信息化觀察網(wǎng)

今天詳細(xì)談?wù)劶用茉掝}，重點(diǎn)分析下加密盤方案(當(dāng)然，加密盤適用于文件、對象和塊)和存儲控制器加密方案，加密硬盤即SED。

目前，主流的SED加密硬盤都符合FIPS政府級安全標(biāo)準(zhǔn)。但光有SED還不行，需要配置對應(yīng)的FIPS密鑰管理系統(tǒng)KMC。FIPS(如140-2 LEVEL3)安全標(biāo)準(zhǔn)的KMC也可以是獨(dú)立的或集成在存儲系統(tǒng)中(當(dāng)然，獨(dú)立KMC具有更好安全性)，并可以支持配置2臺雙機(jī)熱備模式的KMC。

KMC(圖中為KeyAuthority)管理網(wǎng)口與存儲的管理網(wǎng)口相連，多臺加密存儲系統(tǒng)可共用KMC進(jìn)行密鑰管理，每臺KMC支持上百臺存儲系統(tǒng)、百萬級數(shù)量的對稱密鑰管理。存儲陣列控制器不緩存、不靜態(tài)存儲數(shù)據(jù)加密密鑰，作為第三方密鑰管理服務(wù)器KMC和自加密盤的密鑰(DEK)管理代理，只提供安全的密鑰中轉(zhuǎn)通道，從而保證密鑰和數(shù)據(jù)的安全性。

關(guān)于KMC介紹：

KMC不影響存儲性能，加解密速率達(dá)到硬盤接口線速，數(shù)據(jù)保護(hù)環(huán)節(jié)不增加時延。它以透明的方式提供全盤數(shù)據(jù)加密保護(hù)，不影響存儲陣列的其它特性，鏡像、快照、重刪、壓縮等特性可照常使用。

KMC密鑰管理的核心是保證密鑰的安全性、可用性。采用CS模式，第三方密鑰管理服務(wù)器作為Server端，存儲設(shè)備集成密鑰管理Client端。密鑰的產(chǎn)生、存儲、管理、撤銷、銷毀等操作，由Client通過KMIP協(xié)議接口發(fā)起指令通信，Server接收指令并完成相應(yīng)的操作。

密鑰存儲的安全性由Server保證，密鑰交換過程的安全性由加密安全通道保證。存儲陣列控制器不保存密鑰，僅作為AES加密模塊與密鑰管理服務(wù)器之間的密鑰交換代理。

Thales和SafeNet是應(yīng)用比較廣泛的密鑰管理服務(wù)器，采用獨(dú)立密鑰管理部署具備高安全(FIPS 140-2 LEVEL3)，同時支持高可靠(單機(jī)硬件冗余、集群熱備份)、可安全互操作協(xié)議(KMIP 1.0/1.1)等特性，并有完整的密鑰生命周期管理特性，總結(jié)如下：

密鑰管理安全性達(dá)到FIPS 140-2 LEVEL3

集群熱備份、實(shí)時容災(zāi)備份保證高可用性

自動化密鑰生命周期管理，提供高易用性

完整的密鑰生命周期管理，支持NIST 800-57密鑰生命周期管理標(biāo)準(zhǔn)。

關(guān)于SED加密盤：

按照客戶需求的不同，目前企業(yè)級硬盤可以提供三種類型的加密級別。

●靜態(tài)數(shù)據(jù)和安全按揭保護(hù)(FIPS 140-2 Level 2)

●靜態(tài)數(shù)據(jù)保護(hù)(FULL SED)

●僅有再利用保護(hù)(ISE)

對應(yīng)加密盤的類型也有三種，如SDE-ISE、Full-SDE和FIPS-SED等。

●SED-ISE：具有加密和瞬間銷毀密鑰功能。

●Full-SED：具有TCG遵從的加密標(biāo)準(zhǔn)、瞬間銷毀密鑰功能，支持Auto-Lock模式(處于該模式才支持加密)，但需要Host端的密鑰管理系統(tǒng)來管理AK。

●FIPS-SED：具有政府和軍方最高等級的加密功能、瞬間銷毀密鑰功能，支持分頻段銷毀，支持Auto-Lock模式和安全防揭功能，同樣也需要Host端的密鑰管理系統(tǒng)來管理AK。

數(shù)據(jù)加密過程：

存儲通過從KMC獲取AK(AK傳輸通過KMIP和SSL安全機(jī)制)讀寫磁盤上的數(shù)據(jù)，由KMC對SED的AK(認(rèn)證密鑰)進(jìn)行管理(產(chǎn)生、存儲、管理、撤銷、銷毀等操作)，KeyBackup Server用于對KA的密鑰進(jìn)行冷備。

FIPS-SED加密硬盤具備兩層安全保護(hù)，分別使用AK(Authentication Key)和DEK(Data Encryption Key)兩個安全密鑰。AK是訪問磁盤的密鑰，DEK是數(shù)據(jù)加密的密鑰，AK保存在KMC，而DEK通過AK加密后保存在磁盤中。

1)AK設(shè)置：打開硬盤加密特性和加密硬盤AutoLock功能時，從KMC分配AK給加密盤。

2)AK認(rèn)證：硬盤上下電時，從KMC獲取AK與硬盤上設(shè)置的AK匹配，如果匹配成功就可以對盤進(jìn)行讀寫操作了。

3）AK更新：密鑰長期保持不變可能面臨被破解的風(fēng)險，所以需要對所有加密硬盤進(jìn)行AK密鑰的更新(由用戶指定加密硬盤密鑰更新周期)，加密盤將根據(jù)新的AK重新加密DEK并保存到硬盤芯片內(nèi)，DEK本身并不改變，因此盤上數(shù)據(jù)仍能有效讀出和寫入。

當(dāng)磁盤通過AK認(rèn)證并對磁盤進(jìn)行讀寫時，磁盤通過自身電路獲取磁盤內(nèi)的DEK，由AES完成數(shù)據(jù)加密和讀取數(shù)據(jù)解密功能。數(shù)據(jù)在寫入磁盤后通過DEK加密，變成加密信息。磁盤的DEK外部是無法獲取的，所以磁盤拆除或故障后，通過機(jī)械讀取方式是無法還原信息的。

數(shù)據(jù)在主機(jī)層、網(wǎng)絡(luò)層、存儲系統(tǒng)都是明文數(shù)據(jù)；數(shù)據(jù)寫入硬盤時，由硬盤上的AES加密引擎和DEK對數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)從盤上讀出時，也是由AES加密引擎和DEK(數(shù)據(jù)加密密鑰)對數(shù)據(jù)進(jìn)行解密。

密鑰通信技術(shù)原理

SED加密盤的AK密鑰保存在KMC(密鑰管理服務(wù)器/中心)上，存儲系統(tǒng)不緩存、不靜態(tài)存儲相關(guān)密鑰，在SED接入系統(tǒng)時由存儲系統(tǒng)向KMC申請或查詢AK密鑰并設(shè)置到SED加密盤，存儲控制器與KMC之間采用KMIP安全協(xié)議進(jìn)行密鑰傳輸，保證密鑰的安全性。

存儲控制器與KMC之間采用CA安全證書進(jìn)行雙向認(rèn)證，需要先在存儲系統(tǒng)導(dǎo)出一份初始CA證書，然后在KMC系統(tǒng)上進(jìn)行數(shù)字簽名，再導(dǎo)入到存儲系統(tǒng)。在存儲系統(tǒng)上配置好KMC的IP地址及通信端口后，即完成密鑰通信的配置操作。密鑰通信的雙向認(rèn)證機(jī)制如下：

1、客戶端向服務(wù)器發(fā)送消息，首先把消息用客戶端證書加密，然后連同把客戶端證書一起發(fā)送到服務(wù)器端，

2、服務(wù)器接到消息后，用客戶端證書把消息解密，然后用服務(wù)器私鑰把消息加密，把服務(wù)器證書和消息一起發(fā)送到客戶端

3、客戶端用發(fā)來的服務(wù)器證書對消息進(jìn)行解密，然后用服務(wù)器的證書對消息加密，然后在用客戶端的證書對消息在進(jìn)行一次加密，連同加密消息和客戶端證書一起發(fā)送到服務(wù)器端，

4、到服務(wù)器端首先用客戶端傳來的證書對消息進(jìn)行解密，確保消息是這個客戶發(fā)來的，然后用服務(wù)器端的私鑰對消息在進(jìn)行解密便得到了明文數(shù)據(jù)。

數(shù)據(jù)銷毀技術(shù)原理

當(dāng)用戶不再使用加密硬或需要重新規(guī)劃存儲空間時，可以選擇對SED盤的數(shù)據(jù)進(jìn)行數(shù)據(jù)銷毀。根據(jù)實(shí)際情況，對整個硬盤池的SED進(jìn)行數(shù)據(jù)銷毀，或針對單個SED進(jìn)行數(shù)據(jù)銷毀。

數(shù)據(jù)銷毀的技術(shù)原理是通過更改SED的DEK完成的，DEK對外不可見，直接下發(fā)更改DEK命令，使盤上的舊數(shù)據(jù)無法解密，從而達(dá)到秒級數(shù)據(jù)銷毀的目的，無需通過反復(fù)耗時的擦寫硬盤來銷毀數(shù)據(jù)。

NetApp的NSE和NVE加密技術(shù)

加密盤技術(shù)部分已經(jīng)分享完了，接下來跟大家分享下NetApp的加密盤技術(shù)和存儲加密技術(shù)。NetApp FAS系統(tǒng)支持NSE和NVE兩種加密技術(shù)。

NetApp Storage Encryption(NSE)是加密盤技術(shù)方案，支持在寫入數(shù)據(jù)時進(jìn)行數(shù)據(jù)加密數(shù)。如果沒有磁盤上的加密密鑰，就不能讀取數(shù)據(jù)。反過來，加密密鑰只能被經(jīng)過身份驗(yàn)證的存儲節(jié)點(diǎn)訪問。

在處理I/O請求時，存儲節(jié)點(diǎn)使用從外部密鑰管理服務(wù)器或存儲內(nèi)部密鑰管理模塊檢索驗(yàn)證密鑰完成SED驗(yàn)證。NSE支持自加密HDD和SSD SED。用戶可以使用NetApp卷加密(NVE)與NSE對存儲數(shù)據(jù)進(jìn)行“雙重加密”。但是NSE不支持對MetroCluster特性進(jìn)行加密。

何時使用外部KMC密鑰管理服務(wù)器？雖然使用內(nèi)部密鑰管理器成本較低，但如果下列情況屬實(shí)，就需要采用外部KMC密鑰服務(wù)器和KMIP協(xié)議:

1、加密密鑰管理解決方案必須符合聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)140-2或OASIS KMIP標(biāo)準(zhǔn)。

2、加密存儲是一個多集群存儲系統(tǒng)解決方案。

3、需要KMC服務(wù)器支持多個集群，對加密密鑰進(jìn)行集中管理。

4、KMC服務(wù)器將身份驗(yàn)證密鑰與數(shù)據(jù)分開存儲。

NetApp Volume Encryption(NVE)是一種基于軟件的存儲控制器的加密技術(shù)，用于加密卷中的數(shù)據(jù)。只有存儲系統(tǒng)才能訪問的加密密鑰，如果底層設(shè)備被重新使用、返回、錯位或被盜，則無法讀取卷數(shù)據(jù)。

NVE可以對數(shù)據(jù)(包括快照副本)和元數(shù)據(jù)都是加密，對數(shù)據(jù)的訪問由一個唯一的XTS-AES-256密鑰完成，每個卷一個密鑰。支持外部密鑰管理服務(wù)器或存儲內(nèi)部密鑰管理器。NVE可以對新卷或現(xiàn)有卷啟用加密，支持對各種存儲軟件特性加密，包括重復(fù)數(shù)據(jù)刪除和壓縮。

由于NVE是通過加密模塊(CryptoMod)在在RAID層執(zhí)行數(shù)據(jù)加密，這使得存儲軟件特性能夠與其不發(fā)生沖突，因?yàn)榇鎯μ匦允窃诩用苤皥?zhí)行的。

但是，NVE加密技術(shù)不能對Root卷、SVM Root卷和MetroCluster元數(shù)據(jù)卷進(jìn)行加密，因?yàn)檫@些卷包含了Data Ontap系統(tǒng)的配置信息。