儲存加密指的是當數據從前端服務器輸出，或在寫進儲存媒體之前通過系統為數據加密，以確保存放在儲存媒體上的數據只有經過授權才能讀取。

一、存儲加密問題的提出

長久以來，儲存系統的安全是企業信息系統中較容易受到忽略的環節，由于過去的儲存設備都是采用DAS架構，直接與前端的主機連接，外界要存取儲存設備的唯一通道是經由前端的主機，因此只要主機安全，則后端的儲存設備也是安全的。 然而許多大型企業的儲存架構，多半已改用儲存局域網絡（SAN）或網絡儲存系統（NAS），通過光纖信道（FC）或IP網絡的連接，整合整個企業的儲存資源，以提高運用效率。但由于含有許多交換器或網關器的儲存網絡可允許用戶從多個接入點存取儲存資源，因此儲存資源遭受攻擊或非授權存取的機率也就大為提高。

不過企業本地端的SAN或NAS畢竟是由企業自行掌控，因此問題相對較小，除非遭遇企業內鬼。但如果是將數據送到遠程供作異地備援時，所會遭遇的風險程度就會完全不同。 在不同數據中心的SAN之間，只要通過主機端、網關器端或儲存設備端的復制軟件，就能將數據以同步或異步的方式復制數據。然而由于數據離開數據中心后，所經過的線路設備所有權并不是企業所擁有，而多是固網業者提供給企業租用。即使這些線路是由企業所自行建置，但管理單位也與SAN的管理單位不同，因此在數據傳輸的同時，也會面臨在黑客從網絡上任一節點擷取數據，導致數據外泄的風險。

所以企業數據的保護可分為3個層級：第一層為網絡防護，這部分包括防火墻、防毒軟件、入侵偵測軟件或VPN等；第二層為身份認證，也就是對不同身份的人員分別建立不同存取權限，也可搭配辨識系統使用；第三層則是數據保護，即儲存加密，對寫入儲存媒體系統的數據進行加密編碼，就算數據遺失也無法被解讀出有意義的內容，從而減輕數據遺失造成的損失，所以說加密是數據安全的最后一道關卡。

二、儲存加密的分類

加密可以從信息系統的多個環節，分別以多種方式進行，以加密裝置可分為硬件加密或軟件加密，以執行加密的環節則可區分為主機層（Host-base）、網絡層（Network-base）與儲存層（Storage-base）。

1. 硬件加密與軟件加密

軟件加密的優點是使用方便，只要安裝軟件，開啟選項即能自動執行。但軟件加密的缺點是加密運算將會增加系統負擔，拖累效能。而且密鑰檔的保管也相當麻煩，如果密鑰存放在服務器上，則有可能遭到黑客的復制或盜取；如果將密鑰轉出并交由管理人員保管，則又有容易遺失的問題。另外一旦密鑰文件損毀，則還原資料就會遇到許多困難。這時候硬件加密裝置就成為另一種選擇。

硬件加密則是可通過獨立的加密硬件來進行加密運算，因此不會拖累系統效能。另外密鑰管理也是通過獨立硬件進行，不會受到前端服務器損毀的影響，而且還可結合IC卡提供更進階的保護機制。當然反過來說硬件加密裝置也有價格較高，以及需要額外布建裝置的麻煩。

表1 硬件加密與軟件加密對比

2. 主機、網絡與儲存媒體加密

主機層，即加密存儲的管理軟件安裝在主機上，如卷管理器，卷復制器。主機層加密的做法，是在前端欲加密的主機上安裝加密軟件，當數據從服務器輸出時就已是加密狀態。

網絡層是指數據在數據于儲存網絡上流通時加密，而儲存層則是由儲存媒體自身來加密。網絡層加密則是通過在儲存網絡中插入特殊加密硬件，或是在欲加密的服務器上安裝加密軟件。而儲存層加密則通過使用某些帶有身分認證與加密機制的硬盤或磁帶機就能達成。理論上，自身附帶加密機制的儲存設備在部署上較為方便，用戶無須再購買任何特殊軟硬件。但就管理來說，由于企業通常擁有數十臺甚至上百、上千臺儲存裝置，如果加密是依靠這許多的儲存裝置自身分別執行，顯然會給管理人員帶來許多困難。相較下主機層與網絡層加密就有統一管理的好處，可藉由整合的監控臺來統一控管，不過在主機層加密有損耗服務器運算效能的缺點，而網絡層雖不會耗損服務器資源，但會影響網絡帶寬。

三、典型部署網絡環境

在圖1中，應用環境中的所有數據經過光纖交換機與客戶端的加密（使用Ipsec），在圖中所有由以太網交換機過FC傳輸到NAS存儲設備的數據都經過加密（使用硬件加密）。

圖1 加密存儲的簡單網絡環境

四、當前儲存加密產品概覽

目前供企業使用的儲存加密產品有主機型、網絡型加密產品以及加密型儲存媒體三大類，主機型加密產品一般都是軟件產品，而網絡型與加密型儲存媒體則多為 硬件設備。目前主要的硬件加密廠商有剛被NetApp收購的Decru，以及Neoscale與MaXXan等，至于曾被美國國安局列為指定供貨商的Kasten Chase則已在今年年中停止營業，因此其著名的Assurancy SecureData加密器也將隨之逐漸退出市場。

1. Decru DataFort

設備是企業級的存儲加密系統，這種基于硬件的系統旨在獲得高可用性和可擴展性，性能。DataFort 硬件提供 AES–256 加密、集成密鑰管理以及策略執行，對性能的影響幾乎可忽略不計。 可擴展性。初始部署后易于擴展，能夠用一個管理界面管理企業數百個設備。簡單性。DataFort 是一種成套設備，對于應用程序/操作系統是透明的。

DataFort是一種網關式應用服務器型產品，典型的部署方式是采后端加密方式運作，將DataFort直接接上IP 交換器或光纖信道交換器，透過交換器將前端送來的數據指向DataFort，經DataFort加密后才會送到儲存裝置。在比較大型的SAN中也可采取前端加密部署，將前端的服務器分組分別接上DataFort，然后再將數據經交換器送到儲存裝置上。 DataFort提供的加密機制為AES256與SHA-1與SHA-256，產品有支持IP網絡環境的E系列、支持光纖SAN環境的FC系列，以及專門針對SCSI磁帶機的S系列。另外還有稱做Lifetime Key Management的密鑰管理應用服務器，可為網絡中的多部 DataFort提供自動化的密鑰管理。 圖1 的典型部署網絡環境使用的基于硬件的加密設備使用的就是 DataFort F 系列：SAN/磁帶的 2Gbit 光纖通道。

圖2 Decru DataFort C-Series

Decru的DataFort有E、FC與S三個系列，可分別支持IP網絡、光纖信道與SCSI總線。

2. Neoscale

Neoscale的加密器在功能與定位上均與Decru的DataFort相近，產品主要有支持FC儲存網絡的CryptoStor FC系列，以及針對FC或SCSI信道磁帶加密的CryptoStor Tape，均能提供3DES、AES與SHA-1、SHA-256等加密機制，可采前端或后端部署。另外也有一款稱為CryptoStor KeyVault的密鑰管理應用服務器。

隨著用戶受到的遵從壓力越來越大，NeoScale的2U機架高度的CryptoStor FC 712設備是以更高速度鎖住更多數據的一條途徑。你現在可以在一臺設備后面支持更多的磁帶驅動器，并支持本地的4Gb/s服務器速度。NeoScale現有的2Gb/s加密設備FC 702支持兩臺LTO-3磁帶驅動器或5臺LTO-2驅動器。FC 712根據壓縮率的不同，可以連接多達兩倍數量的驅動器。

由于內建加密功能的儲存設備才剛陸續推出，因此目前企業應用的加密產品以主機或網絡型產品為主流。而加密硬件雖較昂貴，但因效能及可與儲存網絡整合的優勢，應用上和軟件產相比應用更加廣泛一些。

責任編輯：gt