目前存储厂商的安全产品实现方式及技术解决方案

    当2004年Network Application以2.72亿美元收购存储安全厂商Decru的时候,也许有人会认为这仅是NetApp公司业务整合的需要;当2005年安全厂商Symantec以135亿美元并购存储软件厂商Veritas 的时候,也许还有人猜不透Symantec的动机;可是当今年存储领域“领头羊”EMC斥资21亿美元将RSA招于麾下的时候,人们突然发现存储和安全的联姻已经奏起了序曲。近期,各大存储厂商的存储与安全捆绑式的产品已经纷纷亮相也说明了这种趋势,而且这只是个开始,种种分析和现象表明,用户对“简单快捷的数据安全解决方案”的需求正在迅速增长。


    NetApp&Decru:一切刚刚开始


    CardVault是由NetApp和Decru携手推出的新型数据安全捆绑的产品之一,由NetApp额存储系统和Decru的DataFort存储安全设备共同组成。其中,NetApp的任何一款存储文件系统都可以与DataFort捆绑在一起些同工作,这也许和这两家公司前期密切的合作有关系,NetApp的存储系统专门负责数据的后端存储部分,DataFort专门负责加密数据,并且创建许多crytainer空间(类似于设备上的分区,允许不同的授权用户对不同的分区进行访问)。



    CardVault解决方案采用AES-256加密算法,配合认证、访问控制和异常日志等操作完成存储数据对安全性的要求。在CardVault系统中,通过DataFort专有硬件,所有加密操作和密钥管理对系统的速度不会产生影响,可以有效地避免因加密操作引起的延迟和复杂性的困扰。NetApp的存储系统提供有效的数据保护和管理功能,例如,存储数据的保留期,灾难恢复以及通过扩展多级存储完成企业级存储架构的特殊规定要求。通过CardVault的解决方案,管理员在完成数据备份和复制的同时,也能通过DataFort完成对文件内容的加密和阅读认证等功能。


    该产品可以在NAS,SAN和IP-SAN等多种环境下应用,虽然CardVault是一款专门针对信用卡行业应用的解决方案,不过对NetApp来讲,一切才刚刚开始。


    EMC:要做就做完整的解决方案


    虽然EMC收购RSA刚刚几个月,可是我们从它提供的解决方案中可以看到许多RSA技术的影子,由此也可见EMC对RSA安全技术的需求是相当的迫切。EMC公司从一个完整的解决方案入手,从风险评估、人员安全性、信息基础结构的安全性、数据的安全性和保证法规遵从等几个方面提供了统一的方案。在收购了RSA之后,EMC在上述的几个方面中取得了许多突破。在人员安全性上,EMC采用了RSA SecurID安全认证和RSA访问管理器,以此来加强对操作人员的访问认证。信息基础结构强调的是系统自身的安全性,EMC在这方面推出两个安全产品,一个是EMC Documentum 系列内容管理和协作解决方案?包括 EMC Documentum Trusted Content Services,另外一个是EMC Secure Remote Support Gateway,前者能够为企业级内容管理提供强大的安全服务。而后者则提供对系统的远程监控,提高系统的有效运行时间。数据安全性上,EMC提供的产品比较多,除了传统的Networker系列,还提出了RSA加密和密钥管理方案,虽然部分加密选项还没有完全实现整合,但是前景却是让人期待的。法规遵从方面,EMC的Centera内容寻址存储系统和RSA的法规遵从方案的整合估计也在紧张的进行中。



EMC以信息为中心的安全战略的四项关键能力


    IBM和Sun:老瓶新酒?


    IBM的Tivoli Storage Manager在数据保护方面已经取得不错的效果,从提供的备份、恢复和归档的管理功能,到数据容灾恢复,以及文件级的持续数据保护(Continue Data Protection),Tivoli提供了一套非常完备的数据保护方案。可是,在高端的磁带市场,IBM与Sun公司的竞争却是非常激励。IBM将其加密密钥管理插件有效地结合到TS1120磁带驱动器上,而Sun则在同期也公布了它的磁带加密产品T10000,两者都是将加密操作通过硬件来实现,这样可以有效地减少加密操作对备份系统的性能影响(大约1%左右),这是硬件加密比软件加密有优势的地方所在。密钥管理在加密系统中总是个令人头痛的问题,IBM TS1120提供了磁带驱动加密产品中最先进的密钥管理技术,即同时使用了公钥和私钥协议,这使得数据的交易双方都可以保证数据的安全性。在IBM的TS1120产品中,私钥是嵌入到磁带中的,公钥是公开的。在读取磁带的数据时,两个密钥都是必须的,从而有效地防止了单个私钥的密钥泄漏带来的问题。Sun的T10000磁带密钥管理使用的是单私钥的方法。当用户把磁带交给可信的第三方的时候,密钥也跟随着传递,分析人士认为这可能带来一些安全隐患,价格上,IBM给出的TS1120的定价大约是35500美元,Sun的T1000磁带驱动器的起价是37000美元,对现有系统扩展一个加密选件的价格则是5000美元。目前,用户对这个价格的认可度还不清楚。



    在磁带加密这个领域,还有几家公司同样值得关注。Disuk公司推出的SafeTape,则由该公司的Paranoia2加密设备配合备份磁带读写器组合而成,SafeTape将Paranoia2系统与实际的磁带机捆绑在一起工作。SafeTape的定位是中小型的企业用户,SafeTape系统的零售价大约为18000美元。另外一个公司是NeoScale,它的磁带捆绑加密产品包括:CryptoStor Tape 700/500等,另外,NeoScale的数据加密产品还包括CryptoStor KeyVault,CryptoStor FC Disk和CryptoStor SAN VPN。


    另外,遗憾的是市面上还没用Symantec和VERITAS整合的产品,我们在翘首以待的同时,也可以想象通往存储与安全光明前途的过程中,道路也是充满曲折的。


    本文节选自《信息存储》杂志2006年度特刊,点击此处浏览全部文章。
    想要免费申请订阅《信息存储》杂志,请点击此处。