论文部分内容阅读
尽管直接对磁带数据加密的好处颇多,但也给现有的备份处理带来了显著影响。用户可能需要升级磁带驱动器,更新设备驱动程序,改变备份软件中的驱动设置,并将已有的存储数据迁移到新的存储介质上。
大多数公司会选择更简单易行的加密处理方法,即对运行在备份服务器上的备份软件进行直接加密。用户可以打开现有备份软件的加密选项,或者把备份软件升级到具备加密功能的最新版,这就不必大量变动备份策略或流程。在备份软件上进行加密常常是目标未知的——可以发送加密数据到任何磁带或者磁盘上,比如磁带库、虚拟磁带库,甚至是通过WAN发送到远程存储系统上。
需要注意的是,加密处理的计算复杂度很高,软件加密通常需要大量的计算资源,可能会降低40%的备份速度,导致备份时间窗口过长,无法满足备份的要求。和其他加密算法一样,软件加密方案还要具有密钥管理功能,以确保密钥的有效保存和可用性。
考虑加密对系统的性能影响 所有的软件加密都会对备份服务器的性能造成不良影响,包括服务器的处理能力、加密算法的类型和复杂度以及服务器上其他计算开销等。在选择加密产品之前,要先测试软件在实际负载条件下的运行情况,以确定加密对系统环境的影响程度。一些服务器的性能可以通过主服务器的升级来予以保障。升级处理器对提升性能也会有帮助。
考虑加密目标 由于加密软件一般会纳入备份软件内,所以要选择一款备份软件,能够将加密数据成功地传送到目标存储系统内。用户需要验证该软件所能支持的磁带驱动器、磁带库、虚拟磁带库、磁盘阵列或者其他存储系统。在采购的早期阶段,需要对要采购的加密产品进行相应的综合测试和评估。
限定要加密的数据范围 加密很少对所有内容进行加密,只有非常重要和敏感的备份数据才必须加密。限制加密的范围,比如数据文件类型或数据类型,可以为备份服务器减少额外的工作量,也可以减少对性能的不良影响。例如,现在的备份窗口是12小时,对整个备份加密来说,如果影响达到40%,就会使整个备份窗口再增加4.8小时,这是让人无法接受的。
考虑加密类型和加密强度 LTO-4磁带驱动器使用256位AES加密算法。而软件加密产品则通常提供多种加密方案,包括AES、3-DES和Blowfish。每种加密方案都可以支持几种不同的密钥强度,位数越多,加密强度越大。例如,3-DES使用168位,AES常常采用256位,而Blowfish则多达448位。密钥越长,安全性越好,但也可能对备份软件的性能造成更多不利影响。某些行业提出了加密方法和密钥长度的最低标准,所以要确定软件加密是否可以满足这种最低要求。
考虑对一次性写入媒介的支持 数据的长期归档对存储稳定性有较高要求,还要满足合规性对数据保留的要求,即數据一旦写入,就不得更改和删除。用户在选择软件加密时,要考虑此软件是否支持光驱(如CD-R、DVD-R)、新兴的全息存储介质以及一次性写入的磁带驱动器等。
考虑如何存储和使用密钥 加密数据需要密钥,而解密数据同样也需要密钥。这就涉及到如何存储密钥的问题,目的是让备份和存储管理员可以在进行访问操作时随时获得密钥。在某些情况下,加密和解密数据使用同一个密钥,或者为每次加密、解密分配不同的密钥。在另外一些情况下,又可以根据用户的权限分配一系列的密钥,允许进行解密操作。用户要考虑如何将密钥管理系统纳入到公司的安全管理系统中,同时还要评估其复杂性、成本和效果,以避免将来任何硬件的改变或者灾难的发生对密钥管理系统的影响。
大多数公司会选择更简单易行的加密处理方法,即对运行在备份服务器上的备份软件进行直接加密。用户可以打开现有备份软件的加密选项,或者把备份软件升级到具备加密功能的最新版,这就不必大量变动备份策略或流程。在备份软件上进行加密常常是目标未知的——可以发送加密数据到任何磁带或者磁盘上,比如磁带库、虚拟磁带库,甚至是通过WAN发送到远程存储系统上。
需要注意的是,加密处理的计算复杂度很高,软件加密通常需要大量的计算资源,可能会降低40%的备份速度,导致备份时间窗口过长,无法满足备份的要求。和其他加密算法一样,软件加密方案还要具有密钥管理功能,以确保密钥的有效保存和可用性。
考虑加密对系统的性能影响 所有的软件加密都会对备份服务器的性能造成不良影响,包括服务器的处理能力、加密算法的类型和复杂度以及服务器上其他计算开销等。在选择加密产品之前,要先测试软件在实际负载条件下的运行情况,以确定加密对系统环境的影响程度。一些服务器的性能可以通过主服务器的升级来予以保障。升级处理器对提升性能也会有帮助。
考虑加密目标 由于加密软件一般会纳入备份软件内,所以要选择一款备份软件,能够将加密数据成功地传送到目标存储系统内。用户需要验证该软件所能支持的磁带驱动器、磁带库、虚拟磁带库、磁盘阵列或者其他存储系统。在采购的早期阶段,需要对要采购的加密产品进行相应的综合测试和评估。
限定要加密的数据范围 加密很少对所有内容进行加密,只有非常重要和敏感的备份数据才必须加密。限制加密的范围,比如数据文件类型或数据类型,可以为备份服务器减少额外的工作量,也可以减少对性能的不良影响。例如,现在的备份窗口是12小时,对整个备份加密来说,如果影响达到40%,就会使整个备份窗口再增加4.8小时,这是让人无法接受的。
考虑加密类型和加密强度 LTO-4磁带驱动器使用256位AES加密算法。而软件加密产品则通常提供多种加密方案,包括AES、3-DES和Blowfish。每种加密方案都可以支持几种不同的密钥强度,位数越多,加密强度越大。例如,3-DES使用168位,AES常常采用256位,而Blowfish则多达448位。密钥越长,安全性越好,但也可能对备份软件的性能造成更多不利影响。某些行业提出了加密方法和密钥长度的最低标准,所以要确定软件加密是否可以满足这种最低要求。
考虑对一次性写入媒介的支持 数据的长期归档对存储稳定性有较高要求,还要满足合规性对数据保留的要求,即數据一旦写入,就不得更改和删除。用户在选择软件加密时,要考虑此软件是否支持光驱(如CD-R、DVD-R)、新兴的全息存储介质以及一次性写入的磁带驱动器等。
考虑如何存储和使用密钥 加密数据需要密钥,而解密数据同样也需要密钥。这就涉及到如何存储密钥的问题,目的是让备份和存储管理员可以在进行访问操作时随时获得密钥。在某些情况下,加密和解密数据使用同一个密钥,或者为每次加密、解密分配不同的密钥。在另外一些情况下,又可以根据用户的权限分配一系列的密钥,允许进行解密操作。用户要考虑如何将密钥管理系统纳入到公司的安全管理系统中,同时还要评估其复杂性、成本和效果,以避免将来任何硬件的改变或者灾难的发生对密钥管理系统的影响。