全面解析存储加密盘全面解析存储加密盘(SED)技术技术
目前,主流的SED加密硬盘都符合FIPS政府级安全标准。但光有SED还不行,需要配置对应的FIPS密钥管理系统KMC。
FIPS(如140-2 LEVEL3)安全标准的KMC也可以是独立的或集成在存储系统中(当然,独立KMC具有更好安全性),并可以支持
配置2台双机热备模式的KMC。
KMC(图中为KeyAuthority)管理网口与存储的管理网口相连,多台加密存储系统可共用KMC进行密钥管理,每台KMC支持上
百台存储系统、百万级数量的对称密钥管理。存储阵列控制器不缓存、不静态存储数据加密密钥,作为第三方密钥管理服务器
KMC和自加密盘的密钥(DEK)管理代理,只提供安全的密钥中转通道,从而保证密钥和数据的安全性。
关于KMC介绍:
KMC不影响存储性能,加解密速率达到硬盘接口线速,数据保护环节不增加时延。它以透明的方式提供全盘数据加密保护,
不影响存储阵列的其它特性,镜像、快照、重删、压缩等特性可照常使用。
KMC密钥管理的核心是保证密钥的安全性、可用性。采用CS模式,第三方密钥管理服务器作为Server端,存储设备集成密钥
管理Client端。密钥的产生、存储、管理、撤销、销毁等操作,由Client通过KMIP协议接口发起指令通信,Server接收指令并
完成相应的操作。
密钥存储的安全性由Server保证,密钥交换过程的安全性由加密安全通道保证。存储阵列控制器不保存密钥,仅作为AES加密
模块与密钥管理服务器之间的密钥交换代理。
Thales和SafeNet是应用比较广泛的密钥管理服务器,采用独立密钥管理部署具备高安全(FIPS 140-2 LEVEL3),同时支持高
可靠(单机硬件冗余、集群热备份)、可安全互操作协议(KMIP 1.0/1.1)等特性,并有完整的密钥生命周期管理特性,总结如下:
密钥管理安全性达到FIPS 140-2 LEVEL3
集群热备份、实时容灾备份保证高可用性
评论0