儲存安全的無痛承諾

儲存的重要性
近來資訊安全看起來似乎引起了整個世界的注意，無論是一般消費者、政府部門或是科技供應商如今都瞭解到，為了達到無所不在的全球通訊，資訊安全是必須付出的代價。

儲存專家和供應商在這一群團體中角色顯得非常尷尬，相較於軟體，儲存設備是屬於資訊科技中較不顯眼的後端設備。保護儲存設備是一項值得的目標，但是使用者真正想要的是資訊保護，而不僅只是保護一堆會旋轉的磁碟和有磁性的媒體而已。市場中居於領導地位的儲存廠商已經注意到這股趨勢並著手擬定以資訊為中心的安全策略，類似資訊生命週期管理(ILM, Information Lifecycle Management)安全概念，目的是根據業務需求的原則針對資料予以分級，保護有價值的資料和增進安全性、隱私性及使用政策的執行，而不去特別關注資訊的實際位置是在哪裡。

資訊生命週期管理安全是很棒的概念，但是要如何發展呢？國際知名研究分析機構ESG(Enterprise Strategy Group)相信業界將會收到來自信賴運算組織(TCG, Trusted Computing Group)的強力推動訊息。

TCG形容自己是業界的一個標準群體，由電腦及設備製造商、軟體供應商和其他在跨多平台及設備安全運算環境推動上有利害關係的團體所組成，TCG較廣為人知的標準規格有PC-based的可信任安全平台模組(TPM, Trusted Platform Module)和TPM軟體堆疊(TSS, TPM Software Stack)，TPM/TSS被內建到晶片、系統和應用程式上，現在許多新推出並內建AMD或Intel處理器的個人電腦和筆記型電腦，以及許多公司，如Acer、Dell、Fujitsu、HP和IBM的系統都可看到其應用。在2006年初，全球大約有5000萬台TPM-based的個人電腦，這些常駐的TPM晶片可以被使用在設備的驗證、流氓軟體偵測和安全認證儲存。


2007年磁碟機發展
一個以信賴為基礎的架構，倚賴的是一連串系統、應用和設備結合形式上及不容竄改的信任關係，就這一點，TCG將會在2007年公佈Storage Work Group的規格，可以被視為是既有TPM的延伸。

Storage Work Group的規格提供了三點主要安全和維運的好處：

1. 在儲存設備和主機之間導入信任關係的概念，藉由彼此身分、認證和相互的信任，將信任環境由TPM延伸至儲存設備，限制誰可以對設備讀取或寫入。

2. 透過儲存設備的特徵使安全控管成為可行的，TCG-enabled的儲存可以使儲存設備處在被信任的狀態，賦予特定的配置或安全特徵。TCG-enabled的儲存為特定的使用者、系統或應用提供儲存保護，並提供對儲存設備上資料加密的控制。

3. 在儲存設備和主機之間建立安全的通訊，安全儲存在上層一般host-to-storage的通訊上透過SCSI(ANSI/INCITS T10)和ATA(ANSI/INCITS T13)的安全延伸，提供session-oriented的安全指令。

在TCG的模式中，儲存可以成為「信任的根基」，儲存設備可以被設定為用來連接其他可信任的個體以及執行安全政策。

就像個人電腦的作法，TCG-enabled的儲存，將安全功能燒錄在設備常駐的安全處理器和韌體上，因此無法被移除或修改。TCG-enabled的儲存設備包含加密引擎而且可以讓不同信任基礎的應用獲得儲存保護，安全服務被特定隔離在儲存功能安全邊界之後的API所呼叫。只有對API有存取和授權的被信任個體，才能看到和使用TCG可信任儲存的功能。

ESG認為儲存供廠商應該主動擁抱TCG-enabled儲存，因為這可以幫他們實現：

? GRANULAR STORAGE的安全配置施行

TCG-enabled儲存為granular、role-based的配置管理和變動控制提供了一個架構，例如儲存設備上個別的儲存功能容器，TCG稱之為服務供應者(SPs, service providers)，被指定的擁有者所安全約束及專門控制。這些SP對那些以憑證為存取控制基礎的儲存資產和功能，採取了嚴格的控制。

? 改善儲存存取控制

為了保護儲存，避免流氓應用程式和系統，管理者使用了分區(zoning)、邏輯硬碟代號指派(LUN masking)和存取控制清單(ACLs)，TCG-enabled儲存使用存取控制的方法，更進一步的註冊和連結觀念，這個程序有助於對應主機到特定的儲存設備和/或儲存設備到特定的主機。TCG-enabled儲存提供granular mapping以及定義能夠分配給使用者、系統和應用的受保護儲存位置。

? 可延展、設備層級的加密

TCG-enabled儲存在設備層級提供了高速加密的內建加密引擎，有助於克服通常加密會遇到的效能和擴展性問題。

? 自動備份

TCG-enabled儲存可以從一個安全的SP(例如：storage sandbox)備份到另一個SP，在這種情況下，SP的擁有者必須有另一個儲存設備的註冊能力，以存取該SP適當的權限，TCG-enabled儲存可以將SP鏡射在一或多個設備上。

TCG-enabled儲存有助於鎖定儲存架構和其中的資料，存取控制是根據在執行期間憑證檢查的驗證信任關係的建立，這些嚴格的控制降低了儲存架構或是具有價值的資料，被蓄意或非故意破壞的可能性。



TCG和資訊生命週期安全
當ILM的概念在2003年被提出後，這個模型缺乏內建安全保護的問題就一直被注意，三年後，ILM已經因安全特徵而被提升，但是在實行上仍然是一個問題，透過下列幾項支援，TCG-enabled儲存將可以克服這些問題：

? 分散式加密和金鑰管理服務

ILM對於關鍵的資料，要求要能夠被複製、驗證、分散和加密，管理數量眾多的複本文件和它們的相關加密維運，也就是說要管理多個、重複的加密系統，一旦加密金鑰遺失，重要的資料也許將無法再被恢復。TCG-enabled儲存藉由將簽章、雜湊、驗證和加密整合到儲存架構中，簡化ILM的金鑰管理，ILM的廠商可以利用儲存設備基本的加密服務來專注於金鑰和政策的管理，而不是在儲存層級的加密服務。

? 完整的日誌記錄

就像加密服務，可信任的儲存將可以支援logging和clocking的功能，適當的架構，ILM廠商可以專注於日誌的匯集和分析，而不只是基本的資料蒐集。

? 有效率的資料刪除操作

當使用者要汰換或移除儲存設備，有許多刪除資料的方法可供選擇－從實體設備破壞到完全符合美國國防部5220-22.M標準程序。然而這些選擇可能不適用於每日的搬移、新增和更動作業。實體破壞指的是徹底毀壞所有可能被使用的資產，而DoD 5220-22.M需要所費不貲的認證和確認。TCG-enabled儲存提供一個更務實和具成本效益的選擇，並且保證可以對加密金鑰完全摧毀。

最終ILM廠商和使用者都可以從TCG-enabled的儲存設備獲得好處，ILM廠商可以藉由在TCG API上建立管理功能和利用TCG的安全系統，加快安全的施行。另一方面，使用者可以減輕各式各樣ILM所引起的彼此間不可避免的溝通問題，因為產品會呼叫相同的API，使用相同的指令和產生相同的device-resident資料結果。



結語
談到安全，儲存產業從原先事不關己的態度到陷入手忙腳亂、一片混亂的情境，在資訊安全的領域中這種情形早已是司空見慣，因為總是一直會有新的問題出現。

而在這無止境的迷霧中，TCG儲存規格或許可以讓人稍稍喘一口氣。藉由將安全和軟體功能加到磁碟機本身，TCG提供了一個可以被儲存管理軟體廠商和使用者善加利用的安全儲存基礎，這個功能超越了安全儲存架構本身，而且可以被延伸成為ILM安全的一部份。