【IT168 应用】互联网技术的应用以及电子化办公的普及,企业已经逐渐认识到数据的重要性,由此而衍生出来的数据备份需求与技术。存储企业数据信息的媒介很多,下面我们将重点对基于磁带的加密方法做一个深入的探讨。目前市场上有三种主流的磁带备份加密方法:
- 基于主机的加密解决方案
- 带内加密设备/开关
- 媒体加密技术(包括磁带驱动器加密)
基于主机的加密技术是最有效的,但其加密时需要一个单独的系统或一组分离的系统。基于主机的加密方法不可能将主机上要输出的所有数据都进行加密。市场上基于主机的加密方法有很多,可以通过应用技术(如数据库列加密软件)、主机代理、专门存储或有加密功能的网络适配卡进行加密。供应商提供的每一个产品都有一个重要的适配器,存储供应商提供多通道的,其他代理人提供带内交互,存储供应商提供虚拟化等等。
带内设备加密采用非常类似的方式,通过电线传输的数据被加密,然后到达存储连接中,让许多不同的应用程序和主机共享。在主机和设备之间传输的数据通常是非加密的。这种装置通过一种简单的方法来实现对多台主机和多个类型的存储进行加密,包括主存储,归档层,甚至磁带。这些设备通常是有选择性地只适用于一些加密存储层。使用带内加密设备加密的厂商包括博科交换机,思科系统公司的MDS存储介质加密与NetApp的DataFort。
媒体加密技术采用多种技术来加密媒体特定格式的数据。这些技术可能会整合存储阵列,以使阵列中的每个驱动器都被加密。更典型的是磁带加密,一台媒体备份服务器、磁带库、虚拟磁带库(VTL)或单独的磁带驱动器(LTO - 4或LTO - 5驱动器),当它们往磁盘或磁带写入数据时就进行加密。例如,IBM的DS8000系列阵列,充分利用加密驱动器可提供驱动器级的加密方法。还有量子公司内置LTO - 5驱动器的标量系列ATL库,和其他供应商提供的库一样可以进行加密。
磁带备份加密技术的非常好的做法
每选择一种复杂的磁带备份方法都有许多对应的说明可供选择。磁带备份加密方法非常好的做法具体如下:
1. 保证所有的磁带都被加密。公司应该寻找一种解决方案保证所有的磁带都被加密,而非让其他多个路径能访问到磁带(如多个归档和备份系统)或给管理造成不必要的复杂性。
2. 接近目的地加密。完美的产品将对基础设施层的数据进行加密,以对数据有优化能力和管理能力,以充分发挥他们的作用。按照规则而言,所有磁带都应该被加密,但是如果从数据源就开始加密的话,数据的灵活性和效率都将大打折扣。例如,如果磁盘上的重复数据被删除或被压缩,又或者跨广域网的数据链丢失,诸如备份文件之类的数据扫描将会变得很困难。此外,除了全部磁盘加密之外,还可以考虑靠近主机的加密解决方案。
3. 基于媒体的加密磁带介质加密是为了减少风险和把突发事件应对的几率降到最小。过期的媒质或已经损坏的媒质需要及时正确地处理。 这就意味着每个磁带,在最坏的情况下,一组备份磁带或数据集需要一个密钥。那样,密钥和媒质都受到最好的保护,失去一个密钥顶多损失一个磁带,减少管理的非常好的做法就是坚持定期处置到期的密钥,以防止磁带失效。
以媒质为基础加密的技术优势
许多需求明确要求以媒质加密技术为首选方法。与媒质加密形成鲜明对比的是,基于主机和基于设备的加密方法都很难实现对磁带媒质加密的目的。基于主机的方法需要重要的管理开支,并且可能占用主机宝贵的资源。基于设备的加密方法可能会使系统读取不了磁带的格式,而密钥到期后的大规模成套更新更是让人痛不欲生。基于设备的解决方法是让多个存储层加密变成一个多元集合,但这种做法会让备份管理变得更加复杂。此为,基于设备的方法,可能还需要注意所有的数据通道,因为很多大型公司习惯于将数据写入磁带内部。另外,基于主机的加密,管理单个主机很容易,但却很难管理成规模的主机群。
因为这些原因,基于媒质的加密方法似乎是显而易见的选择。但是,当选择媒质加密技术后,你还需要注意一些事情。备份媒质服务器通常不是进行加密的非常好的场所。首先,流媒体服务器可能面临巨大的压力,正是因为这样,它们可能没有足够的资源对磁带进行有效的加密。另外,在磁带加密管理服务器中有个部件,包括特别重要的分配、保护和管理磁带介质关键设备——密钥管理服务器。对于市面上许多备份产品来说,集成的密钥管理的自动化程度不高,无法同时处理成千上万的磁带。
虽然流媒体加密技术只是一个普通的建议,但请记住,任何一个公司总有自己独特的需求。加密是一个典型的许可功能,需要额外的密钥管理系统。其成本可能意味着,在带内的加密设备有时更具有成本优势。此为,企业内集成了加密设备,或集成了第三方加密器的VTL系统为磁带加密提供了更为方便的路线。
密钥管理系统的重要性
密钥管理系统必需加密产品是任何加密法最重要的基础之一,但这往往被忽略。目前,密钥管理系统与不同厂商的加密产品间的互操作性不大。密钥管理系统主要由磁带系统或设备供应商提供。考虑到这一点,目前基于流媒体加密的密钥管理应该被视为是一个独立的系统,即使企业还有其他的加密方法。将来,如 Oasis密钥管理互操作协议(KMIP)之类的标准也许有一天会给企业系统提供一个单一的密钥管理系统。由于磁带加密的重要性和必然性,一种非常好的的做法是,企业应随时评估磁带厂商提供密钥管理系统时,他们考虑对磁带系统的投资状况。
最后,数据加密的基础取决于磁带,但这并不意味着每个企业的需求都需要解决,当然并不排除使用更多技术的可能。目前市场上广泛范围的选择意味着企业可以轻松的构建一个更加广泛的将更多关键性的数据进行加密的方法,同时将磁带备份进行正确的加密。有了正确的密钥管理,不但可以尽量减少管理开销,还大大降低企业商业风险。