DoSTOR存储专访:NetApp谈法规遵从与加密策略

    DoSTOR存储专访 10月24日北京消息:9.11事件让公众认识到对数据备份保存的重要性,而近年来的一些最没有技术含量的失窃事件,反而让大众认识到为数据加密的重要性。这些要是在信息不够发达的过去,或许并不为人所重视,但今天,我们与社会关联的所有数据皆存在于上述事件的各种备份介质中,这些数据的丢失,难免不会出现电影《第六日》中的情形。所以,法规遵从应运而生。其主要内容就是,企业和组织在业务运作中,不仅要遵守企业自身的各项规章,还要遵守政府和行业制定的各项法律、法规及规章,同时又能证明自己确实做到了相关的要求。
  
    有调查显示,由于长期归档、固定内容和法规遵从等存储需求提示了一个大量增长的数字化信息户领域。在之前笔者的文章里,曾经描述了有关存储加密与磁带存储技术发展的关系,事实上由于磁带技术在归档领域的独特优势,最初的存储加密就是由这开始的。但在今天,磁盘产品已经遍布存储的各个方面。
  
    前不久业内专家警告说存储的数据在通过企业的局域网或广域网时极有可能被偷窃或者被攻击。但是一些存储厂商似乎通过加密解决了这个问题,甚至有厂商开始将加密作为一项标准特性,这其中就包括NetApp。
  
    NetApp收购Decru公司之后,迅速把其纳入自己的整体解决方案之中,通过Decru DataFort系统无缝插入增强加密、认证、接入控制等功能和区分应用层,希冀能够切实有效的帮助用户保护存储网络核心数据的安全。为让广大读者更好对目前的存储加密设备以及NetApp独有的加密产品清晰了解,笔者在NetApp公司产品与合作伙伴副总裁Patrick Rogers先生来到中国之际,专门与其深入交流,揭开NetApp在存储加密方面的神秘面纱。



NetApp公司产品与合作伙伴副总裁Patrick Rogers


    在Patrick Rogers看来,致使存储加密越来越为用户所关注的重要原因有两方面:第一个是客户迫切的需求;抛开法律规定本身,用户觉得对信息数据的有效归档是可以帮助,自身的IT架构更好的使用,同时把信息根据使用程度的多寡进行分类,也有利于IT成本支出的控制。用户把一些平时没有太多用的数据,放在一个系统,这对于他们来讲,一个归档的系统应用是可以用的更好,用的更顺畅。
  
    信息安全之外,就是信息保留。欧美国家的法律要求企业保存用户数据有一个时间的限制、以及数据被留存的过程的真实性不可修改等等,这都是很重要。保留的数据时间越来越长,数据量越来越大,所以对很多企业来讲都是一个很大的负担,因为数据要保留多久,原来保留是否安全,这都是挑战。对一些美国公司,虽然不是在美国国内经营,但是只要在美国上市的公司或者是在美国注册的公司,无论在哪个国家都是受到美国法规监管的。
  
    NetApp发现很多客户希望把归档和法规遵从的要求变成同一个,为什么?因为对他们来讲,很难把(归档和法规遵从的需求)放在两个系统里面,比如说电子邮件的归档,内容越来越多的时候,系统性能会变的很慢,或者成本升高,因为需要用昂贵的光纤磁盘来存放归档的系统。而NetApp把用户对于法规遵从和归档,这两个要求放在同一个系统里面,这个系统跟客户现在用的(NetApp)系统其实都是同一个类的系统,对客户来讲,无论是管理,还是运营成本都可以大大降低,同时还可以结合反馈的要求。



用户需要一个统一的系统


    我们目前所了解的针对用户法规遵从和归档需求的,存储加密设备,按照技术实现方式通常分为三类:



  • 基于主机层的,通常是一些软件厂商在服务器端就对数据进行加密处理。通过内部网络传送到服务器时,资料已是加密状态,然后再通过存储网络传送到磁带做备份。

  • 基于网络层的,事实上就是在设备I/O的端口外接一个硬件加密装置。在数据传输的过程中,对所有经过的数据都一视同仁地做了加密。

  • 基于存储设备的方式,通过在存储设备上对数据进行加密,使数据得到更安全的保护,且不需要额外的管理和备份策略的改变。

    而NetApp Data Security&Privacy系统就是基于网络层来实施加密。笔者疑惑过这种加密虽说比较完整,但由于不对加密数据进行区别,无疑增加了加密装置的负担。但是,Patrick Rogers表示,这里恰恰体现出NetApp在于加密设备方面的一个技术优势,本身这个系统并不是一个存储系统,当在对主机与存储设备之间交流的信息进行加密时,通过其固有的硬件及软件系统同时进行。对于主机与存储端之间的网络传输来说,基本没有性能上的影响。而由于其只是对信息加密,并不同时进行信息压缩,所以对系统本来说也不会影响其性能。
  
    虽说NetApp的加密系统使用的基于网络层方式来实现加密,但事实上,无论在主机端还是存储端,其都可以做为一个硬件加入进去。Patrick Rogers认为,现在用户更多的考虑把该系统放在存储端,事实上这并不是最好的做法,在未来主机或者网络传输中间进行加密才是主要的。
  
    NetApp设计的考虑基于,把加密设备放在网络中间时,无论后端使用何种存储,前端使用何种主机,都是随时可以更改,而不用做大的调整。对用户来说非常简单。这是从整体的管理来看。从技术上来看,这样从用户应用来说会更方便,他随时可以选择将加密设备放在那一端,对某种过程进行加密。
  
    除此之外,在一个系统里,对用户来说很重要的一个问题是,怎么知道自己的数据被用在何处,被那些人使用了,某些数据的使用频率等等。企业的CEO或者IT主管就需要可以对数据进行分类。根据不同使用者的权限对数据进行设置,同时可以方便了解到数据被何人在何时访问过。而IT主管则可以根据数据被使用频率,决定是否把其放到不常用的里面,通过离线设备进行备份保存。根据用户这些需求,NetApp的Data Permanence就是一个类似密钥的加密设备,通过他可以轻松对系统里的数据进行三部分设定:数据分类,保护级别,读写设定。



NetApp加密解决方案


    NetApp的加密解决方案本身并不仅局限于NetApp存储产品,事实上它可以与多家供应商的存储产品结合起来,在NAS、DAS、SAN、iSCSI甚至磁带备份环境中透明地予以部署。部署该系统不要求改变服务器、桌面、应用程序或用户的工作流程,从而使用户能够轻松地迅速将解决方案集成到现有基础设施中。在交流过程中,Patrick Rogers一直在就笔者的任何疑问做解答,虽然目前对加密设备的实现,业界有各种不同的声音。但Rogers相信,法规遵从和归档对于大多数企业来说,已经是必须实行的,用户所疑惑的只是现有的加密设备是否可以满足其简单易用的需求,而NetApp恰好满足了他们的需求。