近日,Arrow Electronics對美國的200家中型企業進行了一項調查,結果顯示,與降低經營成本相比,大多數企業都會把信息安全看得更為重要。其中,近80%的公司都將信息安全看成最關注的商業問題,有69%的公司則首選降低成本。
政府、企業的客戶隱私信息、公司機密數據、財務信息的急速增長,以及國家和各行業的信息安全監管制度的健全,正在驅使著各個組織對它們在磁盤和磁帶上的敏感數據做更安全的存儲。同時,存儲和安全廠商間也加快了融合和并購的腳步。用戶在采購和招標中,也把存儲安全放在越來越重要的位置。安全與存儲融合的趨勢不容置疑,但在存儲安全的實現手段和方式以及標準上,各個廠商卻有不同的看法。本文將著重分析存儲安全的方展趨勢和方向。
安全存儲有章要循
存儲和安全本是兩個不相關的行業。但隨著美國時代華納公司保存公司60萬名在職和離職員工個人信息的40盤磁帶在運輸途中丟失,華旗集團一批記錄著390萬客戶賬戶及個人信息的備份磁帶在運送過程中神秘失蹤……還有企業中懷有惡意的員工、不道德的內部人員以及黑客對企業內保存客戶數據的盜用,存儲廠商每年收回大量的返修驅動器上面的敏感數據等數據丟失問題的出現,人們越來越重視在企業 SAN存儲局域網中的數據安全問題了。ESG創始人Steve Duplessie表示:“大多數公司處理信息數據的流程均存在漏洞。這是因為企業對信息安全缺乏足夠的重視。”
相應的法律法規也不斷涌現,比如零售業的信用卡服務公司要遵循的PCI- DSS(Payment Card Industry Data Security Standard)法規要求防止個人信息被盜、數據安全加密等。金融系統的GLBA(Gramm-Leach-Bliley Act)和美國34個州的數據安全法案、醫療系統的HIPAA(Health Insurance Portability & Accountability Act)、美國聯邦政府的DOD 5015.2(Department of Defense 5015.2),以及對存儲服務提供商的SAS 70,都要求數據外包的安全管理和安全容災VTL的服務。此外還有大家熟知的SOX( Sarbanes-Oxley)等。
相關標準機構也將目光集中到了這個領域,存儲安全標準似乎正在以前所未有的速度發展著。以下是幾種不同的標準:執行嵌入式AES 256位加密技術的LTO技術聯盟(LTO Consortium);T10委員會正在致力于 SCSI存儲接口標準的制定;電氣及電子工程師學會(Institute of Electrical and Electronics Engineers,IEEE)1619.3委員會正在著眼于密鑰管理領域;Trusted Computing Group(TCG)有他們自己的可信任安全技術;存儲網絡工業協會(Storage Networking Industry Association,SNIA)的存儲安全論壇SSIF則正在研究一種長期的整體安全架構。其中比較重要的是IEEE1619.3將可以獲得廣泛的支持,形成各家統一支持的標準。
數據加密的四種途徑
廠商對數據加密相當關注,無論是通過收購或是新產品的研發,都希望在數據加密領域占得先機。
對企業而言,如何選擇適合自己企業的加密技術和產品的前提是了解目前存在的加密方法。數據加密有各種分類方法,按照實現手段可以分為四種:主機軟件加密、加密存儲安全交換機、嵌入式專門加密設備以及基于存儲層的存儲設備。
主機軟件加密已經推出很多年,其優缺點都比較明顯。
其優點是:成本低,只要有備份軟件,不需要購買額外產品,只需付服務費用;對現有系統改動小。其缺點是:性能影響,對主機和備份的性能影響。當我們對一個企業的數據加密時,面對TB級別的數據容量,我們需要考慮的是性能和管理是否能滿足我們的需要;基于備份軟件的加密方式目前只支持磁帶加密,無法做到磁盤存儲加密,同時也沒有壓縮的功能;對操作系統有一定的依賴性。
主機軟件加密的代表產品主要包括Symantec Veritas NetBackup、IBM TSM、EMC Legato Networker等。
加密存儲安全交換機連接在存儲設備和主機之間,不改變原有的IT結構,本身也可以做光纖交換機使用,同時具有加密功能,也可以同原有交換機互聯。
加密存儲安全交換機的優點是:擴展性好,目前加密交換機有16口到256口的不同型號,適合企業客戶;高性能,由交換機本身完成加密功能,對主機和存儲沒有影響,同時又提高磁帶壓縮功能;異構的支持,加密存儲交換機支持各個廠商的存儲,同時也支持磁盤、磁帶、VTL等各種設備,同時也可以支持原有設備;管理型,加密交換機方式支持單獨的統一的密鑰管理工具,管理簡單。
加密存儲安全交換機的不足之處主要表現在,對已經有存儲交換機的用戶來說,需要額外單獨購買加密交換機。
加密存儲安全交換機的代表產品主要包括CipherMax CM系列、思科的MDS系列等。
嵌入式專門加密設備是單獨的一個加密設備,需要連接在存儲和交換機之間。這種加密產品的優點是:靈活性,此類產品可以提供端口的加密,可以隨時一對一連接到存儲上;對主機性能影響小,設備本身提供加密功能,同主機和存儲無關;支持異構存儲。
嵌入式專門加密設備的缺點在于兩方面:擴展性,此類設備多是點對點解決方案,但如果是單一的一對一加密產品,擴展起來難度大,或者成本高。如果部署在端口數量多的企業環境,或者多個站點需要加以保護,就會出現問題;在企業環境中,如果對多端口的存儲設備,需安裝多臺硬件設備所需的成本會高得驚人,這給管理增加了沉重負擔。
基于存儲層的存儲設備本身加密方式,由存儲本身提供加密功能。這類產品的優點是:擴展性好,由存儲本身提供的功能擴展性可以得到保障;投資低,存儲本身具備的功能,不需另外購買設備;對主機的性能沒有影響,由存儲本身完成。
但是這類產品也有缺點:可用性——目前各個存儲廠商只推出了具有加密功能的磁帶產品,具有加密功能的磁盤和虛擬磁帶庫還在研發過程中;投資保護 ——只能保證具有加密功能的設備本身的安全,無法對用戶原有環境中的所有存儲設備進行加密,無法利舊;管理性——各個廠商各有各的密鑰管理軟件,系統中會出現很多的加密密鑰管理軟件,無法做統一管理,而且目前各廠商提供的密鑰管理軟件都不夠成熟。這是用戶最關注的問題;性能——存儲設備本身加入加密功能對性能有一定的影響。加密存儲產品的代表是LTO-4磁帶機和Sun T10000磁帶驅動器等。
法規遵從是促進因素
公司一旦發生數據失竊,就可能違犯法律、身纏官司、股價下跌,從而失去客戶、供應商及合作伙伴的信任。法規遵從與存儲安全的關系正變得更緊密。市場分析家不約而同地認為,存儲加密市場蘊藏著無限商機,市場總額以數億美元計算。 Gartner的報告也指出,到2007年底,財富1000強企業中有八成為靜態關鍵數據加密,構建安全存儲架構,由此可見存儲加密受到了全球企業的廣泛關注。以前談及法規遵從問題,大多數企業將注意力集中在數據保留方面,即怎樣長期存儲數據這樣的事情,但是對這些數據是否安全以及如何保證數據的安全則忽略了。隨著法規遵從的進一步發展,社會對于企業數據安全的要求將增加。
我們相信,不久的將來,隨著法規的逐漸健全,中國企業未來也將面臨嚴峻的法規遵從挑戰。數據安全存儲有可能成為用戶IT招標中要考慮的重要的必選因素。企業也應提前做好迎接新的挑戰的準備。
京公網安備 11010502049343號