首款加密磁帶機在台上市

昇陽（SUN）在併購StorageTek後，日前發表了合併後的第1款磁帶產品StorageTek T10000，除了原始容量500GB、壓縮後的容量將達到全球最大容量1TB外，更是第一款磁帶機具有加密晶片的產品，這也降低以往因搬運而遺失磁帶，所造成機密資料外洩的風險。

至於為何選擇在磁帶機上做加密晶片，昇陽DMG事業群資深技術顧問梁萬宇說，主要是為了避免企業將磁帶資料做離線備份或異地備援時，因為將磁帶帶離IDC或企業環境，在運送過程中造成磁帶遺失（例如花旗銀行快遞磁帶時遺失）導致機密資料有外洩之虞。此時，若磁帶機本身已具備加密功能，即使磁帶遺失，也無須擔心機密資料曝光。昇陽這款StorageTek T10000的加密功能，屬於硬體加密的一種。

以往磁帶本身不具加密功能，若遇有機密資料就得外求，通常可從資料傳輸的儲存網路和伺服器部分下手。

若企業選擇在儲存網路通道進行加密，多在資料I/O的端口外接一個硬體的加密裝置，例如，先前被儲存公司NetApp併購的儲存加密公司Decru，和儲存加密公司NeoScale都是其中的代表。IBM在今年上半年推出，針對企業光纖通道或SCSI傳輸協定的SAN儲存環境中的磁帶備份，搭配硬體的Decru DataFort進行加密。不過，硬體加密因為介接在網路端口，所有進出的資料都被一視同仁做加密，其中有一些不必要的例如log資料，則會增加加密裝置的負擔。但可以肯定的是，一般而言，硬體加密的效能略優於軟體加密。

除去儲存網路端利用加密硬體做磁帶加密，另外一種方式就是從伺服器著手，通常採用軟體加密方式。臺灣賽門鐵克（Symantec）資深技術顧問陳瑞文表示，Veritas NetBackup的加密軟體是選件，加密程度分成AES－40、56、128和256位元，從用戶端開始的資料就可加密；透過內部網路傳送到伺服器端時，資料已呈現加密狀態，然後透過SCSI或是光纖通道傳輸協定，傳到磁帶做資料備份。

針對磁帶加密，每一種面向都有其優缺點。雖然磁帶機本身具有加密功能，但在企業資料產出流程中，屬於資料後端。便有人質疑，企業機密資料可能在伺服器端或儲存網路端被竊取。梁萬宇說，資料在企業內部或是資料中心有機密資料遭竊，該檢討的是內部以及IDC的管理，而非資料加密與否。

針對伺服器端進行離線儲存的磁帶做加密，透過軟體加密往往會拖垮伺服器效能，甚至達到3成。陳瑞文不諱言軟體加密對於伺服器的運作的確有損耗，但目前軟體加密相較於儲存網路端硬體加密，成本最低，企業用戶也可以針對不同資料選擇不同加密程度，彈性調整加密對伺服器運算效能造成的損耗。

雖然磁帶加密分3種角度，但重點是，企業本身適合哪一種環境進行加密。選到合適的解決方案，在磁帶加密的效率以及企業成本節省上，才有助益。

梁萬宇建議，企業若較小型，需要進行點對點的資料加密，選擇軟體加密是唯一的辦法。至於對於伺服器效能的損耗上，一個運算功能更強的伺服器，或許可以解決部分運算效能不佳的問題。陳瑞文甚至認為，因為軟體本身可以針對企業環境進行最佳化，加密時候伺服器的運算效能，不見得較差。

企業內部需要加密資料非常多，甚至是每個人的資料在傳輸後，都需要加密，在網路端安裝硬體加密的裝置，或採用具有加密功能的磁帶機，讓所有資料進出儲存環境時都已被加密，則是比較有效率的加密方式。文⊙黃彥棻

相關報導：

．Sun磁帶儲存系統將加進加密技術

．昇陽成立新儲存部門 推出磁帶機