比較篇

各類備份加密的尺短寸長

當我們談?wù)摯鎯Π踩掝}時，最多談?wù)摰降氖莻浞莸募用埽彩悄壳安渴鹱疃嗟念I(lǐng)域。能夠應用到備份加密的解決方案主要有磁帶加密、備份軟件加密以及專用設(shè)備加密。

磁帶機首當其沖

日前，IBM與Sun不約而同地選擇將驅(qū)動器級加密技術(shù)引入到各自旗下高端的磁帶機產(chǎn)品線內(nèi)。也就是說，這兩家公司推出的新型磁帶機均具備基于硬件的加密功能，其密鑰管理系統(tǒng)可與大型主機服務(wù)器及開放式系統(tǒng)協(xié)同作業(yè)。

與基于軟件的加密技術(shù)及第三方專用設(shè)備相比，基于硬件的驅(qū)動器加密技術(shù)最大的優(yōu)點就在于：它可以在數(shù)據(jù)被壓縮并寫入磁帶之后，對其實行加密處理。而且，基于硬件的加密技術(shù)對備份服務(wù)器的數(shù)據(jù)傳輸性能造成的負面影響相對小很多，無論是IBM還是Sun，都號稱添加了驅(qū)動器級加密技術(shù)之后，磁帶機的性能僅下降了不到1%。

無論是IBM T1120，還是被劃歸到Titanium 10000產(chǎn)品線之下的Sun T10000，售價都不低。T1120磁帶機的標價高達35500美元。IBM企業(yè)級密鑰管理系統(tǒng)(Enterprise Key Management System)是一套Java應用程序，可運行于個人電腦之上，雖然IBM有未來將該系統(tǒng)作為免費組件向用戶供應的意向，但在現(xiàn)階段，凡是添加了加密功能的T1120磁帶機，每臺售價均比普通的T1120磁帶機高出5000美元。

Sun StorageTek Crypto Ready T10000磁帶機的起步價為37000美元—添加了加密功能的T10000磁帶機，售價較普通版本高出5000美元。作為Secure Solaris實例之一的StorageTek密鑰管理系統(tǒng)(Key Management System)，運行于UltraSparc服務(wù)器之上，標價為45000美元，含安裝服務(wù)。相比之下，Decru和NeoScale推出的加密專用設(shè)備，售價也不過在25000萬美元左右。

“我相信這些系統(tǒng)都是針對專門的應用平臺而設(shè)計和定價的?！盙lasshouse技術(shù)有限公司的備份產(chǎn)品分析師Curtis Preston指出。Preston認為，只有那些使用大型主機服務(wù)器，并要求磁帶機的任務(wù)處理周期(duty cycle)在90%以上的大公司，才會選擇這一類售價昂貴的獨家專利產(chǎn)品。

在中端磁帶技術(shù)方面，LTO技術(shù)聯(lián)盟(LTO Consortium)公開承諾：即將問世的新一代LTO格式，也將會加入本機加密功能。

昆騰公司于今年1月份推出的新型數(shù)字線性磁帶(DLT)——DLTSage，也在前代產(chǎn)品的基礎(chǔ)之上進一步完善了安全性能。

該產(chǎn)品采用了昆騰公司最新研制的新型安全框架技術(shù)—DLTSage Tape Security，在每盒磁帶上放置了一個特殊的加密“磁頭”，提高了系統(tǒng)訪問控制的力度。換言之，只有特定的驅(qū)動器才能讀取磁帶上的數(shù)據(jù)。昆騰公司最新一代DLT磁帶驅(qū)動器應用了該項技術(shù)，用戶無須支付額外的費用。

備份軟件耕耘多年

與加密磁帶機相比，備份軟件更早實現(xiàn)了加密功能。在加密磁帶機出現(xiàn)之前，賽門鐵克、HP、CommVault、BakBone和Atempo等公司就在備份軟件中增加了加密功能。近期，EMC在最新版Legato NetWorker備份產(chǎn)品中也添加了加密功能。但它們之中沒有一家公司認為軟件加密的效率更高。

Symantec公司產(chǎn)品營銷經(jīng)理Glenn Groshan承認：“專用設(shè)備的優(yōu)勢是它具有處理器，因此你可以將加密負載轉(zhuǎn)移到專用設(shè)備上。但是，如果你注意一下一些專用設(shè)備的費用的話，那可不是免費的?！?/p>

EMC軟件產(chǎn)品營銷經(jīng)理Rob Emsley說，軟件加密可以滿足少量數(shù)據(jù)的加密需要。他說：“你是使用硬件還是軟件加密，在很大程度上取決于被加密的數(shù)據(jù)量?！?/p>

賽門鐵克中國區(qū)解決方案市場經(jīng)理張衡介紹說，在備份軟件中實現(xiàn)加密，有些方面比磁帶機加密更具優(yōu)勢。數(shù)據(jù)可以在備份客戶端進行加密，以確保其在公司網(wǎng)絡(luò)傳輸或從基于磁盤備份復制到磁帶的過程中能夠得到有效保護。也就是說，在數(shù)據(jù)傳輸過程中是加密的，像遠程備份這樣的方式，可以規(guī)避網(wǎng)絡(luò)中存在的諸多安全風險。另外，如果用戶備份環(huán)境中使用的磁帶機部分是加密的，那么在統(tǒng)一管理的時候就存在一定的不便。

專用設(shè)備備受青睞

不過，數(shù)據(jù)安全專家說，加密的最好方式是通過基于硬件的加密，使用像Decru、NeoScale、Kasten Chase和Vormetric銷售的專用設(shè)備。基于硬件的專用設(shè)備，采用內(nèi)置的處理器來處理加密和管理脫密密鑰。

Glasshouse CTO Jim Damoulakis說：“加密專用設(shè)備是進行加密的有效方法。軟件大規(guī)模使用起來麻煩太多?！?/p>

Damoulakis說，軟件加密存在兩個問題。一是軟件使用CPU時間，而這種開銷降低了備份的速度。另一個問題是備份應用要求用戶在加密時關(guān)閉壓縮功能。而在備份應用中，這意味著需要更多的存儲容量，并且備份時間將顯著增加。

加密專用設(shè)備不斷增強處理更大負載和更分散的負載能力。Decru自去年6月被NetApp收購后，在它第一次重要產(chǎn)品發(fā)布會上推出了一款用于磁帶庫的10端口專用設(shè)備和一款用于SAN硬盤和磁帶的6端口專用設(shè)備。該公司以前所有的專用設(shè)備都是兩端口配置。Decru和NeoScale還通過讓客戶將脫密密鑰復制到遠程站點來加強災難恢復能力。

Decru的DataFort系列存儲安全設(shè)備，提供了完整的網(wǎng)絡(luò)存儲數(shù)據(jù)安全解決方案。包括：256位AES算法的數(shù)據(jù)存儲加密、IPSec和SSL數(shù)據(jù)傳輸加密、Windows AD及Unix NIS集成的ACL控制和AAA(認證、授權(quán)和計賬)特性、加密數(shù)據(jù)的快速安全銷毀、數(shù)據(jù)生命周期內(nèi)的密鑰集中管理、基于專用硬件芯片的安全加固的系統(tǒng)架構(gòu)。

DataFort系列存儲安全設(shè)備可以保護在生命周期內(nèi)的數(shù)據(jù)安全，包括備份、容災的數(shù)據(jù)也都會置于整個安全體系內(nèi)。DataFort可以透明地部署在已有的網(wǎng)絡(luò)存儲環(huán)境中，并且支持NAS、FC SAN、iSCSI、FC磁帶備份、SCSI直聯(lián)磁帶備份、MainFrame磁帶備份等多種企業(yè)數(shù)據(jù)存儲結(jié)構(gòu)。DataFort通過硬件的加密芯片，實現(xiàn)了在FC和千兆以太網(wǎng)環(huán)境下的線速加密和解決密，在保證網(wǎng)絡(luò)安全的同時也保證了整個存儲的性能不受影響。

admin

收藏 海報分享