提醒用户注意存储安全的是最没有技术含量的失窃事件:比如时代华纳包含60万名员工信息的备份磁带是在常规运输途中丢失的; 美洲银行包含120万名联邦政府雇员(其中包括90万属于五角大楼雇员)信用卡记录的备份磁盘在飞机上被偷; 花旗集团一批记录着390万客户账户及个人信息的备份磁带在运送过程中神秘失踪……而且随着磁带技术的不断进步,数据丢失带来的负面影响也变得越来越大。比如原来一盘磁带中只能存放几十GB数据,而现在的大容量磁带已经超过1TB了,一旦丢失,泄露的数据会是以前的数十倍。
频繁出现的存储介质丢失事件,使用户意识到对存储数据进行加密是必要的。存储行业已认识到了肩负的重大责任:确保存储数据的安全性再也不是防火墙或防毒软件等厂商的事情。不过,哪一种加密方式会更好呢?
软件加密PK硬件加密
从实现方式的角度讲,可选择的加密方式有很多:一种方式是软件实现,像CA和IBM/Tivoli等大型软件公司在多年前就已经开始提供安全应用,其许多产品都在一些大型企业中的服务器上运行。通常这些都属于大型软件实施项目,经常都是某些更大型软件套件的一部分。
另一种方式称为硬件加密方式,采用专用设备进行加密,比如Decru(现在被NetApp收购)公司的DataFort产品。上面两种方式都是在数据传输到磁带机之前被加密的。一些磁带库厂商也发布了具有加密功能的磁带库解决方案,最终也能够将存放在磁带中的数据进行加密。当然这也是硬件加密的一种。
也有用户会根据实际需要,不会单纯地只采用软件加密或者硬件加密方式,而是“软硬兼施”,以确保数据安全。
通过软件加密,可以在应用程序内部、数据库或者文件系统层面实现加密。但如果处理不当,基于软件的加密会给公司带来成本增加的压力。此外,基于软件的加密还可能导致延迟,而任何延迟都意味着迫使客户等待,用户无法忍受SAN出现任何停运时间。
而如果使用硬件加密方式,在数据写入磁盘过程中对数据进行加密,不但方便,而且可靠性高,并且不会影响SAN性能。有数据显示,使用基于软件加密技术的加密备份要比其相应的非加密备份多花费30%的时间。当然这个数字可能存在巨大的差异,需要取决于下部硬件的效率。但是,基于硬件的加密设备使得备份几乎能够像相应的非加密备份一样快,这是因为它们已经把加密过程分配给了专门的CPU来完成。
因此,大多数商业用户似乎倾向于使用专用设备加密这种方法。此外,还有一个原因是,这种即插即用的方法可以满足法规遵从的要求。
三种不同的磁带加密方式对比
从应用层面讲,加密技术分为三种:基于主机的加密技术、基于存储架构的加密技术,和基于存储设备的加密技术。
若企业选择从主机着手,通常采用软件加密方式。例如Veritas NetBackup的加密软件把加密程度分成AES-40、56、128和256位元,从用户端开始的数据就可加密;通过内部网络传送到服务器时,资料已是加密状态,然后再通过存储网络传送到磁带做备份。
但是考虑到前面分析过的关于软件加密的缺陷,基于主机的加密技术是从信息源头为数据“上锁”,这种加密方式会加重服务器的工作负荷,影响系统整体性能,同时还会增加数据管理与调用的复杂性。所以除非是需要进行点对点资料加密的小型企业应用,一般而言,基于主机的加密技术并没有明显的优势。
另外一种方式就是在存储架构层次进行加密,大多是在设备I/O的端口外接一个硬件加密装置,例如,被NetApp并购的存储加密公司Decru,和存储加密公司NeoScale都是其中的代表。但是,硬件加密由于外接在网络端口,所有进出的资料都被一视同仁地做了加密,包括其中一些不必要的资料,这无疑会增加加密装置的负担。
第三种方式是使用具有加密技术的磁带库。通过在磁带机上对数据进行加密,使数据得到更安全的保护,且不需要额外的管理和备份策略的改变。例如,Sun公司推出磁带机加密方案T10000,能够在磁带机中实现数据的加密工作,提高数据的安全性。
软件加密具有价格优势,但会影响备份客户端的性能;硬件加密的性能和安全性都很好,但人们稍有微辞的是价格偏高。可是,用户要想到另一个问题,需要多少费用才能弥补客户数据泄露所造成的破坏与影响呢?存储安全对用户而言,不付出精力就可能付出代价。
因此,以硬件方式为数据加密是保障信息安全的有力手段,而基于磁带库的加密更具优势。Sun等多家公司都计划在今年推出基于磁带库加密技术的产品,实力厂商的推波助澜将使这一加密方式在今年成为热点;Sun公司StorageTek T10000磁带机将在今年上半年提供AES-256加密能力,他们还计划把其Solaris操作系统的身份管理功能与StorageTek的信息生命周期管理产品结合起来,可以控制谁来访问什么。总的说来,基于硬件的磁带库加密将在今年胜出。
