| 摘要:下面是对四类存储安全系统的介绍,它们分别从四个不同的层次提供存储系统的机密性、完整性和可用性。 |
Datafort简介
由于存储安全技术的巨大的实用价值,近几年不但在学术界积极展开研究,工业界也出现了一批转注于此领域的存储厂商,并推出了多款存储安全产品,如Decru公司的Datafort,Neoscale公司的CryptoStor,Vormetric公司的CoreGuard等。下面就其中的典型代表Decru的Datafort作简要介绍。
DecruDataFort设备是企业级的存储安全系统,它是一种基于网络的加密系统,典型的部署方式是采用后端加密方式运作,将DataFort直接接上IP交换器或光纤信道交换器,透过交换器将前端送来的数据指向DataFort,经DataFort加密后才会送到储存装置。通过引入专用的网络设备(appliance)进行加密和密钥管理,实现了硬件线速加密和对前端用户的透明,可以用于SAN(DatafortFC系列)或NAS(DataforE系列)中的关键数据保护。
Datafort的专用设备位于客户端和存储服务器的数据通路之中,它集成了数据加密、密钥管理、基于策略的访问控制和安全审计功能。专用设备截获用户的存储访问请求,通过协议解析(NFS、CIFS、iSCSI等)得到其中的数据,并根据用户预先设定的策略进行相应的加解密操作。其中由硬件实现的AES256加密对性能的影响几乎可忽略不计。Datafort的体系结构如图所示。
存储安全系统未来发展
2006年数据保护是存储界最具影响力的事件之一。企业拥有的有价值数据越多,数据泄密的风险就越大。IDC在最近关于存储管理的调查中发现:36.3%的公司将“提高数据可用性、安全性和数据恢复”作为它们的首选。
在学术领域,存储安全逐渐得到关注,IEEE计算机协会主办的存储安全工作组会议(SecurityinStorageWorkshop,SISW)已经举办了三届;2005年ACM创办了存储安全性与可生存性工作组会议(StorageSecurityandSurvivability,StorageSS)。
在工业界,EMC、IBM、HP、Symantec等公司在各自的存储产品中增加了安全机制。HP在其存储服务器中加入了Lustre对象存储文件系统;Panasas推出了面向对象的并行集群存储安全系统,将对象机制加入文件级存储访问。存储网络工业协会(StorageNetworkingIndustryAssociation,SNIA)成立了存储安全工业论坛(StorageSecurityIndustryForum,SSIF)来推动存储安全的发展;还成立对象存储设备(Object-basedStorageDevice,OSD)工作组,发布了ANSI的X3T10标准,该标准对SCSI标准进行扩充,在指令级这一层次增加了安全方法。
纵观近几年产业界的发展,存储安全技术的发展趋势是集成化和标准化。集成化是指越来越多的安全功能已通过专用硬件实现,并无缝集成到整个系统中。硬件方法不占用主机的资源,可以做到对用户透明,将加解密对性能的影响降到最低,并且可以避免软件方法固有的安全隐患,最大限度的保证整个系统的安全性;标准化是指一套通用的密钥管理接口。现有的存储安全系统多采用自己专用的密钥管理接口,因此不同产品直接很难做到互操作。现在已有厂商,如EMC和Decru已经着手制定一套通用的密钥管理API标准,其目标是使符合该标准的产品具有互操作性,这必将大大加速相关技术的实用化进程。
存储安全从上世纪九十年代末开始,逐渐从网络安全中脱离出来,发展成信息安全中独立的领域,以美国为主的发达国家各研究机构在政府的支持下大力开展相关研究,并取得了很多成果。而目前国内大量的研究、开发和实际应用都集中在网络安全和存储安全系统上。存储安全的研究与技术开发处于空白。很多存储厂商所谓“存储安全产品”也仅止步于初级加密,更没有自己的关键技术,而国内研发和生产存储保护产品尚存在技术上的困难。因此,研究和开发具有自主知识产权的存储安全技术和产品,对我国的信息安全基础设施建设,具有重要的战略意义。
责任编辑:小羡
评论表单加载中...
