未解决
此帖子已超过 5 年
2 Intern
•
4K 消息
0
1766
EMC VNX D@RE静态数据加密技术
EMC VNX D@RE静态数据加密技术
转载请在文首保留原文出处:EMC中文支持论坛https://community.emc.com/go/chinese
介绍
在现今云计算为热点的大环境下,企业收集和存储的信息正受到越来越多的威胁。当这些数据需要存储在终端设备,比如手提电脑、平板、智能手机或移动硬盘等中时,这些威胁将会拥有更高的风险等级。一个更直观的危险是,当手提或移动设备丢失时,会造成后续更多的未授权访问带来的数据泄露。如果企业正处于政府的管制下,那数据丢失的风险会引起更多的负面效应,比如丢失利润、丢失客户以及可能的行政罚单。
新一代EMC VNX系列存储现在拥有了一项新的安全特性,支持基于中央控制器的静态数据加密(Data-at-Rest Encryption, D@RE)技术。本文将介绍它的一些具体功能和技术细节。
注:配合硬件的加密软件将于2014年第三季度发布。
更多信息
静态数据加密技术:
我们预期业界对静态数据加密的需要,并且已经在硬件层面上将其加入到新一代VNX系列存储中。我们选择基于中央控制器的加密技术,是因为这是最优且最安全的方案——它对数据I/O的影响减少到最低。后端的控制器使用XTS高级加密标准(AES)256来加密数据。AES对称区块密码可以加密并解密数据。AES算法支持使用128、192和256位的密钥长度来加密和解密128位的区块长度。AES-256意味着EMC使用的是最安全的256位密钥方案。
工作原理:
通常政府会限定哪些企业需要加密自己的数据。一旦企业收到这样的要求,并且使用的是VNX存储时,就可以开启加密功能加密整个阵列上的数据。开启加密后,用户无法仅对部分的数据加密。同样的,也无法再在阵列上明文存放数据。
加密功能开启后,当设备写入数据到VNX阵列时,数据会被后端的控制器加密并以加密的格式存放在存储上。同样的,当需要读取数据时,后端控制器会解密数据,并以明文的格式发送给前端设备。
密钥管理:
我们会更改Unisphere管理界面并添加新命令到命令行工具中,以配合新的加密功能。所有的密钥会随机生成,包括安装时、启动时和RAID组被创建时。这些随机密钥会分配给每一块硬盘。所有的密钥都是唯一的,并遵循FIPS 140-2安全规范。密钥管理服务器(Key Management Server)将会是一个新组件,并整合进RSA BSAFE和CST Lockbox产品线。RSA BSAFE负责在用户创建RAID组时生成密钥;CST Lockbox负责存放这些密钥。密钥管理服务器将监控阵列配置的变化,以进行后续密钥存放的更改。密钥管理服务器结合Unisphere管理界面,可以提供在备份存储时将密钥安全地迁移至远端设备的功能。
对阵列端软件的支持:
由于选择了使用基于控制器的加密技术,VNX阵列上所有的软件功能都将被其支持。同时,所有现有的以及将来会加入的硬盘类型都支持数据加密功能。所有高级数据服务,包括复制、快照、FAST数据分层、压缩、重复数据删除、备份等,也都支持加密。需要注意的是,在远程复制时如果需要两边的数据都被加密,那就需要在两端的VNX阵列上都启用D@RE功能。数据在传输过程中是明文的,所以需要另外的技术来机密传输中的数据。
部署:
所有的新一代VNX在出厂时即部署了支持数据加密的后端控制器。加密软件将在2014年第三季度发布。一旦授权文件安装到VNX并启用后,就可以立即加密阵列上的静态数据。启用加密后,如果用户正在使用FAST Cache,则需要临时禁用一下服务以启用加密功能。一旦数据被写回后端硬盘后,就可以重新启用FAST Cache。
我们会推出一个可选的软件包。用户如果需要加密数据的话,需要购买此软件包。D@RE软件包支持全部的VNX2系列,授权费视不同的阵列型号而不同,而不管VNX上有多少存储空间或硬盘数。
参考
EMC技术白皮书:
《EMC VNX2 with Data-at-Rest Encryption for Healthcare》
《Protect Your Information with VNX Data-At-Rest Encryption》
应用于
VNX5200、VNX5400、VNX5600、VNX5800、VNX7600、VNX8000