本文内容非商业用途可无需授权转载,请务必注明作者及本微信公众号、微博 @唐僧\_huangliang,以便更好地与读者互动。
昨天在网上看到存储圈著名记者Chris Mellor的一篇新闻《Pure Storage overcomes dedupe blocking with end-to-end encryption inflash array》,觉得有点意思。愿意看英文原文的朋友可以访问下面链接,或者看我接着讲均可。
https://blocksandfiles.com/20...
先重删再加密不难,但写入加密数据后如何重删?
许多朋友应该都知道,数据一旦经过加密处理结构会被打乱,无论使用SHA、MD5或者哪种算法,如果再想进行压缩/重复数据删除,传统意义上都很难再有明显的缩减效果。所以在存储设备上如果想同时用,对数据先做缩减再加密是个办法,但这样就无法在数据源端(即服务器主机)进行加密,可以保证存储阵列的盘被拔出后数据无法访问,但在服务器和存储的网络连接上还有数据被截获的可能。
注:用户选择的前提条件是设备在什么环境中运行,以及安全要求是否苛刻。
理想一些的数据类型,压缩/重复数据删除可以获得5:1的数据缩减比,保守一些计算也可以按照平均3:1来考虑。传统磁盘(这里指大容量NL HDD)相对便宜,而全闪存阵列普遍内置数据缩减技术,就是为了达到合适的性价比。如能解决加密数据的物理容量占用问题,看来是个不错的消息。
如上图,使用传统加密技术时Reduction缩减比就是1:1,而经过VTE加密的卷却能获得和未加密卷同样的4.8:1数据缩减效果。下面我们看一下技术原理:
存储端先解密主机数据、重删/压缩,再加密
位于上方的THALES服务器,应该就是运行Vormetric Data Security Manager存放主机密钥的地方。
1、Vormetric文件系统代理安装在一台Linux主机上;
2、主机从Vormetric DataSecurity Manager (DSM)取出加密密钥;
3、FlashArray使用DSM注册为KMIP客户端,并获得主机加密密钥;
4、主机写入加密后的数据到FlashArray;
5、FlashArray先使用主机密钥解密数据,进行缩减处理,然后在写入数据到闪存之前使用FlashArray的密钥重新加密。这个先解密处理引入了一个附加步骤。
6、当主机读取数据时,FlashArray先使用阵列自己的Key来解密数据,然后在发送给主机之前使用主机Key重新再加密数据。在这个集成中数据重加密是一个额外增加的步骤。
这步骤大家肯定一看都懂,确实给我开了个脑洞。但数据读写流程似乎并不简单轻松,其复杂度会影响到性能几乎是一定的,就看用户是否必须要上了。
在这里为了数据安全,如果不想牺牲容量,看来就要舍弃一些性能。这是不是有点像CAP?
最后看一下THALES和Pure Storage一起使用的要求。VORMETRIC DSM可以安装在物理或者虚拟机上;FlashArray的PURITY OS软件版本至少需要5.3,支持iSCSI和FC光纤通道连接;主机系统目前支持RHEL 7.1到7.6的物理机、挂载RDM或者VVOL的VMware虚拟机。也就是说VMFS上的虚拟磁盘不支持,因为主机和存储端需要看到同样的对象和粒度,才能一端加密另一端解密。
小结:透明加密的展望
我简单总结一下,这个能让端到端加密和重删/压缩有效共存的技术,把原理说出来之后感觉应该没有太高的技术门槛,如果其他存储阵列厂商想跟进的话应该不难。
至于加密和密钥管理,这些是安全厂商的强项。其实业内有几家公司同时掌握存储、安全两方面的技术,这时提到Veritas-Symantec可能有点不合适,这2家存储/安全软件公司前两年又拆分了。再比如IBM、HP,至少都曾经拥有不错的软件实力(包括收购安全厂商),具体现况我不太清楚,这方面关注的不多。
还有Dell EMC,如果想实现这个“透明加密”的话,估计很可能会用RSA的技术。有趣的是,本文来源的新闻最早就是在2019 RSA大会上宣布的。这种现象出现在安全领域(气氛通常与开源技术论坛不同),看来国外有些会议还是比较开放的,大家没那么多门户之见:)
参考信息
http://vaughnstewart.com/2019...
推荐阅读
本文转载自企业存储技术微信公众号,[原文链接点这里]。
注:本文只代表作者个人观点,与任何组织机构无关,如有错误和不足之处欢迎在留言中批评指正。 进一步交流技术可以加我的微信/QQ:490834312。
尊重知识,转载时请保留全文,并包括本行及如下二维码。感谢您的阅读和支持!《企业存储技术》微信公众号:HL_Storage,也欢迎关注企业存储技术极术专栏,定期更新。
