日期:2008年5月21日
嘉賓: LSI網(wǎng)絡(luò)存儲事業(yè)部 市場副總裁 Jim Anderson
歡迎大家到我們這個存儲安全的論壇���。我們是四個主題,第一個介紹一下幾個市場的趨勢�����,推動存儲安全的變化,第二個方面�,講一下靜態(tài)數(shù)據(jù)的保護,包括硬盤的保護�。還要介紹一下新的安全系統(tǒng)。第四��,具體講一下FDE的驅(qū)動器���,以及全磁盤的加密技術(shù)����。
首先講一下市場趨勢�����。使用新的模型����,以及外部方面�����,還有互聯(lián)網(wǎng)上發(fā)展得非??欤瑒?chuàng)建了很多新的消息,比如社會網(wǎng)絡(luò)�、電子商務(wù)等等,還有Facebook����,還有遠(yuǎn)程教育,所有這些內(nèi)容都使得我們的內(nèi)容非常豐富�����,豐富了話音還有聲頻����,越來越復(fù)雜的豐富的數(shù)據(jù),所以新的網(wǎng)絡(luò)的使用��,可以說促進了IP流量在網(wǎng)絡(luò)上大大增加����。IP網(wǎng)絡(luò)流量增加速度是每兩年翻一番,也就是說一直到2011年以前一直是這樣的��,從2001年到2011年����,在信息量的創(chuàng)建方面要增加六倍�,所以這是對網(wǎng)絡(luò)的一個很大的影響����,存儲的基礎(chǔ)設(shè)施要應(yīng)對快速的經(jīng)濟增長,可以說是一個挑戰(zhàn)����。
我們創(chuàng)建的信息都有哪些類型呢?這些創(chuàng)建的類型也發(fā)生了變化�����,在過去我們看到大多數(shù)的信息都存儲在企業(yè)的硬盤上��,都是結(jié)構(gòu)性的數(shù)據(jù)�����,也就是說這個數(shù)據(jù)基本上是放在數(shù)據(jù)庫里面的����,這是我們企業(yè)過去存儲的主要方面和部分�����。
現(xiàn)在看一下非結(jié)構(gòu)性的數(shù)據(jù)增長非常快��,特別是有非常豐富內(nèi)容的數(shù)據(jù)�����,也就是媒介內(nèi)容�,好比說視頻、話音���、影像�����,非常豐富的內(nèi)容促進了非結(jié)構(gòu)性存儲的增長�����,今天就是要應(yīng)對快速的數(shù)據(jù)�,包括數(shù)據(jù)的結(jié)構(gòu)的形式��,包括在硬盤存儲系統(tǒng)上存儲形式的變化��,在安全系統(tǒng)中的部署應(yīng)該是可伸縮性的���,因為存儲能量要有非常大的變化�����,因為安全系統(tǒng)也必須要有可伸縮性��,以后要談�����,因為數(shù)據(jù)的變化非常大���。
第二個市場趨勢就是安全威脅也在變化,而且變化速度非??欤沂侨N形式在變化:1����,攻擊數(shù)據(jù)中心的動機變化,過去都是概念的攻擊�����,比如看這個網(wǎng)站能否被攻擊�����,也就是說可以被黑����,而現(xiàn)在的威脅動機都是盈利的目的,也就是知識產(chǎn)權(quán)或者對貨幣化資產(chǎn)進行的偷盜這樣的攻擊�,所以這種攻擊的威脅,基本上都是一些犯罪組織來策劃的�����,所以這是一個動機上的變化��。2����,威脅的數(shù)量在不斷增加,比如說有侵入病毒�����,還有惡意軟件���,整個非常復(fù)雜���,所以我們有一個新的處理器來防止這種威脅。現(xiàn)在越來越多的使用都是一些混合性的攻擊����,也就是多種形式同時發(fā)起的攻擊,而這是一個非常困難的局面來做防護和抵御����。3����,威脅的來源發(fā)生了變化���,在過去大多數(shù)人擔(dān)心的都是存儲或者安全的威脅,主要是來自外部�����,所以數(shù)據(jù)中心以外的人發(fā)起攻擊���,去年的IDC做了一個調(diào)研����,現(xiàn)在的IT管理員�,包括大型的企業(yè)機構(gòu),認(rèn)為都是內(nèi)部的����,好比說知識產(chǎn)權(quán),或者硬盤的設(shè)備����,可能工作人員給帶出去了��,而且變化非???��,這個動機變化了�,復(fù)雜性也發(fā)生了變化���,安全威脅的來源發(fā)生了變化�����,這樣就是在防護威脅的時候��,難度越來越大了�,所以存儲系統(tǒng)有什么意義呢?安全系統(tǒng)就是對數(shù)據(jù)的保護要全時段的�,隨時隨地的保護。
下面講一下LSI所做的工作�����,加強安全的保護�,包括網(wǎng)絡(luò)聯(lián)網(wǎng)的應(yīng)用,我們這里包括了三個辦法來保證安全的解決方案給客戶�����。1�����,芯片這一級的�,是一個很廣泛的,很完整的一個IT構(gòu)建要素的組合��,使引擎能夠在芯片這一級,還有定制化的自定義的產(chǎn)品和芯片的產(chǎn)品的集合��、集成�����。2,安全的解決方案都是產(chǎn)品級的�����,組建型的�����,我們現(xiàn)在的LSI的產(chǎn)品都是安全性的功能����,也就是說集成在軟件的芯片里面,在我們的標(biāo)準(zhǔn)產(chǎn)品里面���。所以我們許多標(biāo)準(zhǔn)的產(chǎn)品����,有的都是芯片的構(gòu)件要素,共享式的��。我們還有標(biāo)準(zhǔn)是專門應(yīng)對安全應(yīng)用的���,有處理器的�,有內(nèi)容檢查式的����,分析網(wǎng)絡(luò)上的流量的情況,甄別出對網(wǎng)絡(luò)方面潛在的威脅��、攻擊���。3�,就是給客戶系統(tǒng)軟件級的��,但是我們跟其它的系統(tǒng)伙伴一塊做��,像IBM�����、Seagate一塊來開發(fā)一個完整的系統(tǒng)�,用于企業(yè)的數(shù)據(jù)中心�����,來保護靜態(tài)數(shù)據(jù)�����。今天花的時間就是談安全性����,我們跟LSI的合作伙伴一塊開發(fā)這個系統(tǒng)�����。比如從芯片到系統(tǒng)到軟件����,所以在整個端到端的對數(shù)據(jù)中心進行全方位的保護�。
靜態(tài)數(shù)據(jù)保護的必要性。典型的數(shù)據(jù)中心部署的情況��,所有不同的設(shè)備都有了�����,大多數(shù)的設(shè)備都有存儲方面,還有硬盤����,大多數(shù)存儲都是這樣的,什么意思呢�����?在一個安全系統(tǒng)中���,要保護存儲設(shè)備��,還有存儲的設(shè)備��,它們的互操作性�,因為這里面有各種各樣的設(shè)備�,而且不同的情況下運行,所以互操作性的安全性應(yīng)該基于行業(yè)標(biāo)準(zhǔn)來進行��。另外有這么多的存儲在各數(shù)據(jù)中心���,有這么多設(shè)備��,所有都涉及到���,所以主要的危險�����,我們要防護的���,保護靜態(tài)的數(shù)據(jù),像硬盤上的存儲的數(shù)據(jù)要保護����。從客戶中得到反饋�����,他們認(rèn)為主要要保護的����,要放在靜態(tài)數(shù)據(jù)的保護上。
為什么要把靜態(tài)數(shù)據(jù)進行加密呢�����?因為要保證這些數(shù)據(jù)的安全�����,我們看一下數(shù)據(jù)的生命周期,大多數(shù)的數(shù)據(jù)都是在硬盤上的�,在一個存儲媒介上,所以大多數(shù)的數(shù)據(jù)保護��,它們都是處于靜態(tài)的���,另外硬盤驅(qū)動器都是移動的��,所有的硬盤驅(qū)動器過去50%都是筆記本里面的��,或者是外部的硬盤驅(qū)動器�,這個很容易丟失或者被偷�����,所以它是移動的����。那么當(dāng)然這對很多的企業(yè)當(dāng)中,它們的數(shù)據(jù)中心就會面臨這樣的問題����,導(dǎo)致很多客戶的數(shù)據(jù)的損失���,當(dāng)然這可能對公司來說,就導(dǎo)致很大的利潤的損失�����。當(dāng)然��,我們可以看到���,其實現(xiàn)實當(dāng)中很多的企業(yè)都遭受到這種數(shù)據(jù)損失的威脅��,所以我們必須對數(shù)據(jù)進行很好的保護�。
另外一個原因����,為什么要對靜態(tài)的數(shù)據(jù)進行加密?就是因為我們可以看到�,很多的國家如果他們公司的顧客數(shù)據(jù)遭到遺失�����,要進行恢復(fù)或者是修復(fù)是非常昂貴的���,同時我們可以看到����,這實際上會對這個公司在社會上帶來很多負(fù)面的效應(yīng)和報道,這是很難恢復(fù)的一件事情了���。
當(dāng)然還有一點��,我們可以看到美國的各大洲和歐盟成員國���,它們都會建立一些安全崗來進行加密?��?梢钥吹?�,它們也希望能夠?qū)@些數(shù)據(jù)加密之后��,如果一旦丟失的話�,它們的公司都能夠保護住他們自己內(nèi)部的一些重要信息和數(shù)據(jù)�。所以,這也是為什么我們看到對靜態(tài)數(shù)據(jù)要進行加密�,是如此的重要。
現(xiàn)在對靜態(tài)數(shù)據(jù)進行保護,還有一些基本的要求����。IBM、LSI還有Seagate都提出對靜態(tài)數(shù)據(jù)進行保護��,要進行保護應(yīng)該有三個重要的因素必須要考慮:第一點就是密鑰的管理系統(tǒng)�����,就是要對這些密鑰進行存儲以及保護�����,要進行很好的授權(quán)���,相當(dāng)于對它進行很好的保護了���。第二個層面就是存儲體系,我們有很多的攻擊�,這些管理實際上都是為了安全功能著想的,所以我們必須要對一些密鑰員來進行授權(quán)����、進行保護。從安全的角度和功能來看���,我們就必須要給LSI提供這種驅(qū)動力�,今天很多時候都在討論加密的問題�����,可以看到加密的功能實際上是我們在應(yīng)用的時候更加的透明化����,我們能夠使我們的工作更加地通暢。第三點���,自我加密的驅(qū)動器���,就是SED。
這里給大家展示的就是我們的部署情況�����,講一下它是怎么工作的�。大家可以看到,有一些典型的公司都是這么做的���,那就是通過安全崗的渠道來進行工作�。比如說在這里,大家可以看到密鑰關(guān)鍵的服務(wù)器���,它是與存儲體系進行聯(lián)系的�,當(dāng)然我們可以看到這也是來管理安全功能的�����。同時可以看到���,我們也有安全管理站來進行具體的操作�����。這是與整個體系相連聯(lián)系的���,保證整個體系的安全。同時我們也要求硬盤得到很好的保護��。
整個體系當(dāng)中�,我們也是通過行業(yè)標(biāo)準(zhǔn)得以執(zhí)行和實施,比如說MPI�,這也是需要對關(guān)鍵的服務(wù)器進行定義和管理���,我們會把這個鑰匙再傳回到體系當(dāng)中,從而獲得CPI����。在這里�,本土的都會來實施建立自己的密鑰。比如說對數(shù)據(jù)進行加鎖�����,當(dāng)然我們可以看到這種硬盤驅(qū)動器就能夠得到很好的保護��,包括整個體系����、整個系統(tǒng),還包括與數(shù)據(jù)的連接�����,就會很安全�。
這就是整個體系工作的流程和工作的方法,從這個圖片中都能夠看到���。
現(xiàn)在看一下可以獲得的好處是什么����?實際上對硬盤驅(qū)動器都是需要進行加密的,所以一個最好的好處����,就是保護存儲的安全。比如說它是否能夠快速地進行工作��,同時如果有密鑰的硬盤驅(qū)動器�,是不是也能夠快速工作�,這是我們考慮的一個問題。當(dāng)然我們也希望�����,數(shù)據(jù)能夠在靜態(tài)的時候�,和工作的時候都得到,運行的時候都得到保護����。當(dāng)然,我們也希望可以使這個數(shù)據(jù)對我們的使用者來說是透明的�。
實際上我們的伙伴也一直在說�,我們必須要維護或者是要遵守行業(yè)標(biāo)準(zhǔn)��,所以我們會有多元的以及互操作性等等相關(guān)方面的標(biāo)準(zhǔn)�����,都是我們要考慮的���。所以這種所謂基于標(biāo)準(zhǔn)的含義,就是說我們在存儲方面���,必須要遵守整個體系基于的標(biāo)準(zhǔn)來運行��。
我們今天討論了很多的加密�����,以及CD Drievs���。
