磁盘加密功能介绍与测试

　　由于信息保护法规的存在，包括美国的Sarbanes Oxley法案和日本的Financial Instruments and Exchange Law法令，企业对信息安全更为关注。这些法规要求，只有授权用户才能访问存储数据，而对敏感信息的非授权或意外访问将被阻止。ETERNUS磁盘存储系统提供磁盘数据加密，以满足这一需求。

　　ETERNUS存储系统使用行业标准的128比特 AES加密或专用富士通算法自动对数据进行加密。这样即使是物理驱动器从ETERNUS系统中被移除，数据的安全仍然可以得到保证。静态数据的加密在逻辑卷层面上执行，对用户完全透明，没有任何的访问控制或密钥管理，在每个单独的ETERNUS系统中，密钥都与RAID控制器进行捆绑。

图13. 富士通ETERNUS驱动器加密

　　ESG实验室测试了ETERNUS4000系统中的静态磁盘数据加密。他们使用ETERNUS Manager的控制台，在RAID管理菜单中选择‘Convert Encryption Volume’ 。这就打开了逻辑卷的列表，所有未加密卷的旁边都有一个复选框。 ETERNUS Manager可以选择单个卷或一组卷，如图14所示。

图 14. 转换加密卷

　　选择卷0x0030(包含一组复制的文件，测试服务器可见)之后，ESG实验室启动加密流程，ETERNUSManager可以直接显示加密状态。加密完成后，ESG实验室确认该驱动器上的文件在测试服务器上仍可见。然后，富士通从ETERNUS4000系统上移除了RAID组中所有包含卷0x0030的驱动器，并将它们安装在另一个ETERNUS4000系统之上。

图15. 将驱动器移至另一个阵列

　　如图15所示，第二个ETERNUS4000系统无法读取任何加密卷，驱动器上的每个加密卷都显示错误。ETERNUS4000和ETERNUS8000所实施的加密是相同的，因此，对ETERNUS4000系统的测试所得出的用户体验和结果将与ETERNUS8000系统所得出的完全一致。

　　引起广泛关注的数据泄漏、隐私法案以及董事会的担忧，为数据加密的进一步发展起着有力的推动作用。ESG研究表明，IT资产的丢失或被盗是企业担忧机密数据薄弱环节的主要原因。这些企业中有相当一部分都认为加密技术应整合到磁盘和控制器硬件中。 如果私人或财务数据受到侵害，该公司将可能承担损害赔偿责任和巨额罚款。

　　单是个人信用卡资料的丢失或被盗的相关费用就令人吃惊：举个例子，在公开披露的许多有关磁带丢失的事件中，有一个事件涉及390万个客户的个人资料。通知每个客户和进行信用服务的费用估计在30至150美元之间，单就这一个事件的总成本就高达10至60亿美元。

　　这些事实表明风险确实存在，成本也非常高。磁盘数据加密降低了风险，规避了潜在的高昂成本，并使得企业的高管们不会因此受到牵连。ESG实验室证实，富士通ETERNUS平台整合了AES加密技术，可确保静态数据的安全，并在磁盘驱动器从系统中移除后仍可阻止未经授权的数据访问。（上篇完）

　　注：本文分为上下两篇，上篇包括富士通存储系统产品线的介绍、ETERNUS8000性能及扩展性测试结果，以及其节能省电Eco模式介绍与测试以及磁盘加密功能测试，下篇将包括ETERNUS8000 RAID组及卷设置详细步骤、虚拟机环境下的应用性能以及高可用容灾方案的介绍和测试。