新興網路儲存設備在臺上市

一探Decru儲存安全設備與SANRAD iSCSI交換器

隨著企業資訊架構日趨複雜和資料量不斷呈倍數成長，衍生的問題也越來越多，「如何保護儲存設備內的重要資料不外流。」「如何更有效運用儲存空間，節省IT支出。」儼然已成為資訊管理中的顯學。最近有不少廠商引進國外知名的新興網路儲存應用設備，有針對企業後端儲存區域網路設計的儲存安全設備，亦有整合網路硬體和儲存管理軟體的智慧型iSCSI儲存網路交換器，這類國內儲存產業尚屬陌生的產品，值得我們一探究竟。

「自己人」是最大威脅

架好防火牆和防毒軟體，也執行過弱點掃描或滲透測試，企業的資訊安全就百分之百得到保障嗎？這麼想可就錯了，根據來自CSI/FBI的調查，企業發生的資料外洩事件中，有50％～80％的是從防火牆內部的廣域網路或區域網路流出去的，真正被駭客利用網際網路攻破，進而竊取資料的比例其實相當低，也就是說，企業資訊安全最大的威脅往往是來自於「自己人」。舉個例子來說，前陣子鬧得滿城風雨的個人資料外洩事件，就是因為不肖的工程師藉職務之便，竊取銀行和電信公司資料庫內大量的客戶名單，進而轉售獲取暴利，事件爆發後不但造成企業財產和信譽的損失，更造成社會大眾的不安。

是什麼原因造成這麼嚴重的資安事件？系統管理者的權限未受適當限制是其中之一，擁有「Administrator」權限的管理者不僅可以管理整個系統，也能夠自由存取系統內的資料，管理者只要心生歹念，企業內部的機密資料就有可能不保。此外，為了有效的管理與備份資料，企業普遍在後端建置儲存區域網路（SAN），然而卻忽略了SAN的資安漏洞，不法使用者可經由WWN Spoofing、Port Address Spoofing等方式截取SAN儲存裝置內的資料。將資料備份到磁帶更是不保險，因為磁帶極有可能因保管不當或在運送過程中遭竊，造成資料外流。另一方面，有不少企業為了降低IT成本，將資訊系統委外或是資料存放在資料中心（IDC），或是為了確保業務不中斷，在遠端建置異地備援設施，如果管理不當，極有可能成為資料外洩的管道。硬體加密保護資料安全

為了解決企業日益嚴重的內部資料外洩問題，最近國內已有廠商引進儲存安全設備，包括精業公司代理的Decru DataFort，以及零壹科技代理的Neoscale CryptoStor。此類型產品的功能簡單的說，是針對企業內部網路的資料流進行加密的動作，以保護重要資料的安全，不同於一般以軟體加解密方式。

以Decru DataFort為例，依照所支援的儲存網路通訊協定不同，共有1U（支援2Gb/s光纖通道）、2U（支援GbE乙太網路）兩種規格。採用目前業界防護等級最高的AES-256位元加密機制，運行方式是和光纖通道/乙太網路交換器串接，透過內建的管理軟體，系統管理者可指定和此交換器連接的磁碟陣列子系統上，哪些存放檔案的磁區（Volume）或目錄/資料夾內的資料需要被加密，或是加密備份到磁帶機/櫃內的資料。經過加密的資料，不管經由哪種手段竊取，若沒有經過原來的硬體解密程序，幾乎不可能讀得到資料，如此一來可將機密資料外流的風險降至最低。角色分離避免逾越權限

為了防範系統管理者權限過高，導致可能的資安漏洞，Decru DataFort採用的是「角色分離」（Role Separation）的作法，將MIS人員工作內容權限畫分清楚。管理Decru DataFort必須透過登入密碼和智慧卡（Smart Card）雙重身分認證，而智慧卡又分為Admin、System和Recovery三種，系統管理員持Admin卡登入系統，雖然可以接觸到資料卻無權讀取資料，需配合另一張System卡的雙重認可才能對資料進行解密，這樣的作法一方面是避免不肖MIS人員盜取資料，換個角度來看也是保護MIS人員的工作權益。

對資料進行加密雖然可以保障資料不被竊取利用，可是不免令人擔憂系統效能會受到影響，精業產品整合業務部主任許宏彬表示，過去企業採用軟體加密的解決方案，的確會產生主機運算與網路流量負荷過重的問題，導致拖慢了整體系統效能，Decru DataFort由於是純硬體加密的解決方案，對系統效能的影響相當有限，經過精業工程師的實際測試，加入Decru DataFort之後，網路流量負載僅增加3％左右，還在可以接受的範圍之內。此外，精業工程師還發現，由於Decru DataFort在替備份到磁帶的資料加密的同時會進行壓縮的動作，備份的速度甚至會比未安裝Decru DataFort時還來得快，算是意外的收獲。

許宏彬也表示，許多歐美先進國家已立法強制規定企業必須符合新的規範以保護客戶資料，並鼓勵業者將資料加密，以降低駭客入侵、資料遭竊的風險，國內由於個人資料外洩的問題日益嚴重，未來立法機關勢必會訂定更嚴謹的法規以保障民眾的權益，Decru DataFort這類針對儲存設備加密的硬體設備，未來勢必有相當大的市場需求。以交換器為中心的iSCSI儲域網路

本刊在上個月份儲存大事報「揭開iSCSI儲存應用的神祕面紗」一文中，曾以微軟的iSCSI解決方案為例，介紹iSCSI的布署方式，這個方案是結合微軟的Windows Storage Server 2003作業平臺、具備大容量的伺服器硬體和FalconStor的WinIPStor儲存管理軟體所構成，在整個IP SAN架構中是屬於iSCSI Target端的儲存虛擬化解決方案，所有儲存管理功能如快照、資料複製等，皆由儲存管理軟體提供。

除了結合儲存管理軟體在Target端儲存伺服器上實作的iSCSI方案之外，還有另外一種以交換器為核心的iSCSI解決方案，將儲存管理軟體具備的儲存虛擬化功能融入交換器的硬體中，能以相當低的成本達到集中化管理儲存資源的目的。不久前由建聯科技引進SANRAD V-Switch iSCSI交換器，即是此一類型產品的代表。

SANRAD V-Switch的功能是扮演IP SAN儲存區域網路的中樞角色，可稱之為iSCSI閘道器，共有入門級的V-Switch 2000和中階的V-Switch 3000兩款。從外觀來看，SANRAD V-Switch在面板上有4至8組不等的GbE網路連接埠，很像是一般常見的硬體防火牆或負載平衡器，功能是負責連接前端的應用伺服器，伺服器端需安裝iSCSI驅動程式（iSCSI Initiator）或iSCSI TOE網路卡，以支援iSCSI儲存區域網路。比較特別的地方在於背板部分，同具備SCSI外接埠和光纖通道連接埠，可以連接各種品牌的外接儲存子系統，如SCSI或光纖通道介面的磁碟陣列、大量容的JBOD硬碟櫃或磁帶機等，透過SANRAD V-Switch的虛擬化功能，這些儲存裝置不需加裝任何軟硬體，即可成為可供伺服器存取運用的iSCSI Target儲存設備。整合實體成單一儲存池

SANRAD V-Switch本身也是一臺智慧型的儲存交換器，內建儲存虛擬化管理軟體，可將所有物理（physical）儲存資源整合成?單一邏輯儲存池（Storage Pool），MIS人員透過圖形化的SANRAD Vintage管理介面，即可統一管理整個邏輯儲存池的磁區設置，分配給前端的應用伺服器使用，管理者無需顧慮與交換器連接的儲存設備是何種廠牌，採用哪種通訊協定等問題，在儲存區域網路的集中化管理下，儲存資源可以更有效的被運用。此外，SANRAD V-Switch還具備線上擴充磁碟區、遠端磁區鏡射與複製、軟體RAID 0/1、iSCSI負載平衡等多項儲存管理功能，幾乎所IP SAN所需的軟硬體要求，只需一臺交換器就可全部搞定。

建聯科技產品經理李柏森表示，相較於建構於伺服器端或Target端的iSCSI儲存管理軟體解決方案，以iSCSI交換器為核心構成的IP SAN更適合中小企業導入，用戶可以將現有的SCSI或光纖介面的儲存設備直接和iSCSI交換器連接，不需添購新的iSCSI Target儲存裝置，亦不必考慮資料移轉的問題，而且成本也比需支付授權費用的儲存管理軟體方案要低，是相當有潛力的產品。文⊙張智鴻