玉山科技 AsiaPeak  
 


  中文首頁
  最新消息

  解決方案

  產品

  硬體加密模組(HSM)

>網路型 HSM

>單機型(PCIe卡) HSM

>USB介面 HSM

>Payment HSM

>KMIP金鑰管理

  PGP加密

>PGP加密原理

>電子郵件加密

>網路磁碟機加密

>硬碟加密

>企業郵件加密環境建置

>企業資料加密整合

  OpenPGP加密

>PGP加密伺服器

>PGP加密指令集與API

>PGP for Java API

   電子時戳

  儲存/資料庫/網路加密

>Storage/Tape加密器

>Data at Rest 加密

>網路加密器

>MS SQL 資料庫加密
   檔案傳輸管理(MFT)

>檔案加密傳輸服務

>檔案傳輸管理員

>檔案傳輸代理服務

  資源

  連絡我們

 English Version

網路儲存加密

(原文刊載於網管人雜誌 No.98, 2014-3月, 余采霏, http://www.netadmin.com.tw/article_content.aspx?sn=1403030003&jump=2)


在儲存安全中,硬碟的機密資料防護經常受到討論。這不僅僅是因為硬碟是企業內部最為普遍見到的儲存媒體,同時也是因為硬碟的安全罩門實在太多,遺失、遭竊、回廠維修、報廢丟棄而造成資料外洩的案例頻傳,硬碟防護因而甚為重要。

Bloombase Spitfire StoreSafe為例,其加密的運作原理,就是在前端伺服器將資料送到後端的儲存設備時,讓資料先經過Bloombase Spitfire StoreSafe加密後再傳送到儲存設備內的硬碟存放。

Bloombase代理商玉山科技產品經理張森泰指出,傳統還沒有導入任何加密機制之前,應用程式或資料庫系統透過網路存取後端儲存設備上的資料,例如儲存區域網路(Storage Area Network,SAN)時,儲存設備上的資料均以明碼傳送與儲存。然而,這種讓使用者以及應用系統生成的機密資料以明碼保存的作法,讓管理者或操作人員很容易就能直接接觸核心的儲存系統,也提升了企業資料遺失以及非法侵入所帶來的風險。

導入Bloombase Spitfire StoreSafe之後,應用程式或資料庫系統仍維持以明碼傳送資料,但進入Bloombase Spitfire StoreSafe之後立即被加密,而後再送至儲存設備內存放。要讀取時,儲存設備送出資料後需經Bloombase Spitfire StoreSafe解密,然後再傳回應用程式或資料庫系統內。

簡單地說,Bloombase Spitfire StoreSafe可以視為加密的資料傳遞中間人,作為企業應用伺服器和儲存網路系統的聯結點,這套解決方案會將企業應用伺服器生成的明文資訊加密成看似垃圾的亂碼資訊,然後才發送到儲存網路系統中。


玉山科技產品經理張森泰指出,明碼保存的作法,讓管理者或操作人員很容易就能直接接觸核心的儲存系統,卻也提升了企業資料遺失以及非法侵入所帶來的風險。
張森泰也提到,如果企業同時有多台應用系統需要加密,那麼做法上就可以採用Look-Aside的佈置方式,資料傳到Switch之後會先送到Bloombase Spitfire StoreSafe加密後,再回到Switch送至後端的儲存設備中,如此一來,便可一台對多台Host及Storage提供透通性的加解密服務。

Bloombase Spitfire StoreSafe也通過NIST FIPS 140-2 安全模組資質認證以及IEEEls -al 1619儲存安全標準資質認證,同時可提供RSA、AES、 Camellia、3DES、CAST5以及RC2 等加密演算法。

金鑰更須妥善保存

資料外洩案例層出不窮,資料加密的重要性自然不可言喻。導入硬碟加密機制的目的是為了避免遭受攻擊或因人為疏失而導致的風險,然而企業固然需要尋求一個好的保護機制,但也別忘了,一旦導入加密保護機制,就需要產生加密金鑰。如何對加密金鑰妥善保護,甚至提供備援與加密機制,也就同等重要。否則一旦這些加密金鑰被取得,就算使用了超高技術的加密方案,也等於敞開大門毫無保護可言。

也因此,張森泰強調,加密機制最重要的就是金鑰保護,就如同把提款卡放在保險櫃中,但是任何一個人都知道如何打開保險櫃一樣,如果金鑰只是用密碼保護起來,存成一個檔案擺在伺服器中,其實是不安全的。「任何解決方案都有其缺點,例如Bloombase Spitfire StoreSafe是以Linux為作業系統,再加上許多使用者在一開始使用時並不會特別再重新設定密碼,因此,有心人士只要取得Bloombase Spitfire StoreSafe的使用手冊,就有管道進入管理介面。針對這項可能的風險,Bloombase特別與Thales e-Security合作,搭配Hardware Security Modules (HSMs)後,加密金鑰便會被保護在一個非常安全的硬體晶片環境裡,藉以強化金鑰的安全性。」

Bloombase


相關資料

 

Google

玉山科技 版權所有 © Copyright AsiaPeak 2006, All Rights Reserved