--本文作者为业内知名专家Drew Robb,是国外多家知名媒体的撰稿人和评论员,目前是一名专门研究IT技术和商业模式的自由撰稿人。
独立的存储安全厂商可能日子不太好过,但是存储安全标准的进展却很顺利。
随着类似于NeoScale、Kasten Chase和Decru这样的独立厂商淡出舞台,大型存储厂商正在将更多的安全性功能整合进它们的产品中,而各个标准工作组也纷纷发表它们在这方面的成果(见《存储安全厂商能否独善其身?》)
存储安全标准的数量看起来正在以前所未有的速度在增长。这里列出一些不同标准(只是完整列表的小部分):LTO(线性开放协议磁带)联盟实施了一种内置的256位的高级加密标准(AES),该标准现在就用于LTO-4磁带驱动器上;T10组正在努力开发SCSI(小型计算机系统接口)存储接口;而美国电气电子工程师学会(IEEE)1619.3委员会正在制订加密密钥管理标准;可信赖计算组织(TCG)发起了可信赖安全性活动;而存储网络行业协会(SNIA)的存储安全行业论坛(SSIF)现在正在发展一个长期的整体安全性框架。
企业战略集团的信息安全分析师Jon Oltsik说"AES-256是一个完备的且受到广泛应用的标准,而其他的标准则还在进行中"。
LTO-4联盟一年前宣布接受AES 256位加密,且应用该标准的磁带驱动器在去年年中就已上市。Quantum、IBM和惠普都在各自的光纤通道LTO-4驱动器、SAS(串行连接SCSI)LTO-4驱动器和最新版本的SCSI的LTO-4驱动器中应用了这种加密标准。结果显而易见--加密被内置到磁带驱动器中,取代了原先用一个设备或安装一个软件来保护磁带数据的方法。
加密的密钥
其余的安全标准,如同Oltsik所指出的那样,还没有完成。一些标准还需要相当长的一段时间才能成形,而其他的标准已经相当接近完成了。IEEE 1619.3密钥管理标准工作组看起来就是属于后者。1619.3委员会正在开发一个通用方法来让加密密钥管理工具能够同诸如磁带这样的设备进行通信和对话。这种方法的目的是为了让用户不需要再部署专用的密钥管理解决方案,因为这些专用的解决方案可能会妨碍跟踪和管理。1619.3的目标是让用户可以获得一个能够在不同平台和厂商之间进行工作的密钥管理解决方案。
Oltsik说:"该委员会正在开发密钥管理标准,我认为,随着越来越多的加密被部署,它将成为一个非常重要的议题"。
该委员会由来自终端用户以及厂商的工程师所组成。例如,Quantum就介入许多存储安全标准的制订工作。
"1619.3建立了一个基于标准的密钥管理API(应用程序接口),该API可以被不同的密钥管理厂商或是那些在其存储磁带、磁盘和交换机产品中提供加密功能的存储提供商所使用",Quantum的Security and Enabling Solutions高级产品经理Robert Callaghan说,"其目的是为客户提供可选择性和互操作性"。
他举例说,一个使用带LTO-4驱动器和加密的Quantum i2000库的用户,可以自由选择来自其他厂商的密钥管理器,只要他觉得符合他的预算和需求就行,而不必像以前一样锁定在Quantum密钥管理器上。
这种方式还潜在地解决了另一个问题,就是不必再需要管理多个加密密钥管理器以及多个密钥集,同时也简化了对这些密钥备份的管理和对这些密钥的访问及传递的保护。利用一个密钥管理器来管理所有的加密密钥能够节省时间和成本,而且排除了由于管理多个接口和密钥管理器所带来的管理难题。
那么这个标准会很快实现吗?IEEE1619.3委员会的主席Matt Ball对此表示乐观。该委员会所制订的标准陆续完成,例如IEEE1619和IEEE1619.1。而且他们得到了来自厂商的广泛支持。
IEEE1619解决的是块导向存储设备(例如,磁盘驱动器)上的数据加密问题。
"我所听到的唯一的有关IEEE1619的负面反馈是一个大型硬盘制造商说它认为这种加密模式不适合硬盘",Ball说,"不过看起来他们好像应者寥寥--几家硬盘加密厂商已经支持XTS加密模式:TrueCrypt,FreeOTFE和dm-crpt"。
IEEE1619.1处理的是大型磁带驱动器上的加密。主要的磁带驱动器厂商,如IBM、惠普、Sun和Quantum都提供了支持IEEE1619.1标准的加密磁带驱动器。
"IEEE1619和1619.1的批准通过是存储安全领域的一个主要的里程碑,因为存储厂商现在可以根据一个得到验证的组合来提供强大的数据保护",Ball说,"我预计我们将开始看到用户将依赖标准而不是‘自说自话'的密钥实践。"
他指出,如果一个厂商不愿意披露其加密算法的细节,那么很可能它是不安全的。这也就是为什么密码团体呼吁破除安全方面的屏障,但是它的努力几乎都是失败的。
随着1619和1619.1的签署和发布,Ball有理由相信1619.3将很快完成。该委员会在一年前便开始了密钥管理方面的努力,而且也取得了很好的进展。他说该工作组得到了所有主要存储公司的鼎力支持,例如思科、Sun、惠普、IBM、希捷、NetApp、RSASecurity(EMC)和nCiper等。
"在这个夏天以前,我们预计将拿出一个框架,这样各个公司可以开始初步实施",Ball说,"我们同时还计划拿出一个开放源代码的实施参照,这样可以加速它在行业内的采用。该项目将在明年年终结束。"
同时,IEEE存储工作组中的安全组(SSWIG)也在制订另一个1619旗下的标准,即1619.2。该标准针对的是宽数据块的加密。Sun公司的Jim Hughes是该委员会的主席。
该工作组目前在进行两个宽数据块加密标准的制订工作:EME和XCB(EME用于PGP的全磁盘加密)。在今年夏天以前,大部分工作将可能完成,然后就是投票和发布流程。
与时间赛跑
但是,这些IEEE委员会需要确保的是在他们所定的时间框架内不会在最后时刻出现分歧。Oltsik相信对于标准来说,时间就是一切。如果一个标准是人们所需要的,但是却没有及时出现,那么剩下的空缺将被厂商们的安排所填补,而这些安排通常是专用而非公用的。
"如果标准可以很快的建立并得到批准,那么1619.3将得到广泛支持",Oltsik说,"如果它延迟了,那么厂商们将自己寻找解决办法,并同其他厂商进行整合"。