目前已經(jīng)有多家廠商致力于存儲加密標準,希望讓存儲安全工具更容易和多種存儲架構(gòu)一同工作。這些廠商把大部分精力都投入在存儲安全之上,并推出了多款支持存儲加密功能的存儲系統(tǒng),包括EMC上周也開始通過多種安全手段來保護存儲于其磁盤陣列上的數(shù)據(jù)的安全性。除了廠商不遺余力的推廣數(shù)據(jù)安全的各項保護措施,還有一些標準組織也參與到這一領域。
盡管一些因為非法入侵和數(shù)據(jù)泄漏而造成損失的報道不斷出現(xiàn)在報紙的醒目位置,但最終用戶群體卻在很大程度上對存儲加密以及存儲加密的標準一無所知,或者根本就不感興趣。隱藏在背后的原因并不難看穿?!哆_芬奇密碼》中的主角羅伯特 蘭登因探索深奧的宗教符號學而出名,但若是讓他來破譯存儲安全標準的密電碼也是強人所難的一件事。這些枯燥的代碼實在太難以理解了。
所幸的是,用戶并不需要了解存儲加密復雜代碼的組成、編寫等等,用戶需要知道的是,目前存儲加密都有哪些組織在推進,有哪些廠商在支持,現(xiàn)在的進展如何。
龐大復雜的存儲加密家族
目前有四個獨立的機構(gòu)正致力于這方面的工作:
可信賴計算組織(TCG),率先開始對可信賴存儲的研究,可信賴計算組織的工作重點是為專用的存儲系統(tǒng)上的安全服務制定標準。
美國電氣及電子工程師學會(IEEE)的計算機學會是發(fā)起制定安全標準的組織。去年12月,一項被認可的標準出臺,這就是IEEE 1667—-臨時存儲設備與電腦主機連接鑒別標準協(xié)議。這一標準影響了成千上百萬的手機,iPod,掌上電腦,mp3播放器和許多其他臨時存儲設備。另外,IEEE還有一個關(guān)于加密和密鑰管理的P1619標準。
美國國家標準學會(ANSI)有自己的SCSI存儲接口技術(shù)委員會(T10)。T10在存儲數(shù)據(jù)安全方面的第一個成就是在2004年發(fā)布了基于對象存儲設備(OSD)的標準。正在開發(fā)過程中的是緊隨其后的OSD-2。T10的另一成就提出是SCSI流指令-3(SSC-3)標準的草案。這個標準增加了傳輸過程中在磁帶上加密數(shù)據(jù)的功能。
還有就是全球網(wǎng)絡存儲工業(yè)協(xié)會(SNIA),建立了存儲安全工業(yè)論壇(SSIF),已經(jīng)在存儲安全方面小有成就。
標準的推進與演化
盡管似乎這四個組織同時擁擠在一個狹小的領域,但目前看來并沒有什么小集團之間永無休止的斗爭,幾個組織相處得還算融洽。
這些不同的組織對基本安全組成中不同的部分做了標準化,例如加密算法和密鑰管理的生命周期的方面。舉例而言,可信賴計算組織有一個子小組負責滿足IEEE P1619存儲規(guī)格的存儲設備的密鑰管理。而且還有成員參加了全球網(wǎng)絡工業(yè)協(xié)會的存儲安全工業(yè)論壇。
IEEE的P1619則是現(xiàn)在存儲安全工作組開發(fā)的一系列標準中的一個。另外還有P1619.1,支持變長認證加密的存儲設備的標準;P1619.2,用于共享存儲介質(zhì)的大塊加密標準,還有一個即將完成的標準,暫時定名為P1619.3,對存儲數(shù)據(jù)進行加密保護的密鑰管理架構(gòu)的標準。關(guān)于這些標準的更多信息,可以在http://ieee-p1619.wetpaint.com/找到。P1619預計將緊隨P1619.1之后于今年7月份最終發(fā)布。硬盤廠商們基本上使用的是相對較弱的加密模式。P1619是公認的唯一可用于加密政府最高機密信息的標準。其他標準組織很希望使用P1619標準,而不是再制定一份相同的標準來執(zhí)行。
其他一些存儲安全工作組的標準,例如P1619.3的情況就沒有這么清晰了??尚刨囉嬎憬M織有一個名叫密鑰管理服務子小組(KMSS)和P1619.3標準涵蓋的范圍有部分重疊,即使這樣,兩個組織將緊密聯(lián)系和溝通,共同來縮小這些重疊的部分。
與此同時,美國國家標準學會的T10關(guān)注的SCSI接口標準,主要是針對磁帶設備的。美國國家標準學會的T10主要控制安全清除和只包括足夠安全架構(gòu)來支持加密密鑰記入支持本地加密的磁帶設備。該學會的部分職責是在國際標準組織中代表美國,因此,美國國家標準學會可以從美國的其他組織接收標準然后提交給國際標準組織。這樣一來,該組織和可信賴計算組織、IEEE 1667,IEEE 1669以及全球網(wǎng)絡存儲工業(yè)協(xié)會都有頻繁的聯(lián)系。
這些標準在存儲廠商中的推廣也較為樂觀,他們十有八九都認可了這些標準。例如NetApp的Becru部門,就參加了數(shù)個這種標準委員會,共同創(chuàng)建了P1619,捐助美國國家標準學會T10研究增強的密鑰安全和認證,還是可信賴計算組織的捐助者。你還會發(fā)現(xiàn)EMC,Quantum和其他存儲大鱷們除了全球網(wǎng)絡存儲工業(yè)協(xié)會安全組織以外,也參加了多個類似的委員會。
永不停休的博弈
魔高一尺,道高一丈。加密與反加密之間的博弈將永遠延續(xù)下去。目前所有這一切是否能保證存儲的數(shù)字堡壘無法被攻破?或許,最終我們將是勝利的一方。但用戶需要耐心等待這些標準走過從提出到通過的漫漫長路。
根據(jù)可靠消息,到今年年末,磁帶設備將開始支持P1619.1加密。期待IBM、HP、Sun Microsystems和Quantum能發(fā)布這類的產(chǎn)品。大概在同一時間,將會出現(xiàn)兼容P1619的硬盤。不過,P1619.2最早將在2008年中期才能對存儲市場造成影響,而P1619.3很可能在2009年初才會變成現(xiàn)實。
可信賴計算組織的標準說明應該在今年春天出臺。由于目前所有的硬盤、閃存和光纖硬盤廠商都致力于此,應該用不了一年時間,大部分的存儲廠商就會提供或發(fā)布相關(guān)的兼容產(chǎn)品。目前已經(jīng)有個別廠商發(fā)表了這方面的新聞稿。
T10的OSD-2將會何去何從?該組織承認這方面的工作已經(jīng)落后于制定好的時間表,本應該在去年秋季面世的標準,現(xiàn)在應該馬上完成。美國國家標準學會應該在2007年11月為SSC-3標準的通過做好各項準備工作,2009年11月則是SPC-4標準。
用戶對安全存儲的需求是不可避免的,但這一天到底何時到來卻無法預測。目前仍然有很多標準和技術(shù)還未得到廣泛采納,例如對象存儲,因此這些標準和技術(shù)還不能再存儲安全方面發(fā)揮其應有的作用和影響。