数据中心安全实现的有效加密手段
2010-01-19 全球IP通信联盟
随着数据中心安全体系结构格局发生变化,数据中心安全体系结构上逐渐演变的更为平稳,我们希望能看到应用工具(无论是主动的还是被动的)与专用服务子网络结合在一起。由于服务器的虚拟化和整合,数据中心安全体系结构开始进行改变。
显然,对硬盘驱动器和磁带进行加密是保护数据的关键。那么为什么企业机构并不急于这么做呢?管理密钥的复杂性是阻碍加密技术普及的最主要因素。毕竟,加密的方法有很多种,但是对密钥的管理要么成功要么失败。而且失败极有可能是几年之后才会发生的,这时候存在的漏洞已经很深了。一些信息必须保存数十年之久,而要成功保存密钥10年或者20年的确是一个严峻的挑战。
所幸的是,现在那些降低丢失密钥几率的密钥管理技术不断升级,越来越多确保备份流程每个步骤加密数据的新技术选择也层出不穷。大多数厂商都意识到了这个问题,并且积极致力于解决它。例如,RSA的KeyManagementSuite能够兼容RSA合作伙伴的加密产品,为IT用户提供一个管理所有密钥的统一平台。
加密厂商也开始将密钥管理技术集成到他们的产品中,或者将其作为一项选配功能提供给那些并不急于应用这项技术的用户。
磁带的传奇
安全分析师比较倾向于在所有数据发送到备份服务器之前在主机上对其进行加密。这确保了终端对终端的隐私性,尽可能较少发生错误的位置。现在有许多产品都提供了这种功能。赛门铁克公司的NetBackup就是一个很好的例子——它只生成一个密钥,只需要点击用户界面的一个按钮就可以完成所有数据组的加密。备份服务器指导用户在数据传输过程中对其进行加密。
然而这种方法也存在一些缺点。因为是在主机上加密数据,所有必须在服务器上进行重复数据删除操作。加密操作向服务器增加了负载,延长了备份窗口等待时间,这可能会影响到整体性能水平。而且,用户可能无法从随机数据中辨别出加密数据,这样就可能导致磁带驱动器压缩是完全没有用处的。因为大多数磁带驱动器的硬件压缩率至少在2:1左右,所有服务器层级的加密轻易就使你的磁带消耗翻一番。
但是密钥管理可能是最大的问题。现在只有备份厂商开始向他们的软件中增加密钥管理功能,而大多数厂商仍然依赖于备份管理者来处理这个管理任务。
自动操作
将加密靠近磁带驱动器的是那些在加密数据传输带磁带库的设备。这些设备可以与SAN的光纤通道架构相连接,SCSI与磁带驱动器或者iSCSI网络连接,这提供很高的灵活性。应用设备将处理负载从服务器上卸载下来,它以其备份软件和硬件的多样化选择、快速安装以及配置简易性受到用户的青睐。NetApp的Decru部门和nCipher的NeoScaleCryptoStor甚至可以在机箱中进行加密,另外独立的密钥管理设备或者软件系统提供了密钥归档和安全性。
也许现在在磁带加密方面最激动人心的技术变革就是向驱动器本身加入了加密功能。Sun的StorageTek10000B、惠普、昆腾以及IBM的LTO4Ultrium驱动器都嵌入了加密硬件。这不会带来很多成本的增加,而且会性能的影响很小。压缩可以在加密之前完成,这样最大程度上节约了存储空间,而且更重要的是,加密数据只能在被写入和解密之后才能被读取,这确保了错误的发生。
IBM的磁带加密技术配合RSA的KeyManagementSuite,IBM还出货了他们自己的EnterpriseKeyManager(EKM),它支持一系列合作伙伴产品。IBMEKM使用公开密钥加密系统在保存合作伙伴开放密钥的磁带上加密数据,然后合作伙伴使用他们的私人密钥来读取数据。这样在合作伙伴之间就不存在密钥的交换,但是磁带仍然是安全的。
磁带方面有很多选择,而且可以弥补磁盘存储加密的一些不足。PGP的NetShare对那些保存研究机构或者信用部门等用户机密数据的企业用户提供了不错的选择。这些用户的计算机可能已经安装了NetShare,任何时间内容都被写入到一个加密文件夹,认证用户使用公开密码就可以对这些文件进行加密。
这听上去与微软的EncryptingFileSystem有些类似,但是它将这个理念进行了延伸。NetShare不仅可以保存在目标文件系统中,而且还可以被复制到其他文件夹、服务器、甚至是可移动存储设备中。这对那些拥有多样化服务器环境或者经常传输文件的用户来说非常有用。