精選文章

[新聞|產業] 大型企業儲存廠商面臨市場寒冬

大部份的儲存系統大型製造商在將要過去的 2016 年都不太好過;不過,這究竟只是另一個寒冬,還是根本就是冰河期的開始?春天還會不會來呢?在即將步入 2017 年的這個時候,這些儲存廠商的心裡只怕是五味雜陳吧! 根據最新的 IDC 全球企業儲存系統追蹤季報 (IDC World...

2011年5月27日

[企業儲存觀察室] 資料加密的策略

在三月中的時候,EMC 旗下資安部門 RSA 的技術遭到駭客破解,一時之間,資料加密,或是更精準的說,線上資料加密這個議題,突然之間躍上檯面,彷彿又成了避免因資料被竊而造成企業損失的法寶。企業 IT 研究機構 ESG (Enterprise Stragegy Group) 的專家 Steve Duplessie 在他的部落格中指出,「如果做資安的公司都被駭了,那麼任何一家公司都有可能被駭」。假如企業的資料安全策略是以資料有可能被偷走為前提,那最安全的方式就是加密,Steve 就建議企業應該在所有的地方都進行資料加密,「在飛機上,在卡車上,在磁碟機上,在實驗室,在倉庫裡」;不過 Steve 倒是沒有特別指明線上資料加密。

被稱為 Mr. Backup 的 W. Curtis Preston 對此的看法,則是「應該對磁帶加密,而不是磁碟」,Curtis 認為對線上資料進行加密,並無法避免資料外洩;因為駭客如果可以駭進企業 IT 系統,那他就像是任何一個企業內部正常的使用者一樣,可以經由正確的解密程序(或應用系統)看到任何加密過的資料。因此該加密的是磁帶,除非企業已經做完任何該做的防護措失,再來考慮做線上資料的加密,有些企業連基本的資料備份保護措施都還做不完整。

資料加密其實跟任何一項 IT 技術一樣,必須要適時適地使用,才能獲得最佳效益,盲目的為加密而加密,除了浪費金錢外,也會造成原本作業上的困擾。我們先來看一下,資料加密的概念為何?簡單來說,就是加密資料以避免非授權的資料取得,非授權者因為沒有環境(或設備),也沒有解密的金鑰,所以即使擁有資料也無法讀取,當然也就無從外洩起。

目前在一般企業的資料儲存環境中,有哪些狀況有機會造成非授權的資料取得?最大的可能性,應該就是來自於可移動的資料儲存媒體,這些媒體包括備份用的磁帶或可移動式的磁碟、筆記型電腦(其中的硬碟),以及行動碟等。一旦這些儲存媒體遺失,使用一般通用的硬體,或是備份軟體就可以輕輕鬆鬆的將資料讀取出來;而且這些儲存媒體,在大部份的時間裡,都是處於公司的圍牆之外,遺失的風險性極高。因此針對這些可移動的儲存媒體進行資料加密,可以有效的把資料外洩的風險性降到最低。

IBMOracle 的高階磁帶機,與 LTO 中階磁帶機都已經有資料加密的解決方案,具有資料加密機制的 SED (Self-Encrypting Drive) 磁碟,SeagateToshiba 也在市場上推出了這樣的產品。

至於在公司圍牆內,或是精確的說,在資料中心內的線上資料加密解決方案,其實早幾年前就已經存在了,但位於資料中心內的儲存系統,並不是移動式的儲存媒體,一個具有安全監控機制的資料中心,人員的進出都是被管制的,發生非法入侵搬走磁碟儲存系統的機率實在太低了。駭客經由網路入侵則是另一個可能性,但就如前文所說的,如果駭客是偽裝成合法的使用者,取得合法的使用者認證,資料有沒有加密就不是重點了。如果駭客並不是侵入應用系統,那麼在他非法下載資料檔時,很有可能也同時竊取了與加密相關的資訊,如金鑰等。目前業界廣泛使用的,多為標準的加密演算法如 AES-256 等,有了金鑰就可以解密。

資料加密對避免機密資料外洩確實是有所助益,但企業必須清楚的知道如何運用資料加密機制,可以因此而獲得哪些效益。不過,就如 Mr. Preston 在他的另一篇文章「好吧,加密你的磁碟,如果你已經做完其它的事」中所說的,有很多企業在資料備份的作業上都還有很大的缺失,例如只有一份資料拷貝,或是沒有把其中一份資料拷貝送往異地保存;對於這些企業來說,與其追求線上資料加密,不如先把資料備份做好比較重要吧!