磁带备份加密的最佳实践

日期: 2013-04-08 作者:Jeff Boles翻译:张瀚文 来源:TechTarget中国 英文

您的企业是否已经在使用磁带数据加密技术?在过去的几年中磁带已死的说法不攻自破,在许多企业,磁带仍作为备份和归档应用。不过由于其便携性,磁带所带来的安全风险正日益凸显。在今天的市场环境中,任何企业的数据如果丢失、被盗或无意泄露,都会给企业造成巨大灾难,而解决这方面的风险也成为IT部门的第一要务。通过本篇,你可以了解到不同的磁带备份加密方式,以及各种方式的优劣。

磁带备份加密方式 目前市场上磁带备份的加密方式主要有这三种: 主机端加密方案带内加密设备或交换机介质端加密方案(其中包含磁带驱动器加密)主机端加密或许是最为有用的方式,其中只需在一套系统或一定数量的系统上部署加密技术。除了主机端加密方式以……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

您的企业是否已经在使用磁带数据加密技术?在过去的几年中磁带已死的说法不攻自破,在许多企业,磁带仍作为备份和归档应用。不过由于其便携性,磁带所带来的安全风险正日益凸显。在今天的市场环境中,任何企业的数据如果丢失、被盗或无意泄露,都会给企业造成巨大灾难,而解决这方面的风险也成为IT部门的第一要务。通过本篇,你可以了解到不同的磁带备份加密方式,以及各种方式的优劣。

磁带备份加密方式

目前市场上磁带备份的加密方式主要有这三种:

  • 主机端加密方案
  • 带内加密设备或交换机
  • 介质端加密方案(其中包含磁带驱动器加密)

主机端加密或许是最为有用的方式,其中只需在一套系统或一定数量的系统上部署加密技术。除了主机端加密方式以外,没有其它方案可以加密从一台主机发出的所有数据。市场上有许多不同种类的主机端加密方式,并且可以通过应用技术(诸如数据库列项加密软件)、主机端脚本或具备加密功能的特定存储或网络适配卡进行部署。几乎每家主流的适配器厂商、提供多路径方案或其它带内互操作脚本的存储厂商、存储虚拟化供应商以及其他许多供应商都提供这类产品。

带内设备加密的工作原理也颇为类似,设备将通过这段链路的数据进行加密,由于其位于存储互联之间,这种设备可以被许多不同应用和主机所共享。主机和设备间的数据传输通常是非加密的。该方式是在多台主机和多种类型的存储,包括主存储、归档层、甚至磁带之间同时部署加密最为容易的方式。而且,带内设备加密方式可以对某一类存储层进行选择性的加密。这类方案的厂商和产品有Brocade的Encryption Switch、Cisco系统公司的MDS Storage Media Encryption和NetApp的DataFort。

介质端加密使用各种不同技术在特定的媒介格式中进行数据加密。这种技术可以集成在存储阵列之中,这样阵列中的每块驱动器都可以被加密。而更为典型的是磁带加密,备份介质服务器、磁带库、虚拟磁带库(VTL)或单独的磁带驱动器(LTO-4或LTO-5驱动器)会在数据写入到磁盘或磁带时进行加密。例如,IBM公司的DS8000系列阵列利用全加密驱动器提供驱动器级别的加密。Quantum公司的Scalar系列应用LTO-5驱动器的ATL磁带库以及其他各大磁带库生产商,都已可以提供加密技术。

备份磁带加密最佳实践

各种方式都有其风险,这使得选择备份磁带加密方式变得极其复杂。以下列出了磁带备份加密的最佳实践:

1、确保所有的磁带都被加密。企业应当寻求一种解决方案来确保所有的磁带都被加密,而且在管理多路径至磁带的过程中(诸如多归档和备份系统),避免激活加密链路或引起不必要的麻烦。

2、加密操作应尽可能靠近目标端。理想的产品能够在合适的体系架构层级中加密数据,而不影响容量优化和其它类型的数据管理解决方案。一般说来,所有的磁带都必须加密,不过假如加密操作太接近于数据源端,数据灵活性和高效性就无从谈起了。举例而言,如果不能在磁盘或跨越WAN进行数据重复删除或压缩,诸如重复文件在内的扫描就会变得异常困难。同样,接近主机端的加密要求可以通过完全不同于全面磁带加密的解决方案来满足。

3、基于每块介质进行加密。磁带媒介上的加密用于降低风险并降低处理每件事故的工作量。在每块介质损坏或丢失时都需要小心处理。这就表示每盘磁带,或者至少是每一组备份磁带或数据集合,都必须要有一把唯一的密钥进行加密。在这一前提下,密钥和介质都能被最好保存,丢失密钥和丢失一块单独的磁带所带来的损失相当,并且也无需太多的管理工作来管理磁带过期或磁带丢失时的密钥处理工作。

介质端加密的优势

介质端加密在特定市场上有着其独一无二的优势。主机端加密和设备加密不同于介质端加密,它们是应用于不同目的的磁带媒介加密。主机端的方式随着规模变大会带来巨大的管理开销,同时可能会消耗宝贵的主机资源。设备的方式可能产生加密系统无法识别磁带格式的情况,并且任何的密钥过期都需要对大量的介质进行重新加密,其过程相当痛苦。解决多层存储的设备加密方式可能将磁带加密变成各种技术的大杂烩并将备份过程变得复杂化。此外,设备方式同样会要求工程师仔细地逐一检查企业内部所有磁带的写数据通道。同样,随着规模增长,管理每一台主机的主机端加密也会变得难以操作。

由于上述原因使得介质端加密似乎是不错的选择。但是选择介质端加密也有一些关键点需要注意。备份介质服务器通常并不是加密的最好位置。介质服务器通常有着不小的性能压力,因此或许并没有足够的资源加密磁带。此外,磁带加密管理中也需要有一些其它组件,包括较为重要的密钥管理服务器,负责分配、保密和管理各磁带介质的密钥。对于市场上的许多备份产品,其内置的密钥管理或许并不是高度自动化的,也或者是无法支持上千磁带的扩展性。

虽然介质端加密通常是个普遍的方式,但是记住对于一些特定业务需求也有以外。加密通常以许可证的形式出现,并且要求额外的密钥管理系统。这种成本或许意味着带内加密设备在有些时候更具成本效益。此外,您的企业中或许是使用虚拟磁带库系统,具备内置加密,或集成第三方加密引擎,能够更简单地进行加密。

密钥管理系统的重要性

任何加密产品都需要密钥管理系统,这是加密方式中一项非常重要的元素,但却经常被忽视。今天的市场上各种密钥管理系统和不同厂商的密钥产品之间互不相同。密钥管理一般从磁带或设备供应商处获得。不过记住,目前介质端加密方式中的密钥管理系统较为独立,即便在企业中已经有其它加密方式。未来的标准,比如密钥管理互操作性协议(KMIP)标准或许有一天能够使得所有的企业级系统共享一个单独的密钥管理成为可能。作为磁带加密最佳实践的关键,企业应当在选择磁带系统投资时仔细评估磁带供应商的密钥管理系统。

最后,基础的磁带数据加密并不能解决所有企业的需求,或许需要利用一些额外的技术。当前市场上大量的选择意味着企业可以简便地构建起一种分层的模式,利用更多加密手段保护更关键的数据,并和磁带加密协同工作。只要有了正确的密钥管理,就能大幅缩小管理开销并降低企业的风险。

作者

Jeff Boles
Jeff Boles

Jeff Boles是Taneja Group的资深分析师。

相关推荐

  • 存储经理人2017年8月刊:分解技术大揭秘

    《存储经理人》2017年8月刊重点关注分解技术,分解的理念在于用大量计算机来创建出独立的资源池,然后根据需要分配适当的资源组合,从而为各个应用程序提供相应服务。另外,混合云存储将工作负载可选择的部署范围扩展到多个云,并实现令人信服的使用场景,例如异地备份、灾难恢复和云负载爆发。本期电子杂志还将讨论数据中心的硬盘和SSD共存问题。

  • 云计算的备份时代 磁带仍在

    对企业而言,他们收集的所有数据(包括归档数据)都会潜藏着价值,因此应当将其部署到随机存取介质,即磁盘或闪存,而非磁带当中。在数据、存储海啸到来之际,磁带在云计算环境中仍然扮演着重要角色。

  • 富士通发布PB级ETERNUS LT260磁带库

    富士通日前发布一款PB级ETERNUS LT磁带库产品,该产品同时拥有高性能和超大数据容量,可以兼顾短期备份和长期归档用途。

  • HDS:企业如何应对数据保护的挑战

    企业需要的是一种综合全面的数据保护方法,它需要考虑每天流经各系统的数据量和数据类型。HDS开发了一种三管齐下的数据保护方法。