磁带备份加密的最佳实践存储与灾备

2013-04-09    来源:TechTarget中国    编辑:张瀚文
目前市场上磁带备份的加密方式主要有这三种:主机端加密方案;带内加密设备或交换机;介质端加密方案(其中包含磁带驱动器加密)。各种方式都有其风险。

  您的企业是否已经在使用磁带数据加密技术?在过去的几年中磁带已死的说法不攻自破,在许多企业,磁带仍作为备份和归档应用。不过由于其便携性,磁带所带来的安全风险正日益凸显。在今天的市场环境中,任何企业的数据如果丢失、被盗或无意泄露,都会给企业造成巨大灾难,而解决这方面的风险也成为IT部门的第一要务。通过本篇,你可以了解到不同的磁带备份加密方式,以及各种方式的优劣。

  磁带备份加密方式

  目前市场上磁带备份的加密方式主要有这三种:

  •主机端加密方案

  •带内加密设备或交换机

  •介质端加密方案(其中包含磁带驱动器加密)

  主机端加密或许是最为有用的方式,其中只需在一套系统或一定数量的系统上部署加密技术。除了主机端加密方式以外,没有其它方案可以加密从一台主机发出的所有数据。市场上有许多不同种类的主机端加密方式,并且可以通过应用技术(诸如数据库列项加密软件)、主机端脚本或具备加密功能的特定存储或网络适配卡进行部署。几乎每家主流的适配器厂商、提供多路径方案或其它带内互操作脚本的存储厂商、存储虚拟化供应商以及其他许多供应商都提供这类产品。

  带内设备加密的工作原理也颇为类似,设备将通过这段链路的数据进行加密,由于其位于存储互联之间,这种设备可以被许多不同应用和主机所共享。主机和设备间的数据传输通常是非加密的。该方式是在多台主机和多种类型的存储,包括主存储、归档层、甚至磁带之间同时部署加密最为容易的方式。而且,带内设备加密方式可以对某一类存储层进行选择性的加密。这类方案的厂商和产品有Brocade的Encryption Switch、Cisco系统公司的MDS Storage Media Encryption和NetApp的DataFort。

  介质端加密使用各种不同技术在特定的媒介格式中进行数据加密。这种技术可以集成在存储阵列之中,这样阵列中的每块驱动器都可以被加密。而更为典型的是磁带加密,备份介质服务器、磁带库、虚拟磁带库(VTL)或单独的磁带驱动器(LTO-4或LTO-5驱动器)会在数据写入到磁盘或磁带时进行加密。例如,IBM公司的DS8000系列阵列利用全加密驱动器提供驱动器级别的加密。Quantum公司的Scalar系列应用LTO-5驱动器的ATL磁带库以及其他各大磁带库生产商,都已可以提供加密技术。

  备份磁带加密最佳实践

  各种方式都有其风险,这使得选择备份磁带加密方式变得极其复杂。以下列出了磁带备份加密的最佳实践:

  1、确保所有的磁带都被加密。企业应当寻求一种解决方案来确保所有的磁带都被加密,而且在管理多路径至磁带的过程中(诸如多归档和备份系统),避免激活加密链路或引起不必要的麻烦。

  2、加密操作应尽可能靠近目标端。理想的产品能够在合适的体系架构层级中加密数据,而不影响容量优化和其它类型的数据管理解决方案。一般说来,所有的磁带都必须加密,不过假如加密操作太接近于数据源端,数据灵活性和高效性就无从谈起了。举例而言,如果不能在磁盘或跨越WAN进行数据重复删除或压缩,诸如重复文件在内的扫描就会变得异常困难。同样,接近主机端的加密要求可以通过完全不同于全面磁带加密的解决方案来满足。

  3、基于每块介质进行加密。磁带媒介上的加密用于降低风险并降低处理每件事故的工作量。在每块介质损坏或丢失时都需要小心处理。这就表示每盘磁带,或者至少是每一组备份磁带或数据集合,都必须要有一把唯一的密钥进行加密。在这一前提下,密钥和介质都能被最好保存,丢失密钥和丢失一块单独的磁带所带来的损失相当,并且也无需太多的管理工作来管理磁带过期或磁带丢失时的密钥处理工作。

  介质端加密的优势

  介质端加密在特定市场上有着其独一无二的优势。主机端加密和设备加密不同于介质端加密,它们是应用于不同目的的磁带媒介加密。主机端的方式随着规模变大会带来巨大的管理开销,同时可能会消耗宝贵的主机资源。设备的方式可能产生加密系统无法识别磁带格式的情况,并且任何的密钥过期都需要对大量的介质进行重新加密,其过程相当痛苦。解决多层存储的设备加密方式可能将磁带加密变成各种技术的大杂烩并将备份过程变得复杂化。此外,设备方式同样会要求工程师仔细地逐一检查企业内部所有磁带的写数据通道。同样,随着规模增长,管理每一台主机的主机端加密也会变得难以操作。

  由于上述原因使得介质端加密似乎是不错的选择。但是选择介质端加密也有一些关键点需要注意。备份介质服务器通常并不是加密的最好位置。介质服务器通常有着不小的性能压力,因此或许并没有足够的资源加密磁带。此外,磁带加密管理中也需要有一些其它组件,包括较为重要的密钥管理服务器,负责分配、保密和管理各磁带介质的密钥。对于市场上的许多备份产品,其内置的密钥管理或许并不是高度自动化的,也或者是无法支持上千磁带的扩展性。

  虽然介质端加密通常是个普遍的方式,但是记住对于一些特定业务需求也有以外。加密通常以许可证的形式出现,并且要求额外的密钥管理系统。这种成本或许意味着带内加密设备在有些时候更具成本效益。此外,您的企业中或许是使用虚拟磁带库系统,具备内置加密,或集成第三方加密引擎,能够更简单地进行加密。

  密钥管理系统的重要性

  任何加密产品都需要密钥管理系统,这是加密方式中一项非常重要的元素,但却经常被忽视。今天的市场上各种密钥管理系统和不同厂商的密钥产品之间互不相同。密钥管理一般从磁带或设备供应商处获得。不过记住,目前介质端加密方式中的密钥管理系统较为独立,即便在企业中已经有其它加密方式。未来的标准,比如密钥管理互操作性协议(KMIP)标准或许有一天能够使得所有的企业级系统共享一个单独的密钥管理成为可能。作为磁带加密最佳实践的关键,企业应当在选择磁带系统投资时仔细评估磁带供应商的密钥管理系统。

  最后,基础的磁带数据加密并不能解决所有企业的需求,或许需要利用一些额外的技术。当前市场上大量的选择意味着企业可以简便地构建起一种分层的模式,利用更多加密手段保护更关键的数据,并和磁带加密协同工作。只要有了正确的密钥管理,就能大幅缩小管理开销并降低企业的风险。

1
3