今天,我们将详细讨论加密主题,重点分析磁盘加密的方案(当然,磁盘加密适用于文件、对象和块)和存储控制器加密方案,磁盘加密即SED。
目前,主流SED加密硬盘符合FIPS政府安全标准。但是,仅仅拥有SED是不够的。需要配置相应的FIPS密钥管理系统KMC。具有FIPS(如140-2LEVEL3)安全标准的KMC也可以独立或集成在存储系统中(当然,独立KMC具有更好的安全性),并且可以支持配置两台双机热备模式的KMC。
KMC管理网口与存储管理网口相连接。多个加密存储系统可共用KMC进行密钥管理。每台KMC支持数百个存储系统和数百万对称密钥管理。存储阵列控制器不缓存、不静态存储数据加密密钥。作为第三方密钥管理服务器KMC和自加密盘的密钥(DEK)管理代理,它只提供安全的密钥中转通道,以确保密钥和数据的安全。
KMC介绍:
KMC不影响存储性能,加解密率达到硬盘接口速度,数据保护环节不增加延迟。它提供全面的数据加密保护,不影响存储阵列、镜像、快照、重删除、压缩等特性。
KMC密钥管理的核心是确保密钥的安全性和可用性。采用CS模式,第三方密钥管理服务器作为Server端,存储设备集成密钥管理Client端。Client通过KMIP协议接口启动密钥生成、存储、管理、撤销、销毁等操作的指令通信,Server接收指令并完成相应操作。
密钥存储的安全性由Server保证,密钥交换过程的安全性由加密安全通道保证。存储阵列控制器不保存密钥,仅作为AES加密模块和密钥管理服务器之间的密钥交换代理。
Thales和Safenet是应用广泛的密钥管理服务器。独立密钥管理部署具有高安全性(FIPS140-2LEVEL3)、高可靠性(单机硬件冗余、集群热备份)、安全互操作协议(KMIP1.0/1.1)等特点,并有完整的密钥生命周期管理特性。
可以总结出:
1.密钥管理安全性达到FIPS 140-2 LEVEL3。
2.集群热备份,实时容灾备份,保证高可用性。
3.自动化密钥生命周期管理,提供高易用性。
4.完整的密钥生命周期管理,支持NIST 800-57密钥生命周期管理标准。
