存儲技術(shù)大揭曉:設(shè)計開發(fā)的你了解多少(二)
安全存儲
SSD和HDD往往支持同一種安全措施。全盤加密是其中一項功能。首次使用自加密驅(qū)動器時,訪問該驅(qū)動器上的數(shù)據(jù)需要正確的密鑰。
然而,由于密鑰用來加密和解碼驅(qū)動器上的信息,因此這不僅僅是門控機制的問題。由于加密的原因,直接繞過安全控制無法實現(xiàn)對數(shù)據(jù)的訪問??尚牌脚_模塊(TPM)一般是混合方案的一個組件,它可以提供安全引導(dǎo)支持。
訪問密鑰一般可提供對用于加密過程的另一個密鑰的訪問。這就允許使用多個訪問密鑰,因此企業(yè)密鑰具有對多個驅(qū)動器的訪問,個人密鑰則具有對與其密鑰匹配的驅(qū)動器的訪問。這種技術(shù)的一個相關(guān)功能是驅(qū)動器基本上都可以通過破壞加密密鑰來擦除。這種擦除可以通過一個命令來實現(xiàn),而無加密驅(qū)動器則通常采用覆蓋方法進行擦除?;谟布娜P加密的優(yōu)勢,是控制器可以處理詳細信息。它們一般與硬件匹配,因此加密過程不會降低數(shù)據(jù)傳輸速率。
新型SAS控制器旨在利用基于硬件的加密。有些SAS控制器不需要硬件加密設(shè)備即可提供加密支持。SAS控制器一般支持一個或多個磁盤陣列,一般使用熱插拔更換壞驅(qū)動器。由于驅(qū)動器被更換或轉(zhuǎn)移到新的位置,密鑰管理現(xiàn)已成為控制器的一個問題。
遺憾的是,與基于軟件的加密策略相比,全盤加密可能無法實現(xiàn)精細地使用存儲器。安全USB閃存驅(qū)動器等一些系統(tǒng)可以將驅(qū)動器分成兩個邏輯部分,一個加密部分,一個非加密部分。這兩個部分以兩個驅(qū)動器出現(xiàn),因此無需更改操作系統(tǒng)。
一種新的驅(qū)動器支持T10保護信息(PI)端到端加密,包括Seagate公司的Constellation 2。這種技術(shù)還需要操作系統(tǒng)和應(yīng)用支持,因為驅(qū)動器的扇區(qū)實際上更大。
在這種情況下,應(yīng)用程序處理加密和解密過程。這意味著,數(shù)據(jù)在離開應(yīng)用程序之前是安全的,因此研究iSCSI鏈路的通信沒什么作用。
T10 PI還需要匹配的控制器支持,最新的SAS控制器可以提供這種支持。另外,由于復(fù)制數(shù)據(jù)可以提供對非加密內(nèi)容的訪問,因此它還可以對驅(qū)動器進行備份。
現(xiàn)在,存儲問題涵蓋的技術(shù)五花八門,嵌入式設(shè)計人員甚至也需要對這些技術(shù)進行考慮。當(dāng)涉及到網(wǎng)絡(luò)時,存儲也不再局限于手頭的設(shè)備。
評論