admin 比较篇
各类备份加密的尺短寸长
当我们谈论存储安全话题时,最多谈论到的是备份的加密,它也是目前部署最多的领域。能够应用到备份加密的解决方案主要有磁带加密、备份软件加密以及专用设备加密。
磁带机首当其冲
日前,IBM与Sun不约而同地选择将驱动器级加密技术引入到各自旗下高端的磁带机产品线内。也就是说,这两家公司推出的新型磁带机均具备基于硬件的加密功能,其密钥管理系统可与大型主机服务器及开放式系统协同作业。
与基于软件的加密技术及第三方专用设备相比,基于硬件的驱动器加密技术最大的优点就在于:它可以在数据被压缩并写入磁带之后,对其实行加密处理。而且,基于硬件的加密技术对备份服务器的数据传输性能造成的负面影响相对小很多,无论是IBM还是Sun,都号称添加了驱动器级加密技术之后,磁带机的性能仅下降了不到1%。
无论是IBM T1120,还是被划归到Titanium 10000产品线之下的Sun T10000,售价都不低。T1120磁带机的标价高达35500美元。IBM企业级密钥管理系统(Enterprise Key Management System)是一套Java应用程序,可运行于个人电脑之上,虽然IBM有未来将该系统作为免费组件向用户供应的意向,但在现阶段,凡是添加了加密功能的T1120磁带机,每台售价均比普通的T1120磁带机高出5000美元。
Sun StorageTek Crypto Ready T10000磁带机的起步价为37000美元—添加了加密功能的T10000磁带机,售价较普通版本高出5000美元。作为Secure Solaris实例之一的StorageTek密钥管理系统(Key Management System),运行于UltraSparc服务器之上,标价为45000美元,含安装服务。相比之下,Decru和NeoScale推出的加密专用设备,售价也不过在25000万美元左右。
“我相信这些系统都是针对专门的应用平台而设计和定价的。”Glasshouse技术有限公司的备份产品分析师Curtis Preston指出。Preston认为,只有那些使用大型主机服务器,并要求磁带机的任务处理周期(duty cycle)在90%以上的大公司,才会选择这一类售价昂贵的独家专利产品。
在中端磁带技术方面,LTO技术联盟(LTO Consortium)公开承诺:即将问世的新一代LTO格式,也将会加入本机加密功能。
昆腾公司于今年1月份推出的新型数字线性磁带(DLT)——DLTSage,也在前代产品的基础之上进一步完善了安全性能。
该产品采用了昆腾公司最新研制的新型安全框架技术—DLTSage Tape Security,在每盒磁带上放置了一个特殊的加密“磁头”,提高了系统访问控制的力度。换言之,只有特定的驱动器才能读取磁带上的数据。昆腾公司最新一代DLT磁带驱动器应用了该项技术,用户无须支付额外的费用。
备份软件耕耘多年
与加密磁带机相比,备份软件更早实现了加密功能。在加密磁带机出现之前,赛门铁克、HP、CommVault、BakBone和Atempo等公司就在备份软件中增加了加密功能。近期,EMC在最新版Legato NetWorker备份产品中也添加了加密功能。但它们之中没有一家公司认为软件加密的效率更高。
Symantec公司产品营销经理Glenn Groshan承认:“专用设备的优势是它具有处理器,因此你可以将加密负载转移到专用设备上。但是,如果你注意一下一些专用设备的费用的话,那可不是免费的。”
EMC软件产品营销经理Rob Emsley说,软件加密可以满足少量数据的加密需要。他说:“你是使用硬件还是软件加密,在很大程度上取决于被加密的数据量。”
赛门铁克中国区解决方案市场经理张衡介绍说,在备份软件中实现加密,有些方面比磁带机加密更具优势。数据可以在备份客户端进行加密,以确保其在公司网络传输或从基于磁盘备份复制到磁带的过程中能够得到有效保护。也就是说,在数据传输过程中是加密的,像远程备份这样的方式,可以规避网络中存在的诸多安全风险。另外,如果用户备份环境中使用的磁带机部分是加密的,那么在统一管理的时候就存在一定的不便。
专用设备备受青睐
不过,数据安全专家说,加密的最好方式是通过基于硬件的加密,使用像Decru、NeoScale、Kasten Chase和Vormetric销售的专用设备。基于硬件的专用设备,采用内置的处理器来处理加密和管理脱密密钥。
Glasshouse CTO Jim Damoulakis说:“加密专用设备是进行加密的有效方法。软件大规模使用起来麻烦太多。”
Damoulakis说,软件加密存在两个问题。一是软件使用CPU时间,而这种开销降低了备份的速度。另一个问题是备份应用要求用户在加密时关闭压缩功能。而在备份应用中,这意味着需要更多的存储容量,并且备份时间将显著增加。
加密专用设备不断增强处理更大负载和更分散的负载能力。Decru自去年6月被NetApp收购后,在它第一次重要产品发布会上推出了一款用于磁带库的10端口专用设备和一款用于SAN硬盘和磁带的6端口专用设备。该公司以前所有的专用设备都是两端口配置。Decru和NeoScale还通过让客户将脱密密钥复制到远程站点来加强灾难恢复能力。
Decru的DataFort系列存储安全设备,提供了完整的网络存储数据安全解决方案。包括:256位AES算法的数据存储加密、IPSec和SSL数据传输加密、Windows AD及Unix NIS集成的ACL控制和AAA(认证、授权和计账)特性、加密数据的快速安全销毁、数据生命周期内的密钥集中管理、基于专用硬件芯片的安全加固的系统架构。
DataFort系列存储安全设备可以保护在生命周期内的数据安全,包括备份、容灾的数据也都会置于整个安全体系内。DataFort可以透明地部署在已有的网络存储环境中,并且支持NAS、FC SAN、iSCSI、FC磁带备份、SCSI直联磁带备份、MainFrame磁带备份等多种企业数据存储结构。DataFort通过硬件的加密芯片,实现了在FC和千兆以太网环境下的线速加密和解决密,在保证网络安全的同时也保证了整个存储的性能不受影响。
小知识之赛门铁克概念:
赛门铁克是信息安全领域全球领先的解决方案提供商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案,可以帮助个人和企业确保信息的安全性、可用性和完整性。
