存儲技術大揭曉:設計開發(fā)的你了解多少(二)
安全存儲
SSD和HDD往往支持同一種安全措施。全盤加密是其中一項功能。首次使用自加密驅動器時,訪問該驅動器上的數(shù)據(jù)需要正確的密鑰。
然而,由于密鑰用來加密和解碼驅動器上的信息,因此這不僅僅是門控機制的問題。由于加密的原因,直接繞過安全控制無法實現(xiàn)對數(shù)據(jù)的訪問??尚牌脚_模塊(TPM)一般是混合方案的一個組件,它可以提供安全引導支持。
訪問密鑰一般可提供對用于加密過程的另一個密鑰的訪問。這就允許使用多個訪問密鑰,因此企業(yè)密鑰具有對多個驅動器的訪問,個人密鑰則具有對與其密鑰匹配的驅動器的訪問。這種技術的一個相關功能是驅動器基本上都可以通過破壞加密密鑰來擦除。這種擦除可以通過一個命令來實現(xiàn),而無加密驅動器則通常采用覆蓋方法進行擦除?;谟布娜P加密的優(yōu)勢,是控制器可以處理詳細信息。它們一般與硬件匹配,因此加密過程不會降低數(shù)據(jù)傳輸速率。
新型SAS控制器旨在利用基于硬件的加密。有些SAS控制器不需要硬件加密設備即可提供加密支持。SAS控制器一般支持一個或多個磁盤陣列,一般使用熱插拔更換壞驅動器。由于驅動器被更換或轉移到新的位置,密鑰管理現(xiàn)已成為控制器的一個問題。
遺憾的是,與基于軟件的加密策略相比,全盤加密可能無法實現(xiàn)精細地使用存儲器。安全USB閃存驅動器等一些系統(tǒng)可以將驅動器分成兩個邏輯部分,一個加密部分,一個非加密部分。這兩個部分以兩個驅動器出現(xiàn),因此無需更改操作系統(tǒng)。
一種新的驅動器支持T10保護信息(PI)端到端加密,包括Seagate公司的Constellation 2。這種技術還需要操作系統(tǒng)和應用支持,因為驅動器的扇區(qū)實際上更大。
在這種情況下,應用程序處理加密和解密過程。這意味著,數(shù)據(jù)在離開應用程序之前是安全的,因此研究iSCSI鏈路的通信沒什么作用。
T10 PI還需要匹配的控制器支持,最新的SAS控制器可以提供這種支持。另外,由于復制數(shù)據(jù)可以提供對非加密內容的訪問,因此它還可以對驅動器進行備份。
現(xiàn)在,存儲問題涵蓋的技術五花八門,嵌入式設計人員甚至也需要對這些技術進行考慮。當涉及到網(wǎng)絡時,存儲也不再局限于手頭的設備。
評論