NetApp Tech OnTap NetApp Logo
NetApp Tech OnTap
     
非请勿视
Blair Semple
Blair Semple
SafeNet 公司业务发展总监兼 CISSP-ISSEP

利用 SafeNet 和 NetApp 增强数据安全性

无论您知道与否,数据超出控制的现象都比以往有过之而无不及。监管机构、云服务提供商和大量盗窃分子都出于经济利益或国家安全等种种原因对您的敏感信息“虎视眈眈”。而且,考虑到庞大的数据量以及虚拟存储和云存储的兴起,他们获取这些信息犹如探囊取物。

隐私和安全面临的威胁

无论是出于国家安全还是经济利益的缘故,从国防机构到网络罪犯,形形色色的人都对您的信息觊觎已久。网络犯罪的圈子已经从炫耀个人英雄主义的“脚本小子”个人发展成为通过贩卖敏感数据获利数百万美元的组织。此外,一些技术趋势在维持和发展我们的合法业务的同时,也有助于这些“敌人”更加轻松地访问我们的数据。

首先是庞大的数据量。全球数据呈爆炸式增长,而且可以归入“敏感”类别的数据所占的百分比也在逐年递增。敏感数据包括政府 ID 编号、病历、信用卡和付款数据、知识产权以及一旦被未经授权的个人或组织利用就会造成危害的任何其他信息。

其次是虚拟化、云计算和存储即服务的兴起。虚拟化不仅加大了跟踪架构中各个级别的数据的难度,而且致使数据更易于复制和移动。由于公司的多个业务单位或项目团队共享架构中的各层,或是由于公司将数据中心扩展到公共云中,因此云计算导致管理和控制变得空前复杂。

您可能和其他公司一样,采用“按使用情况付费”的方式提供存储即服务(如异地备份和恢复或云服务),从而利用这一需求带来的机会。公共云和存储提供商面临的最大问题包括数据所有权和责任。保障数据安全的责任人是客户还是提供商?如果政府要查看数据,客户或提供商是否对转交内容有最终决定权?甚至,是否需要通知客户?

利用加密保护数据

应对这些安全和隐私威胁的最简单方案就是数据加密。当然,满腹怨气的员工或云管理员可能会使用 U 盘将数据带回家,网络罪犯可能会窃取数据,而政府机构也可能会监听,但是他们看到的只是杂乱无章的数据,而不是有用的信息。如果不使用加密密钥(加密密钥单独存储在高可信度硬件设备中)进行解密,数据就毫无意义可言。

对数据存储库进行加密之后,公司可以将其交给服务提供商,因为即使创建了 10 个副本,每一个副本也仍然处于加密状态。无论数据存储库位于何处或是创建了多少个副本,原所有者仍可以通过控制加密密钥来保持对数据的控制。即使政府机构现场审查云服务提供商或者执法机构查看您的数据,他们也必须经过您的允许,才能获得加密密钥。您可能无法阻止监管机构查看您的信息,但是一定知道自己的数据在哪里以及谁在进行查看。

这是一项云和存储服务提供商与其客户同享的权益。事实上,许多服务提供商都将加密存储归入高端产品系列。如果您是服务提供商,加密存储不仅可以令您从竞争中脱颖而出,还会减轻您在客户数据方面承担的责任。如果客户控制加密密钥,那么即使数据存储在您的环境中,客户仍具有数据控制权。这有助于缓解在云中进行备份和灾难恢复或者跨国家或地区存储数据所带来的安全问题,并且让公司完全放心地将所有敏感数据(而不仅仅是公司内部无法存储的数据)交由您保管。

了解 NetApp 加密选项

NetApp 提供了多种加密选项,可满足特定需求。NetApp 的优势(以及 SafeNet 员工如此喜欢与 NetApp 合作的原因之一)在于,他们并不试图构建万能通用的解决方案。NetApp 根据客户要求开发不同选项,然后与客户一道探明哪个选项适合其特定需求和环境。无论您有什么加密要求,NetApp 都能为您提供一种确保安全性的方法。加密选项包括:

SafeNet StorageSecure

SafeNet StorageSecure 加密设备可保护以太网 NAS 部署(NFS 和 CIFS)中的敏感数据。NetApp 和 SafeNet 联手提供采用高速 256 位 AES 加密的高级加密服务,同时借助特有的冗余组件和集群故障转移功能,实现高可靠性。

图 1) SafeNet StorageSecure 和 KeySecure 为 NFS 和 CIFS 环境提供加密。

SafeNet StorageSecure 和 KeySecure 为 NFS 和 CIFS 环境提供加密。

目前提供两款设备:

  • SafeNet StorageSecure s220(GbE 网络接口)
  • SafeNet StorageSecure s280(10GbE 网络接口)

这些设备可以做到:

  • 确保对共享和虚拟环境中的受保护数据进行数据隔离和细粒度访问控制
  • 利用额外的访问控制层加强现有 LDAP、Microsoft® Active Directory® 和 NIS 控制
  • 保护数据,满足合规性要求
  • 保护归档中的脱机数据,防止未经授权的访问或窃取
  • 与 SafeNet KeySecure 集成,实现集中化策略和密钥管理

NetApp 存储加密

NSE 是 NetApp 采用一流驱动器供应商的自加密驱动器 (Self-Encrypting Drive, SED) 实施的全盘加密 (Full-Disk Encryption, FDE)。因为数据是由 Data ONTAP® 写入之后或读取之前在驱动器上进行加密和解密,所以 NSE 可与重复数据删除和数据压缩等 Data ONTAP 功能无缝协作。驱动器上的所有数据将自动加密,因此使用 NSE 可以轻松保护空闲数据,同时实现 NetApp 存储 ROI 最大化。

物理驱动器本身可以防篡改,并且 NSE 可以阻止未经授权访问加密的空闲数据。它可以防止人为移除一个驱动器或一整架驱动器,还可以防止在其他位置进行装载和访问。此外,它可以在驱动器从故障中恢复后防止未经授权的访问,并简化驱动器处置。

NetApp 销售的所有 FDE 驱动器均符合可信计算组 (Trusted Computing Group, TCG) AES-256 加密标准,并且 FDE 驱动器制造商按照联邦信息处理标准 (Federal Information Processing Standards, FIPS) 140-2 级别 2(公共部门的标准要求)对其进行了验证。这篇最近发表的 Tech OnTap® 文章 介绍了 NetApp 的所有驱动器技术,您可以从中了解有关 NSE 的更多信息。

密钥管理

当然,加密数据时,您还必须安全地存储和管理加密密钥。NetApp 不同于其他存储提供商的一点是,它提供了一个集中密钥管理解决方案 SafeNet KeySecure,帮助您轻松地购买、集成和管理加密存储。KeySecure 可以存储和管理 NetApp 整个加密产品组合的加密密钥,包括 NSE 和 SafeNet StorageSecure。

图 2) SafeNet KeySecure 可以满足广泛的加密密钥安全需求。

SafeNet KeySecure 可以满足广泛的加密密钥安全需求。

KeySecure 基于标准 KMIP 协议构建而成,并且还可以管理您数据中心内 NetApp 产品组合之外的产品的加密密钥。例如,如果您在 NetApp 数据中心内运行 VM,SafeNet ProtectV 不仅支持对 VM 进行加密,而且您还可以使用同一个 KeySecure 设备来管理这些密钥。

结论

如今,“敌人”的技能和积极性都超乎以往,而且需要管理的数据又如此之多,所以公司不得不转而采用虚拟化、云计算和存储即服务。无论数据存储在何处,创建了多少个副本,到底是谁企图窃取数据,通过加密存储环境中的数据,您都可以对可以查看数据的人员进行控制。

为了更好地满足您的安全需求,SafeNet 和 NetApp 联手 打造了多款安全解决方案:

NetApp FAS 系统提供了一系列阵容不断扩大的自加密驱动器 (SED),这些驱动器使用 NetApp 存储加密 (NSE) 和 SafeNet KeySecure 设备对空闲数据进行加密。

 对加密有任何见解?

请在 NetApp 社区中在线提出问题、交流观点、分享看法。

SafeNet 业务发展总监兼 CISSP-ISSEP Blair Semple

Blair 关注信息安全性,更确切地说是存储安全性。他拥有超过 12 年的存储安全性工作经验,现在负责有关存储安全性市场态势、新兴存储安全性标准等的全球对外宣传。此外,Blair 还亲自与 SafeNet 和 NetApp 客户一道,共同界定存储安全性的要求、难题和优势以及 NetApp 解决方案为该环境带来的价值。在加入 SafeNet 之前,Blair 在 NetApp 担任过六年的存储安全性推广专员。

Tech OnTap
立即订阅
Tech OnTap 每月发布一次,为用户提供 IT 见解,以及对实际应用的最佳实践、技巧和工具、幕后技术访谈、演示、同行评论等的独家访问。

访问 NetApp 社区中的 Tech OnTap ,立即订阅。

Explore
Explore

详细了解 SafeNet 安全解决方案

要了解有关 SafeNet 数据加密密钥管理 解决方案的更多信息,请免费下载白皮书:

Explore
TRUSTe
联系我们    |   如何购买   |   反馈    |   招聘   |   订阅   |   隐私政策   |   © 2014 NetApp