网络存储的关键安全保障－加密

三、典型部署网络环境

    图1 是一个加密存储的简单网络环境 网管bitscn_com

图1加密存储的简单网络环境 网管u家u.bitscn@com

    在图1中，应用环境中的所有数据经过光纤交换机与客户端的加密（使用Ipsec），在图中所有由以太网交换机过FC传输到NAS存储设备的数据都经过加密（使用硬件加密）。 网管联盟bitsCN@com

四、当前储存加密产品概览

    目前供企业使用的储存加密产品有主机型、网络型加密产品以及加密型储存媒体三大类，主机型加密产品一般都是软件产品，而网络型与加密型储存媒体则多为 硬件设备。目前主要的硬件加密厂商有刚被NetApp收购的Decru，以及Neoscale与MaXXan等，至于曾被美国国安局列为指定供货商的Kasten Chase则已在今年年中停止营业，因此其著名的Assurancy SecureData加密器也将随之逐渐退出市场。

    1. Decru DataFort

    设备是企业级的存储加密系统，这种基于硬件的系统旨在获得高可用性和可扩展性，性能。DataFort 硬件提供 AES–256 加密、集成密钥管理以及策略执行，对性能的影响几乎可忽略不计。 可扩展性。初始部署后易于扩展，能够用一个管理界面管理企业数百个设备。简单性。DataFort 是一种成套设备，对于应用程序/操作系统是透明的。

    DataFort是一种网关式应用服务器型产品，典型的部署方式是采后端加密方式运作，将DataFort直接接上IP 交换器或光纤信道交换器，透过交换器将前端送来的数据指向DataFort，经DataFort加密后才会送到储存装置。在比较大型的SAN中也可采取前端加密部署，将前端的服务器分组分别接上DataFort，然后再将数据经交换器送到储存装置上。 DataFort提供的加密机制为AES256与SHA-1与SHA-256，产品有支持IP网络环境的E系列、支持光纤SAN环境的FC系列，以及专门针对SCSI磁带机的S系列。另外还有称做Lifetime Key Management的密钥管理应用服务器，可为网络中的多部DataFort提供自动化的密钥管理。 图1 的典型部署网络环境使用的基于硬件的加密设备使用的就是 DataFort F 系列：SAN/磁带的 2Gbit 光纤通道。 如图2 。 网管u家u.bitsCN.com

网管u家u.bitsCN.com

网管网www_bitscn_com

图2 Decru DataFort C-Series 网管网www_bitscn_com

    Decru的DataFort有E、FC与S三个系列，可分别支持IP网络、光纤信道与SCSI总线。

    2. Neoscale

    Neoscale的加密器在功能与定位上均与Decru的DataFort相近，产品主要有支持FC储存网络的CryptoStor FC系列，以及针对FC或SCSI信道磁带加密的CryptoStor Tape，均能提供3DES、AES与SHA-1、SHA-256等加密机制，可采前端或后端部署。另外也有一款称为CryptoStor KeyVault的密钥管理应用服务器。如图3 。
中国网管联盟bitsCN.com

图3 CryptoStor KeyVault的密钥管理应用服务器 网管u家u.bitsCN.com

    随着用户受到的遵从压力越来越大，NeoScale的2U机架高度的CryptoStor FC 712设备是以更高速度锁住更多数据的一条途径。你现在可以在一台设备后面支持更多的磁带驱动器，并支持本地的4Gb/s服务器速度。NeoScale现有的2Gb/s加密设备FC 702支持两台LTO-3磁带驱动器或5台LTO-2驱动器。FC 712根据压缩率的不同，可以连接多达两倍数量的驱动器。

    由于内建加密功能的储存设备才刚陆续推出，因此目前企业应用的加密产品以主机或网络型产品为主流。而加密硬件虽较昂贵，但因效能及可与储存网络整合的优势，应用上和软件产相比应用更加广泛一些。 中国网管论坛bbs.bitsCN.com