觀點

當儲存遇上資安

2010 / 05 / 07
文/ JON OLTSIK 譯/夏客
當儲存遇上資安

正當今年安全問題逐漸明朗,且安全意識也相對高漲之際,ESG (Enterprise Strategy Group)認為儲存社群應該會更加深入探討安全層面,並且到了年底時,一定又會製造出一堆專有名詞與行話,不過,最重要地,莫過於我們可加深對於儲存安全的了解。就資安的時空背景判斷,2006年我們預見「資料儲存」的安全議題終將浮出檯面,並且到最後,儲存安全也會走出屬於自己的道路。

 

趨勢1:智慧型儲存網路漸趨成熟

IP網路裡,內嵌式裝置正大刀闊斧地執行各種類型的儲存服務,諸如3ComCiscoCitrixF5等設備大廠,更是專注於OSI架構當中的四至七層協定產品,並決定朝儲存安全、Content Routing以及應用層處理等方向前進。這股網路旋風多虧有BroadcomCavium NetworksHifn提供廉價的處理器和網路加速晶片。不過Cisco儲存設備在這兒當中,依舊穩居龍頭地位,原因極有可能是它的Catalyst團隊加入MDS研發行列的緣故,其他網路儲存設備商則在後頭追趕。

 

就需求面來看的話,ESG的研究指出,在採用智慧型儲存網路的使用者中,先期導入儲存網路的公司行號,有半數獲利超過十億,這是什麼原因呢?主要因素歸納有三:簡化存放資源的管理、降低公司支出、及改善支援新儲存媒介的能力。這些先驅們其實非常高興能夠採用智慧型儲存網路,而這樣的好處是投資報酬有時會超乎預期。

 

以上是一個相當典型的經濟案例:因為有需求才會有供給。回頭看看那些巨大,聲音隆隆作響的儲存交換器,也難怪新設備和一堆網路儲存相關軟體會在2006年冒出頭來。

 

趨勢2iSCSI鹹魚翻身

雖然一開始喊的震天價響,但iSCSI在過去幾年卻沒有受到太多的注目。雖然如此,iSCSI還是以穩健的步伐持續發展。在ESG的研究中,我們依次地追蹤大大小小企業組織部署的iSCSI裝置,像AlacritechEqualLogicLeftHand NetworksNetwork Appliance (NetApp)Overland Storage,還有Sanrad等企業,都已經悄悄地建立好良好的iSCSI環境。

 

對許多大型企業而言,下個年度也許是「極速網路轉換」的開端。用網路術語講,就是企業將擁有10 gigabit頻寬的網路主幹,並且以gigabit的速度要求部署每一部電腦。當事情實現,我們可以預料,iSCSI的價格將飛快地下滑,遠快過那些限量的光纖通道元件。

 

網路的轉換帶來二項影響:其一,為了驗證這些大手筆買下的設備,CIO們敦促資料存放者利用流量填滿新的網路通道,而投身IP網路架構的儲存業者也將更甚以往。第二,經濟因素也讓眾多用戶考慮採行iSCSI設備,當他們真的能這麼作的時候,欣喜若狂的程度如同ESG實驗室裡頭的傢伙看到iSCSI閃電般的傳輸效能,而且iSCSI並不需要再加掛TOE(TCP Offload Engine)設備。

 

另外,同樣要讚許Linux所作出的貢獻,和下一版Windows作業系統Vista的誕生,這些作業系統都內建支援iSCSI的驅動程式,所以他們引起更多人對於iSCSI的興趣。不過,必須澄清一點,無論如何iSCSI都無法將FC掃地出門,特別是資料儲存中心這一塊。不過,iSCSI的重要性會不斷地升高,成為新型網路和伺服器設備的IT後盾。相較眾多SAN裝置而言,iSCSI絕對夠資格可以勝任儲存任務,而用戶們也將體驗2006iSCSI的「重要世代」!

 

趨勢3:儲存與資安擦出的火花

「失去資料儲存的安全防線,連資訊生命週期管理(ILM,information lifecycle management)這檔事都不用談。」

 

過去美國銀行、花旗銀行還有時代華納所遺失磁帶的例子,對企業來說無疑是一個警訊!根據ESG的研究統計,大約只有7%的儲存用戶會對其備份的資料進行加密,而CIO們更應該警覺到,他們對於這項重大風險的關注實在是太少了。

 

在廠商方面,2005年的確是資訊安全年:在NetApp收購Decru後,踏出資料安全的第一步。NeoScale Systems的安全儲存設備的銷售也跟著起飛,特別是加密資料備份的部份。Kasten Chase也看到隨安全儲存技術與服務而起的風潮,而儲存服務商GlassHouse也引入儲存安全評估計畫。其餘供應商如Hitachi Data SystemsNexsanSpectra Logic也搶搭這班安全防護潮流的列車,不但如此,EMC亦宣告要將儲存安全納入到旗下產品當中。

 

儲存市場的安全市場在來年會更加確立:ANSI T11委員會在2006年的第一季,可能調升Fibre Channel Security ProtocolFC-SP)標準,藉機可看清到底那家廠商會率先推出相容FC-SP標準的產品。另外,期待儲僅早擺脫「儲存安全同等將資料加密」的想法,而是支援syslog記錄檔,角色權限控管(RBAC),以及PKI的方式,達到改善自家產品的目的。

 

特別提醒,別將機會主義和利他主義之間的界限搞混了!雖然,儲存廠商對於是否要增加安全機制,在於利益與產品差異化的層面,但在2006年,用戶方還是希望所有的儲存產品會有更完備的安全選擇。曾有位IT管理人員,對我所熟識的EMC資深人員說這麼一句話,「儲存商輕忽儲存安全已有一段很長的日子,但從今而後,可不能再這麼下去。」

 

尋求安全的資料存放

雖然有一種趨勢不適合列入儲存安全的清單之中,但仍值得我們探討。最為諷剌地是-作安全服務的也要找資料儲存業者,解決2006年資料大量成長所造成的儲存問題。

 

在未知的儲存領域當中,安全問題跨越原先認知上的隔閡。原因是,資安廠商雖然擅長捕捉及整理弱點掃描裝置、記錄檔、或監視器上的眾多安全資料,卻也導致另一種情況,如此類的安全調查是從即時資料到歷史記錄的分析都有-有點像是資料庫的交易資料進到資料倉儲當中般-類似集中存放安全資料的方式,最近已由擅長安全分析軟體的SenSage Inc. EMCCentera提出來了。不過,這只是問題中的冰山一角!

 

資歷較老的儲存商一定記得,在1990年代中期,資料倉儲資料的激增引發儲存容量被塞爆的情事,所以在近十年後,他們也應該了解對於安全資料的處理方式。所以資料儲存部門的長官也該找出一位資安長來協助資料儲存團隊,以應不時之需。此舉不但讓資料儲存團隊受到英雄式的對待,並且協助預測截至2007年可能引爆的儲存管理問題。

 

最後底線

資料增長,智慧型儲存網路,加上網路全面連結的緣故,這些都是形成安全夢魘的拼盤,如果只想為儲存網路架構注入一丁點的安全性,我勸你還是算了吧!在2006年,我們預見階層式的防禦導入儲存網路架構中,而資料儲存團隊也培養出更深一層的安全觀念。不過,這件事意味著什麼呢?資料儲存商必須設想的更為周到,並描繪出可以符合企業安全政策的儲存架構,及資料保護,還有資料控管等相關部份。事實上,資料儲存和資料安全間的那道線早已開始剝落、模糊,不過,今年還真是忙碌的一年呢!

 

Jon Oltsik在Enterprise Strategy Group是一位資深分析師,負責資料儲存與資訊安全領域。