作 者:杨洋
随着关键应用的不断发展,存储系统的安全受到高度重视,存储和安全的融合也已成为明显的行业趋势。为了适应和规范行业应用和实施,包括互联网工程任务组(IETF)、美国电气及电子工程师学会(IEEE)、可信赖计算组织(TCG)、美国国家标准学会(ANSI)等在内的各相关机构都在积极推动相关标准的制定。
根据形态和应用特点的差异,存储系统中的数据被分为两类:动态数据(data-in-flight或data-in-transit)和静态数据(data-at-rest)——动态数据是指在网络中传输的数据,而静态数据主要是指存储在磁盘、磁带等存储介质中的数据。安全存储系统中,对动态数据和静态数据的保护需要根据各自的特点分别使用不同的实现机制。
图一安全存储系统结构
动态数据一般都基于IP网络传输,对他们的保护可以直接借用比较成熟的网络安全机制,采用IPsec协议簇(RFC4301~RFC4309等)实现全面的保护,另外还需要参照RFC3723等标准文档以满足存储系统的某些特殊需求。
对静态数据的保护是最近几年才逐渐集中显现出来的要求,相关标准尚未完全成形,目前主要由IEEE存储安全工作组(SISWG)推动,将涵盖加密和密钥管理等内容,最终形成IEEE1619标准簇。其中,IEEE1619窄数据块加密标准和IEEE1619.1带认证加密标准已经在今年初完成并获准颁布,分别为磁盘和磁带系统在介质底层实现加密提供了指导。
凭借领先的技术、深厚的积累和强大的研发能力,Hifn(NASDAQ:HIFN)准确把握存储安全的发展方向,分别针对动态和静态数据保护推出了全面的解决方案,进一步巩固了在全球存储安全市场的领导者地位。
尽管动态数据的保护机制可以借用成熟的网络安全机制,但与普通网络的IPsec实现相比,存储系统往往对网络性能有更高的要求,一般都在千兆以上;同时,复杂的存储应用需要消耗大量的主机CPU和内存等,能够用以进行安全处理的资源非常有限;为了保证系统的正常运行,存储应用还需要安全处理具有高可靠性、低延时、低功耗等特性。在具体实施中,普通的网络安全处理机制一般很难充分满足这些要求,而Hifn推出的具有革命性意义的FlowThroughTM架构则完美地解决了上述各种问题,为存储系统中动态数据保护提供了绝佳的解决方案。
基于FlowThroughTM架构,系统以BITW(Bump-in-the-wire)结构实现了包括密钥协商阶段消息交换(IKE)在内的全部安全协议处理(IPsec/SRTP/MACsec),将主CPU从复杂而繁重的安全处理中彻底解放出来。如以下系统结构图所示,FlowThroughTM安全处理器使主CPU只需要进行普通的明文数据处理,安全应用实现了“透明化”。Hifn4450安全处理器是Hifn基于FlowThroughTM架构的第二代产品,并针对存储应用进行了专门优化,已经在各主要存储厂商的产品中获得了广泛应用。Hifn4450直接通过GMAC接口与主机CPU连接,大大简化了系统结构,在提供2Gb/s的全双工线速安全处理的同时,实现了报文处理延时的最小化。
图二FlowThroughTM安全处理结构
在静态数据保护方面,凭借在存储市场多年的技术积累,Hifn针对IPSAN市场,为磁盘存储提供了Swarm系列“卷级加密”(volume-basedencryption)解决方案和Sypher系列磁带加密解决方案,从而很好地填补了IEEE1619标准实施前的空白期,及时为静态数据提供必要保护。其中,Swarm 3000加密IP SAN设备还成功入选TechTarget 2007“年度磁盘和磁盘系统十大产品”,获得了业界的广泛认可。
同时,Hifn在IEEE1619标准制定的初始阶段即参与其中,首席科学家DougWhiting和首席技术官RussellDietz作为IEEE SISWG的重要成员一直都在工作组中发挥着非常积极的作用,这也使Hifn能够准确把握静态数据存储的应用和发展方向,并及时推出领先的解决方案。
IEEE1619标准为静态数据的保护提供了指导,但在实际的应用中还有很多其他的因素需要考虑,毕竟“存储与安全的融合”不可能只是搭积木式的简单堆积。在安全日益受到重视的同时,存储系统所面对的数据量爆炸性增长也是对存储系统的极大挑战——这也是最近几年来,以数据压缩和重复数据删除技术为代表的数据缩减技术获得广泛关注的原因。然而,通常情况下,数据保护所引入的加密处理将从根本上限制数据缩减技术的应用,而两种技术之间似乎存在着不可调和的矛盾:数据缩减技术的基础是大量数据中存在相似或相同的特性,一旦应用了加密处理,这些相似或相同都会被完全破坏。
凭借对数据缩减和加密处理技术的深刻理解,以及对存储应用的准确把握,Hifn最终找到了破解难题的“智慧之门”,成功解决了这一看似不可能的问题,使存储系统能够一次性完成数据缩减、数据压缩和加密处理;并依托强大的研发实力,及时推出相应的产品方案。
图三HifnExpressDR处理流程
计划于今年下半年推出的新一代HifnExpressDR系列加速卡将同时提供重复数据删除、数据压缩和加密功能。在全面支持IEEE1619和IEEE 1619.1标准的同时,可以帮助存储系统将最终存储的加密数据量减少到原始数据的3%以下,处理性能也将达到创纪录的1,600 MB/s。