转载请在文首保留原文出处：EMC中文支持论坛https://community.emc.com/go/chinese

      在现今云计算为热点的大环境下，企业收集和存储的信息正受到越来越多的威胁。当这些数据需要存储在终端设备，比如手提电脑、平板、智能手机或移动硬盘等中时，这些威胁将会拥有更高的风险等级。一个更直观的危险是，当手提或移动设备丢失时，会造成后续更多的未授权访问带来的数据泄露。如果企业正处于政府的管制下，那数据丢失的风险会引起更多的负面效应，比如丢失利润、丢失客户以及可能的行政罚单。

      新一代EMC VNX系列存储现在拥有了一项新的安全特性，支持基于中央控制器的静态数据加密（Data-at-Rest Encryption, D@RE）技术。本文将介绍它的一些具体功能和技术细节。

      注：配合硬件的加密软件将于2014年第三季度发布。

静态数据加密技术:

      我们预期业界对静态数据加密的需要，并且已经在硬件层面上将其加入到新一代VNX系列存储中。我们选择基于中央控制器的加密技术，是因为这是最优且最安全的方案——它对数据I/O的影响减少到最低。后端的控制器使用XTS高级加密标准（AES）256来加密数据。AES对称区块密码可以加密并解密数据。AES算法支持使用128、192和256位的密钥长度来加密和解密128位的区块长度。AES-256意味着EMC使用的是最安全的256位密钥方案。

工作原理：

      通常政府会限定哪些企业需要加密自己的数据。一旦企业收到这样的要求，并且使用的是VNX存储时，就可以开启加密功能加密整个阵列上的数据。开启加密后，用户无法仅对部分的数据加密。同样的，也无法再在阵列上明文存放数据。

      加密功能开启后，当设备写入数据到VNX阵列时，数据会被后端的控制器加密并以加密的格式存放在存储上。同样的，当需要读取数据时，后端控制器会解密数据，并以明文的格式发送给前端设备。

密钥管理：

      我们会更改Unisphere管理界面并添加新命令到命令行工具中，以配合新的加密功能。所有的密钥会随机生成，包括安装时、启动时和RAID组被创建时。这些随机密钥会分配给每一块硬盘。所有的密钥都是唯一的，并遵循FIPS 140-2安全规范。密钥管理服务器（Key Management Server）将会是一个新组件，并整合进RSA BSAFE和CST Lockbox产品线。RSA BSAFE负责在用户创建RAID组时生成密钥；CST Lockbox负责存放这些密钥。密钥管理服务器将监控阵列配置的变化，以进行后续密钥存放的更改。密钥管理服务器结合Unisphere管理界面，可以提供在备份存储时将密钥安全地迁移至远端设备的功能。

对阵列端软件的支持：

      由于选择了使用基于控制器的加密技术，VNX阵列上所有的软件功能都将被其支持。同时，所有现有的以及将来会加入的硬盘类型都支持数据加密功能。所有高级数据服务，包括复制、快照、FAST数据分层、压缩、重复数据删除、备份等，也都支持加密。需要注意的是，在远程复制时如果需要两边的数据都被加密，那就需要在两端的VNX阵列上都启用D@RE功能。数据在传输过程中是明文的，所以需要另外的技术来机密传输中的数据。

部署：

      所有的新一代VNX在出厂时即部署了支持数据加密的后端控制器。加密软件将在2014年第三季度发布。一旦授权文件安装到VNX并启用后，就可以立即加密阵列上的静态数据。启用加密后，如果用户正在使用FAST Cache，则需要临时禁用一下服务以启用加密功能。一旦数据被写回后端硬盘后，就可以重新启用FAST Cache。

      我们会推出一个可选的软件包。用户如果需要加密数据的话，需要购买此软件包。D@RE软件包支持全部的VNX2系列，授权费视不同的阵列型号而不同，而不管VNX上有多少存储空间或硬盘数。

EMC技术白皮书：

《EMC VNX2 with Data-at-Rest Encryption for Healthcare》

《Protect Your Information with VNX Data-At-Rest Encryption》

VNX5200、VNX5400、VNX5600、VNX5800、VNX7600、VNX8000