2008 LSI存储论坛:LSI谈安全存储

日期:2008年5月21日

嘉宾: LSI网络存储事业部 市场副总裁 Jim Anderson

欢迎大家到我们这个存储安全的论坛。我们是四个主题,第一个介绍一下几个市场的趋势,推动存储安全的变化,第二个方面,讲一下静态数据的保护,包括硬盘的保护。还要介绍一下新的安全系统。第四,具体讲一下FDE的驱动器,以及全磁盘的加密技术。

    首先讲一下市场趋势。使用新的模型,以及外部方面,还有互联网上发展得非常快,创建了很多新的消息,比如社会网络、电子商务等等,还有Facebook,还有远程教育,所有这些内容都使得我们的内容非常丰富,丰富了话音还有声频,越来越复杂的丰富的数据,所以新的网络的使用,可以说促进了IP流量在网络上大大增加。IP网络流量增加速度是每两年翻一番,也就是说一直到2011年以前一直是这样的,从2001年到2011年,在信息量的创建方面要增加六倍,所以这是对网络的一个很大的影响,存储的基础设施要应对快速的经济增长,可以说是一个挑战。

    我们创建的信息都有哪些类型呢?这些创建的类型也发生了变化,在过去我们看到大多数的信息都存储在企业的硬盘上,都是结构性的数据,也就是说这个数据基本上是放在数据库里面的,这是我们企业过去存储的主要方面和部分。

    现在看一下非结构性的数据增长非常快,特别是有非常丰富内容的数据,也就是媒介内容,好比说视频、话音、影像,非常丰富的内容促进了非结构性存储的增长,今天就是要应对快速的数据,包括数据的结构的形式,包括在硬盘存储系统上存储形式的变化,在安全系统中的部署应该是可伸缩性的,因为存储能量要有非常大的变化,因为安全系统也必须要有可伸缩性,以后要谈,因为数据的变化非常大。

    第二个市场趋势就是安全威胁也在变化,而且变化速度非常快,而且是三种形式在变化:1,攻击数据中心的动机变化,过去都是概念的攻击,比如看这个网站能否被攻击,也就是说可以被黑,而现在的威胁动机都是盈利的目的,也就是知识产权或者对货币化资产进行的偷盗这样的攻击,所以这种攻击的威胁,基本上都是一些犯罪组织来策划的,所以这是一个动机上的变化。2,威胁的数量在不断增加,比如说有侵入病毒,还有恶意软件,整个非常复杂,所以我们有一个新的处理器来防止这种威胁。现在越来越多的使用都是一些混合性的攻击,也就是多种形式同时发起的攻击,而这是一个非常困难的局面来做防护和抵御。3,威胁的来源发生了变化,在过去大多数人担心的都是存储或者安全的威胁,主要是来自外部,所以数据中心以外的人发起攻击,去年的IDC做了一个调研,现在的IT管理员,包括大型的企业机构,认为都是内部的,好比说知识产权,或者硬盘的设备,可能工作人员给带出去了,而且变化非常快,这个动机变化了,复杂性也发生了变化,安全威胁的来源发生了变化,这样就是在防护威胁的时候,难度越来越大了,所以存储系统有什么意义呢?安全系统就是对数据的保护要全时段的,随时随地的保护。

    下面讲一下LSI所做的工作,加强安全的保护,包括网络联网的应用,我们这里包括了三个办法来保证安全的解决方案给客户。1,芯片这一级的,是一个很广泛的,很完整的一个IT构建要素的组合,使引擎能够在芯片这一级,还有定制化的自定义的产品和芯片的产品的集合、集成。2,安全的解决方案都是产品级的,组建型的,我们现在的LSI的产品都是安全性的功能,也就是说集成在软件的芯片里面,在我们的标准产品里面。所以我们许多标准的产品,有的都是芯片的构件要素,共享式的。我们还有标准是专门应对安全应用的,有处理器的,有内容检查式的,分析网络上的流量的情况,甄别出对网络方面潜在的威胁、攻击。3,就是给客户系统软件级的,但是我们跟其它的系统伙伴一块做,像IBM、Seagate一块来开发一个完整的系统,用于企业的数据中心,来保护静态数据。今天花的时间就是谈安全性,我们跟LSI的合作伙伴一块开发这个系统。比如从芯片到系统到软件,所以在整个端到端的对数据中心进行全方位的保护。

    静态数据保护的必要性。典型的数据中心部署的情况,所有不同的设备都有了,大多数的设备都有存储方面,还有硬盘,大多数存储都是这样的,什么意思呢?在一个安全系统中,要保护存储设备,还有存储的设备,它们的互操作性,因为这里面有各种各样的设备,而且不同的情况下运行,所以互操作性的安全性应该基于行业标准来进行。另外有这么多的存储在各数据中心,有这么多设备,所有都涉及到,所以主要的危险,我们要防护的,保护静态的数据,像硬盘上的存储的数据要保护。从客户中得到反馈,他们认为主要要保护的,要放在静态数据的保护上。

    为什么要把静态数据进行加密呢?因为要保证这些数据的安全,我们看一下数据的生命周期,大多数的数据都是在硬盘上的,在一个存储媒介上,所以大多数的数据保护,它们都是处于静态的,另外硬盘驱动器都是移动的,所有的硬盘驱动器过去50%都是笔记本里面的,或者是外部的硬盘驱动器,这个很容易丢失或者被偷,所以它是移动的。那么当然这对很多的企业当中,它们的数据中心就会面临这样的问题,导致很多客户的数据的损失,当然这可能对公司来说,就导致很大的利润的损失。当然,我们可以看到,其实现实当中很多的企业都遭受到这种数据损失的威胁,所以我们必须对数据进行很好的保护。

    另外一个原因,为什么要对静态的数据进行加密?就是因为我们可以看到,很多的国家如果他们公司的顾客数据遭到遗失,要进行恢复或者是修复是非常昂贵的,同时我们可以看到,这实际上会对这个公司在社会上带来很多负面的效应和报道,这是很难恢复的一件事情了。

    当然还有一点,我们可以看到美国的各大洲和欧盟成员国,它们都会建立一些安全岗来进行加密。可以看到,它们也希望能够对这些数据加密之后,如果一旦丢失的话,它们的公司都能够保护住他们自己内部的一些重要信息和数据。所以,这也是为什么我们看到对静态数据要进行加密,是如此的重要。

    现在对静态数据进行保护,还有一些基本的要求。IBM、LSI还有Seagate都提出对静态数据进行保护,要进行保护应该有三个重要的因素必须要考虑:第一点就是密钥的管理系统,就是要对这些密钥进行存储以及保护,要进行很好的授权,相当于对它进行很好的保护了。第二个层面就是存储体系,我们有很多的攻击,这些管理实际上都是为了安全功能着想的,所以我们必须要对一些密钥员来进行授权、进行保护。从安全的角度和功能来看,我们就必须要给LSI提供这种驱动力,今天很多时候都在讨论加密的问题,可以看到加密的功能实际上是我们在应用的时候更加的透明化,我们能够使我们的工作更加地通畅。第三点,自我加密的驱动器,就是SED。

    这里给大家展示的就是我们的部署情况,讲一下它是怎么工作的。大家可以看到,有一些典型的公司都是这么做的,那就是通过安全岗的渠道来进行工作。比如说在这里,大家可以看到密钥关键的服务器,它是与存储体系进行联系的,当然我们可以看到这也是来管理安全功能的。同时可以看到,我们也有安全管理站来进行具体的操作。这是与整个体系相连联系的,保证整个体系的安全。同时我们也要求硬盘得到很好的保护。

    整个体系当中,我们也是通过行业标准得以执行和实施,比如说MPI,这也是需要对关键的服务器进行定义和管理,我们会把这个钥匙再传回到体系当中,从而获得CPI。在这里,本土的都会来实施建立自己的密钥。比如说对数据进行加锁,当然我们可以看到这种硬盘驱动器就能够得到很好的保护,包括整个体系、整个系统,还包括与数据的连接,就会很安全。

    这就是整个体系工作的流程和工作的方法,从这个图片中都能够看到。

    现在看一下可以获得的好处是什么?实际上对硬盘驱动器都是需要进行加密的,所以一个最好的好处,就是保护存储的安全。比如说它是否能够快速地进行工作,同时如果有密钥的硬盘驱动器,是不是也能够快速工作,这是我们考虑的一个问题。当然我们也希望,数据能够在静态的时候,和工作的时候都得到,运行的时候都得到保护。当然,我们也希望可以使这个数据对我们的使用者来说是透明的。

    实际上我们的伙伴也一直在说,我们必须要维护或者是要遵守行业标准,所以我们会有多元的以及互操作性等等相关方面的标准,都是我们要考虑的。所以这种所谓基于标准的含义,就是说我们在存储方面,必须要遵守整个体系基于的标准来运行。

    我们今天讨论了很多的加密,以及CD Drievs。