随着数据中心安全体系结构格局发生变化,数据中心安全体系结构上逐渐演变的更为平稳,我们希望能看到应用工具(无论是主动的还是被动的)与专用服务子网络结合在一起。由于服务器的虚拟化和整合,数据中心安全体系结构开始进行改变。 显然,对硬盘驱动器和磁带进行加密是保护数据的关键。那么为什么企业机构并不急于这么做呢?管理密钥的复杂性是阻碍加密技术普及的最主要因素。毕竟,加密的方法有很多种,但是对密钥的管理要么成功要么失败。而且失败极有可能是几年之后才会发生的,这时候存在的漏洞已经很深了。一些信息必须保存数十年之久,而要成功保存密钥10年或者20年的确是一个严峻的挑战。 所幸的是,现在那些降低丢失密钥几率的密钥管理技术不断升级,越来越多确保备份流程每个步骤加密数据的新技术选择也层出不穷。大多数厂商都意识到了这个问题,并且积极致力于解决它。例如,RSA的KeyManagementSuite能够兼容RSA合作伙伴的加密产品,为IT用户提供一个管理所有密钥的统一平台。 加密厂商也开始将密钥管理技术集成到他们的产品中,或者将其作为一项选配功能提供给那些并不急于应用这项技术的用户。 磁带的传奇 安全分析师比较倾向于在所有数据发送到备份服务器之前在主机上对其进行加密。这确保了终端对终端的隐私性,尽可能较少发生错误的位置。现在有许多产品都提供了这种功能。赛门铁克公司的NetBackup就是一个很好的例子——它只生成一个密钥,只需要点击用户界面的一个按钮就可以完成所有数据组的加密。备份服务器指导用户在数据传输过程中对其进行加密。 然而这种方法也存在一些缺点。因为是在主机上加密数据,所有必须在服务器上进行重复数据删除操作。加密操作向服务器增加了负载,延长了备份窗口等待时间,这可能会影响到整体性能水平。而且,用户可能无法从随机数据中辨别出加密数据,这样就可能导致磁带驱动器压缩是完全没有用处的。因为大多数磁带驱动器的硬件压缩率至少在2:1左右,所有服务器层级的加密轻易就使你的磁带消耗翻一番。 但是密钥管理可能是最大的问题。现在只有备份厂商开始向他们的软件中增加密钥管理功能,而大多数厂商仍然依赖于备份管理者来处理这个管理任务。
|