NetApp Tech OnTap NetApp Logo
NetApp Tech OnTap
     
最高機密萬無一失
Blair Semple
SafeNet 商業開發部門總監(CISSP-ISSEP 認證資格)

運用 SafeNet 與 NetApp 來強化資料安全性

無論您是否已經察覺,您的資料正以前所未見的高速脫離您的掌控。導致如此的原因包羅萬象,包括財務利益、國家安全、「老大哥」(Big Brother) 監控、三姑六婆雲端 (Aunt Cloud) 混雜攀附,乃至於許多手腳不乾淨的遠親等,無不想方設法偷窺您的機密資訊。由於資料量相當驚人,加上虛擬化技術與雲端儲存設備的興起,使得他們很輕易地就能得手。

隱私與安全威脅

不管是基於國家安全還是財務利益,從國防機構到網路罪犯,每個人都想要分一杯羹。網路犯罪結構已從單純希望獲得注意的「惡意指令碼小屁孩」,發展到靠著販賣機密資訊獲利數百萬美元的犯罪組織。此外,為了維繫及推動合法業務所興起的數波技術潮流,對於這些亟欲偷取我們資料的不肖份子而言,恰恰提供一個大好機會。

第一個問題是驚人的資料量。全球的資料量正以飛快的速度成長,而被視為「機密」的資料百分比也每年持續增加當中。這些機密資料包括政府核發的身分證號碼、醫療記錄、信用卡與付款資料、智慧財產,乃至於一旦遭到有心人士或組織窺見就可能會造成重大危害的各種資料。

再者是虛擬化技術、雲端運算與儲存即服務的興起。虛擬化技術讓管理員更難追蹤所有堆疊階層的資料,使得資料更容易被複製與移動。雲端運算技術讓企業組織的不同業務單位或專案團隊得以共用同一技術堆疊裡的不同階層,或是將其資料中心延伸應用到公有雲端上,而使管理與控制更形複雜。

甚至貴公司還以「使用者付費」的模式提供儲存即服務,來充分滿足上述需求,例如離站備份與復原,或是雲端服務等等。公有雲端及儲存供應商共同面對的大問題之一,就是資料擁有權與回應能力。資料的保全與保護責任到底應該落在客戶還是供應商身上?如果政府想要檢視資料,客戶或供應商是否有權利決定要交付哪些內容?更甚者,客戶是否需要被告知?

運用加密技術來保護資料安全

面對這些林林總總的安全性與隱私權威脅,最簡單的解決之道就是資料加密。不難想見,任何一位心生抱怨的員工或是雲端管理員,可能會利用隨身碟將資料帶回家中,網路罪犯可能會加以竊取,而政府機關也可能監看資料流量,但是無論他們用什麼方法拿到資料,他們只能看到一堆亂碼,什麼用處也沒有。如果缺少用來解密的加密金鑰(另外存放在高安全性的硬體應用裝置中),那麼這些資料將無任何意義。

在資料儲存庫加密完成後,企業組織就能將其交付給服務供應商,這時即便對方複製了 10 個副本,每一個副本仍將繼續維持加密狀態。無論這些加密資料流向何處或是製作多少副本,原始的擁有者都可藉由控制加密金鑰來確保這些資料安全不外洩。因此,即便政府或是執法機關向雲端供應商索取您的資料,他們仍必須找到您並獲得您的加密金鑰,才能成功解密。但是儘管如此,還是無法防止「老大哥」在幕後讀取您的資訊,只是您將能夠掌握資料的流向以及檢視這些資料的人員名單。

對於雲端與儲存服務供應商來說,所獲得的好處與終端客戶不相上下。事實上,許多服務供應商正將加密儲存設備納入高階產品線中一併提供給客戶。如果您是一家服務供應商,這麼做不僅可讓您顯出與競爭對手的差別,更能在客戶資料遭竊時免除相關責任。如果您的客戶保有加密金鑰的掌控權,那麼他們就能控制資料,即使這些資料存放在您的環境中也是一樣。此舉有助於減輕透過雲端進行備份與災難恢復,或是將資料存放在各地所衍生出的種種安全疑慮,讓企業組織更有信心地將其機密資料 100% 託付給您保管,而非僅止於他們無力容納的多餘資料。

瞭解 NetApp 加密選項

NetApp 提供您各式各樣的加密選項來滿足特定需求。NetApp 的強項(以及我們 SafeNet 員工之所以特別喜歡與 NetApp 合作的原因之一),就是他們不會試著建構一套一體適用型的解決方案。這表示,NetApp 會依據客戶需求打造出不同的選項,然後與您合作,針對您的特殊需求與環境判斷出最適合哪個選項。無論您的加密需求為何,NetApp 都有辦法讓您滿足安全性需求。加密選項包括:

SafeNet StorageSecure

SafeNet StorageSecure 加密應用裝置可保護乙太網路架構 NAS 部署環境 (NFS 與 CIFS) 的機密資料安全。NetApp 與 SafeNet 以高速 256 位元 AES 加密技術為基礎,共同推出先進的加密服務,提供您備援式元件與叢集式容錯移轉技術以確保高可靠性。

SafeNet StorageSecure 與 KeySecure 共同提供適用於 NFS 與 CIFS 環境的加密機制。

圖 1) SafeNet StorageSecure 與 KeySecure 共同提供適用於 NFS 與 CIFS 環境的加密機制。

目前提供的 2 款應用裝置如下:

  • SafeNet StorageSecure s220(GbE 網路介面)
  • SafeNet StorageSecure s280(10GbE 網路介面)

這些應用裝置能夠:

  • 確保共享和虛擬化環境中的受保護資料獲得妥善資料隔離和精細存取控制。
  • 運用額外的存取控制層級來強化現有的 LDAP、Microsoft® Active Directory® 與 NIS 控制。
  • 保護資料以遵循規範。
  • 利用歸檔技術保護離線資料,以防止未獲授權存取或竊取行為。
  • 與 SafeNet KeySecure 整合,提供集中控制原則與金鑰管理。

NetApp 儲存加密

NSE 是 NetApp 的完整磁碟加密 (FDE) 技術,採用頂尖磁碟廠商所提供的自我加密磁碟 (SED)。由於加密/解密程序是在磁碟上進行,而且是等到 Data ONTAP® 寫入資料或在資料被讀取之前進行,因此 NSE 可 完美搭配重複資料刪除與壓縮技術等 Data ONTAP 功能一起運作。磁碟上的所有資料都會自動加密,因此能使用 NSE 輕而易舉地保護靜置資料,同時大幅提升 NetApp 儲存設備 ROI。

實體磁碟本身可防竄改,NSE 則可防止未獲授權的人員存取加密的靜置資料。它能防止有心人士取下磁碟或磁碟櫃,然後掛載到別處來存取。此外,當磁碟故障時,其可防止磁碟在被退回後遭到未獲授權存取,因而簡化磁碟的棄置作業。

NetApp 銷售的所有 FDE 磁碟均嚴守 Trusted Computing Group (TCG) AES-256 加密標準,並通過製造商所進行的美國聯邦政府資訊處理標準 (FIPS) 140-2 等級 2 驗證,符合公家機關的標準要求。如需深入 瞭解 NSE,請參閱近期的 Tech OnTap® 文章,該文將深入探討所有的 NetApp 磁碟技術。

重要管理功能

當您加密資料時,很自然必須安全地存放與管理加密金鑰。NetApp 與其他儲存供應商與眾不同之處在於,它提供集中式金鑰管理解決方案,亦即 SafeNet KeySecure,方便您輕鬆地購買、整合與管理加密儲存設備。KeySecure 可存放及管理 NetApp 整個加密產品組合的加密金鑰,包括 NSE 與 SafeNet StorageSecure。

SafeNet KeySecure 的金鑰安全性機制可滿足各式各樣的加密需求。

圖 2) SafeNet KeySecure 的金鑰安全性機制可滿足各式各樣的加密需求。

KeySecure 採用標準的 KMIP 傳輸協定基礎,可同時管理您資料中心內非 NetApp 產品組合的其他產品加密金鑰。例如,如果您在 NetApp 資料中心執行 VM,就可經由 SafeNet ProtectV 進行 VM 加密,而且可用相同的 KeySecure 應用裝置來管理這些金鑰。

結論

今日的不肖份子不但手段更為高超,其竊取動機也比以往強烈,由於需要管理的資料量如此龐大,企業組織勢必需要尋求虛擬化技術、雲端環境及儲存即服務的奧援。無論資料存放在哪裡、副本數量有多少,或者是否有人試圖竊取,在儲存環境中對資料加密將可讓您持續控制資料的檢視權限。

SafeNet 與 NetApp 聯手合作,協助您更有效地因應安全需求。在雙方合作之下,我們提供數種安全性解決方案:

NetApp FAS 系統提供一系列自我加密磁碟 (SED),這些磁碟使用 NetApp 儲存加密 (NSE) 技術與 SafeNet KeySecure 應用裝置,能充分滿足靜置資料的加密需求。

 對加密技術有任何意見嗎?

您可以透過網路,在 NetApp 社群上提出問題、交換意見,並分享您的想法。

Blair Semple 業務開發部門總監(CISSP-ISSEP 認證資格) SafeNet

Blair 專攻資訊安全,特別是儲存設備的安全性。他擁有超過 12 年的儲存安全經驗,負責針對儲存安全市場狀態、新興的儲存安全標準等議題,與全球各地進行廣泛的對外溝通聯絡。此外,Blair 還與 SafeNet 及 NetApp 客戶直接合作,共同找出關於儲存安全的需求、挑戰與優勢,以及 NetApp 解決方案帶給該環境的價值。在加入 SafeNet 之前,Blair 在 NetApp 任職六年,向眾人宣導儲存安全性。

Tech OnTap
立即訂閱
Tech OnTap 每月提供 IT 見解,並有大量可助您瞭解真實世界的最佳實務做法、工作祕訣與工具、幕後工程訪談、示範、同儕評論,及更多其他相關資訊。

請到 NetApp 社群中瀏覽 Tech OnTap,立即訂閱這份實用資訊。

Explore
瀏覽
深入瞭解 SafeNet 安全性解決方案

如需深入瞭解 SafeNet 的資料加密金鑰管理解決方案,請下載以下免費提供的白皮書:

 為何要加密?第 2 層掌控(英文)
 保障虛擬化資料中心與雲端環境的資料安全(英文)

Explore
TRUSTe
與我們連絡   |  如何購買   |   意見反應   |  工作機會  |   訂閱   |  隱私權政策   |   © 2014 NetApp