥,因而能够控制谁有权对该数据条目进行解密。通过这种方式,企业只需要对关键数据进行加密即可。

这种存储加密技术所面临的挑战是,用户希望加密的许多数据条目在应用查询中可能也具备同样的值。因此系统设计师应当确保加密数据不参加查询,防止加密对数据库的性能造成负面影响。例如,如果账户编号已经加密,而用户希望查找一系列的编号,那么应用就必须读取整个表,解密并对其中的值进行对比。如果不使用数据库索引,这种原本只需要三秒钟就可执行完毕的任务可能会变成一个三小时的漫长查询。但这种方法也有积极的方面,数据库厂商已经在其新版产品中加入了一些服务,能够帮助企业解决这一问题。

3、介质级加密

介质级加密是一种新出现的存储加密技术,它涉及对存储设备包括硬盘和磁带上的静态数据进行加密。虽然介质级加密为用户和应用提供了很高的透明度,但提供的保护作用非常有限:数据在传输过程中没有经过加密。只有到达了存储设备,数据才进行加密,所以介质级加密只能防范有人窃取物理存储介质。另外,要是在异构环境使用这项技术,可能需要使用多个密钥管理应用软件,这就增加了密钥管理过程的复杂性,从而加大了数据恢复面临的风险。

4、嵌入式加密设备

嵌入式加密设备放在存储区域网SAN中,介于存储设备和请求加密数据的服务器之间。这种专用设备可以对通过上述这些设备、一路传送到存储设备的数据进行加密,可以保护静态数据,然后对返回到应用的数据进行解密。

嵌入式加密设备很容易安装成点对点解决方案,但扩展起来难度大,或者成本高。如果部署在端口数量多的企业环境,或者多个站点需要加以保护,就会出现问题。这种情况下,跨分布式存储环境安装成批硬件设备所需的成本会高得惊人。此外,每个设备必须单独或者分成小批进行配置及管理,这给管理添加了沉重负担。

5、应用加密

最后一种存储加密技术可能也是最安全的方法。将加密技术集成在商业应用中是加密级别的最高境界,也是最接近“端对端”加密解决方案的方法。在这一层,企业能够明确地知道谁是用户,以及这些用户的典型访问范围。企业可以将密钥的访问控制与应用本身紧密地集成在一起。这样就可以确保只有特定的用户能够通过特定的应用访问数据,从而获得关键数据的访问权。任何试图在该点下游访问数据的人都无法达到自己的目的。

在这一层,集成加密技术确实有助于避免数据库层的性能受到影响,因为用户可以改变查询的类型。然而,虽然这种方法是最安全的,但许多数据条目需要通过被多种不同的应用访问,企业对这种应用,甚至不同用户群的变化要进行及时的管理。事实上,如果企业使用厂商提供的打包应用,它们很可能根本无法实施这一层的解决方案,因为企业不可能获得这些应用的源代码。

不同存储环境下使用的不同技术比较表

FC SAN NAS iSCSI数据安全传送 FC Zoing 以太网VLAN、VPN技术如IPSec、SSLLUNMasking,以太网VLAN、VPN技术,如IPSecLUNMasking存储数据加密主存、备份、容灾数据加密、如AES等加密算法主存储数据加密、备份数据加密、容灾数据加密,如AES等加密算法。主存储数据加密、备份数据加密、容灾数据加密,如AES等加密算法。用户访问的AAA数据主机侧的AAA技术,往往和OS绑定使用。和Windows AD集成的NAS AAA;与Unix NIS集成的NASAAA主机侧的AAA技术,往往和OS绑定使用数据的安全销毁主机文件系统格式;加密数据的快速销毁通过销毁密钥方式而实现;存储介质的物理销毁NAS上文件系统的格式化和清零。加密数据的快速销毁通过销毁密钥方式而实现;存储介质的物理销毁主机文件系统格式;加密数据的快速销毁通过销毁密钥方式而实现;存储介质的物理销毁存储设备本身的安全性和抵御攻击技术安全管理技术:基于SSH和SSL的加密设备管理。存储设备的抵御黑客攻击技术,包括防止应用层的攻击,如Worm蠕虫等。安全管理技术:基于SSH和SSL的加密设备管理。存储设备的抵御黑客攻击技术,包括防止IP层的各种攻击,如TCPSyn、DOS攻击等。防止应用层的攻击。安全管理技术:基于SSH和SSL的加密设备管理。存储设备的抵御黑客攻击技术,包括防止IP层的各种攻击。防止应用层的攻击等。

比较篇

各类存储加密技术的尺短寸长

当我们谈论存储安全话题时,最多谈论到的是备份的加密,它也是目前部署最多的领域。能够应用到备份加密的解决方案主要有磁带加密、备份软件加密以及专用设备加密。

磁带机首当其冲

日前,IBM与Sun不约而同地选择将驱动器级存储加密技术引入到各自旗下高端的磁带机产品线内。也就是说,这两家公司推出的新型磁带机均具备基于硬件的加密功能,其密钥管理系统可与大型主机服务器及开放式系统协同作业。

与基于软件的存储加密技术及第三方专用设备相比,基于硬件的驱动器加密技术最大的优点就在于:它可以在数据被压缩并写入磁带之后,对其实行加密处理。而且,基于硬件的加密技术对备份服务器的数据传输性能造成的负面影响相对小很多,无论是IBM还是Sun,都号称添加了驱动器级加密技术之后,磁带机的性能仅下降了不到1%。

无论是IBM T1120,还是被划归到Titanium10000产品线之下的SunT10000,售价都不低。T1120磁带机的标价高达35500美元。IBM企业级密钥管理系统EnterpriseKeyManagementSystem是一套Java应用程序,可运行于个人电脑之上,虽然IBM有未来将该系统作为免费组件向用户供应的意向,但在现阶段,凡是添加了加密功能的T1120磁带机,每台售价均比普通的T1120磁带机高出5000美元。

Sun StorageTek CryptoReadyT10000磁带机的起步价为37000美元—添加了加密功能的T10000磁带机,售价较普通版本高出5000美元。作为SecureSolaris实例之一的StorageTek密钥管理系统KeyManagementSystem,运行于UltraSparc服务器之上,标价为45000美元,含安装服务。相比之下,Decru和NeoScale推出的加密专用设备,售价也不过在25000万美元左右。

“我相信这些系统都是针对专门的应用平台而设计和定价的。”Glasshouse技术有限公司的备份产品分析师CurtisPreston指出。Preston认为,只有那些使用大型主机服务器,并要求磁带机的任务处理周期dutycycle在90%以上的大公司,才会选择这一类售价昂贵的独家专利产品。

在中端磁带技术方面,LTO技术联盟LTOConsortium公开承诺:即将问世的新一代LTO格式,也将会加入本机加密功能。

昆腾公司于今年1月份推出的新型数字线性磁带DLT——DLTSage,也在前代产品的基础之上进一步完善了安全性能。

该存储加密技术产品采用了昆腾公司最新研制的新型安全框架技术—DLTSageTapeSecurity,在每盒磁带上放置了一个特殊的加密“磁头”,提高了系统访问控制的力度。换言之,只有特定的驱动器才能读取磁带上的数据。昆腾公司最新一代DLT磁带驱动器应用了该项技术,用户无须支付额外的费用。

备份软件耕耘多年

与加密磁带机相比,备份软件更早实现了存储加密技术功能。在加密磁带机出现之前,赛门铁克、HP、CommVault、BakBone和Atempo等公司就在备份软件中增加了加密功能。近期,EMC在最新版LegatoNetWorker备份产品中也添加了加密功能。但它们之中没有一家公司认为软件加密的效率更高。

Symantec公司产品营销经理GlennGroshan承认:“专用设备的优势是它具有处理器,因此你可以将加密负载转移到专用设备上。但是,如果你注意一下一些专用设备的费用的话,那可不是免费的。”

EMC软件产品营销经理RobEmsley说,软件加密可以满足少量数据的加密需要。他说:“你是使用硬件还是软件加密,在很大程度上取决于被加密的数据量。”

赛门铁克中国区解决方案市场经理张衡介绍说,在备份软件中实现存储加密技术,有些方面比磁带机加密更具优势。数据可以在备份客户端进行加密,以确保其在公司网络传输或从基于磁盘备份复制到磁带的过程中能够得到有效保护。也就是说,在数据传输过程中是加密的,像远程备份这样的方式,可以规避网络中存在的诸多安全风险。另外,如果用户备份环境中使用的磁带机部分是加密的,那么在统一管理的时候就存在一定的不便。

专用设备备受青睐

不过,数据安全专家说,加密的最好方式是通过基于硬件的加密,使用像Decru、NeoScale、KastenChase和Vormetric销售的专用设备。基于硬件的专用设备,采用内置的处理器来处理存储加密技术和管理脱密密钥。

Glasshouse CTOJimDamoulakis说:“加密专用设备是进行加密的有效方法。软件大规模使用起来麻烦太多。”

Damoulakis说,软件加密存在两个问题。一是软件使用CPU时间,而这种开销降低了备份的速度。另一个问题是备份应用要求用户在加密时关闭压缩功能。而在备份应用中,这意味着需要更多的存储容量,并且备份时间将显著增加。

加密专用设备不断增强处理更大负载和更分散的负载能力。Decru自去年6月被NetApp收购后,在它第一次重要产品发布会上推出了一款用于磁带库的10端口专用设备和一款用于SAN硬盘和磁带的6端口专用设备。该公司以前所有的专用设备都是两端口配置。Decru和NeoScale还通过让客户将脱密密钥复制到远程站点来加强灾难恢复能力。

Decru的DataFort系列存储安全设备,提供了完整的网络存储数据安全解决方案。包括:256位AES算法的数据存储加密、IPSec和SSL数据传输加密、WindowsAD及UnixNIS集成的ACL控制和AAA认证、授权和计账特性、加密数据的快速安全销毁、数据生命周期内的密钥集中管理、基于专用硬件芯片的安全加固的系统架构。

DataFort系列存储安全设备可以保护在生命周期内的数据安全,包括备份、容灾的数据也都会置于整个安全体系内。DataFort可以透明地部署在已有的网络存储环境中,并且支持NAS、FCSAN、iSCSI、FC磁带备份、SCSI直联磁带备份、MainFrame磁带备份等多种企业数据存储结构。DataFort通过硬件的加密芯片,实现了在FC和千兆以太网环境下的线速加密和解决密,在保证网络安全的同时也保证了整个存储的性能不受影响。

应用篇

确保核心数据的安全

用户需要存储的数据越来越多,然而并不是所有数据都需要存储加密技术,对于多数用户来说,只需要对其中的核心数据进行加密即可。

IronMountain公司的主要业务是为用户离线保存磁带,因此对它来说,所有数据都要求更高的安全性。自从丢失了几卡车保存着TimeWarner公司几十万雇员信息的备份磁带后,IronMountain一直要求对磁带进行加密。近期,IronMountain宣布说它利用Decru的磁带专用设备,对它自己的磁带进行了加密。IronMountain CIO KevinRoden说,他的公司评估了所有类型的存储加密技术,最终确定专用设备方式是最好的方法。

Roden说:“使用专用设备没有改变我们的业务流程。我们以我们过去同样的方式备份数据。我们没有损失压缩的价值。最重要的事情之一是我们没有给我们的备份窗口期或恢复时间增加额外的开销。我们不必增加服务器。”

不过,他仍强调说,最好的加密技术也不是滴水不漏的数据安全计划。Roden说:“加密便携数据是总体安全流程中的一个环节。另一些你必须考虑的事情包括如何利用防火墙保护你的外围防线,如何对付拒绝服务攻击,如何设置公司内部的访问权限和特权。”

美国乔治华盛顿大学医学院的技术经理KellyCarpenter说:“在各类法规遵从如HIPAA和SarbanesOxley的影响下,磁带的安全问题成为了新的焦点。我们已经开始受到了HIPAA的管制。”这所学校马上就要实施来自Sun的T10000加密磁带设备,以满足相关法规的要求。

由于并不是所有数据都为关键的机密数据,因此,对于Kelly来说,仅需要对部分核心数据进行加密。“所有的HIPAA数据只保存在加密磁带上,”他解释道,“即使这些加密磁带从运输的卡车上遗失被别人捡到,对其进行解密的成本也是相当高的。”

虽然Kelly承认,现在的存储加密技术市场还尚未达到其理想的成熟阶段,尤其是密钥管理问题。“我们希望看到,厂商能够提供更好的密钥管理性能。”

编看编想

存储安全离我们多远?

即使很多公司已逐渐意识到数据安全的重要性,但他们仍没有明确的应对措施。企业战略公司今年初的研究报告表明,仅有不到20%的被调查公司在数据备份过程中定期加密磁带。张衡介绍说,在国内大型银行的存储加密技术应用较多一些。但是,采用加密的用户比例在所有备份用户中所占比例非常少,而且对于部署加密的用户,加密数据占所有数据的比例也非常少。

存储用户对安全需求并不十分迫切的主要原因是,在用户的存储环境中,把存储网络看作是第二网,并且默认它是安全的,与用户最关心的可靠性、可用性、高性能等方面比较起来,安全性需求就退居其次了。

笔者看来,尽管许多用户越来越关注存储安全,但是此类解决方案在近期的推广中仍然会遇到如下几个关键挑战。

第一,成本问题。许多用户都意识到了安全问题,但是都因为目前价格过高而没有实施。某证券公司存储管理员黎东介绍说,他们对数据的安全性一直比较关注,近一段时间正抓紧考察各类存储加密技术解决方案,最终发现成本大大超出了预算。一方面需要额外购买具有加密功能的磁带机;另一方面,在进行加密时由于不能使用磁带的压缩功能,因此所需磁带数量要增加一倍。

第二,缺乏统一标准。用户需要利用各种形式的保护方法来进行加密,但是这些方法实施起来太复杂了,如果不采用统一标准,还会滋生出更多问题。

第三,安全产品要过认证关。有关部门规定,所有涉及存储加密技术、算法等安全问题,产品方案需要通过国家有关部门的认证。这也是许多厂商没有大力宣传存储安全的一个重要原因

【编辑推荐】

  1. 移动硬盘加密的实用技巧分享
  2. Vista BitLocker磁盘加密技术的详细分析
  3. Windows 7中的全盘加密功能BitLocker To Go
  4. 分析数据加密在存储安全中的分量
  5. EFS加密文件系统的使用经验分享

相关资讯

今日微信独家

《华尔街日报》报道日前援引知情人士的消息称,由于被美国政府以国家安全问题为由进行调查,联想斥资23亿美元收购IBM低端服务器业务的交易陷入了停滞状态。
关注新浪官博 订阅微信订阅号

订阅焦点周刊

论坛与活动

2016中国数据加速峰会直播专题
2016中国数据加速峰会直播专题[详细]
点击查看

精彩视频

最新文章

1111111
1111111
asdasd
asdasd
同有科技应用型大数据存储在南京掀起智能风暴
同有科技应用型大数据存储在南京掀起智能风暴
斯蒂芬斯蒂芬
斯蒂芬斯蒂芬
京东双11技术备战 构建多中心交易系统
京东双11技术备战 构建多中心交易系统