儲存加密器－NeoScale CryptoStor FC

NeoScale CryptoStor FC是一套用於光纖儲存環境的資料加密系統，可為存放到儲存網路中的資料提供線速（wire-speed）的資料加密，具備3DES、AES加密機制與SHA-1/-512演算法。系統提供2個2Gb FC埠與1個管理用的Ethernet埠，並有網頁式圖形介面、命令列與LCD控制面版等3種管理方式。

從源頭確保資料安全的儲存加密
隨著資訊技術的發展，資訊系統也承擔了越來越重要的任務，隨之而來資訊系統所產出的資料外洩，造成的危害也日趨增加，近年來層出不窮的各類資料外洩新聞，無不顯示確保資料不被非授權讀取已是當前的重要問題。

傳統的因應解決方式是透過建立防火牆來防止外界的非法存取，但防火牆仍有因漏洞而遭滲透的可能，而且也無法因應來自防火牆內部的攻擊，更不能顧及存放在磁帶等移動媒體上的資料。因此最終還是要依賴最基本的加密措施，從資料產出的源頭開始，直接在資料寫入儲存媒體時加密，才是確保資料安全的根本。只要對伺服器輸出到儲存媒體中的資料加密，即使防火牆出現問題，則資料本身至少還有加密提供的保障。而對利用DES、AES等加密技術的現代企業級加密產品加密後的資料來說，一般非國家級組織的惡意人士也沒那麼容易就能破解。

不影響系統效能的硬體式加密
企業級資料加密產品有軟體與硬體兩大類，許多備份軟體都有內建加密的功能選項，可將從Client端到備份伺服器以及備份伺服器輸出到備份媒體的資料進行加密。不過這些內建加密功能通常只能提供初級的加密，如40位元或56位元的DES，某些產品還能提供更進階的選購功能，如Symantec NetBackup 6.0的NetBackup Encryption就能提供128位元或256位元的Open SSL加密。

軟體式加密的優點是使用方便，只要安裝軟體，開啟選項即能自動執行。但缺點是加密運算將會增加系統負擔，拖累效能，而且密鑰檔的保管也相當麻煩，一但密鑰檔損毀，則還原資料就會遇到許多困難。這時候硬體加密裝置就成為另一種選擇。

硬體加密裝置可透過獨立的硬體來進行加密運算，不會拖累系統效能。另外密鑰管理也是透過獨立硬體進行，不會受到前端伺服器損毀的影響，當然反過來說硬體加密裝置也有價格較高以及需佈建裝置的麻煩。

簡便的安裝與管理
NeoScale的CryptoStor FC就是一套典型的硬體式加密器，可搭配光纖儲存環境使用。其加密安全機制與其他加密產品相似，可支援3DES與256位元的AES加密。系統的安裝相當簡單且有彈性，只要將其接在主機與磁碟陣列之間即可，可連接在FC Switch的前端或後端。前端指的是在Switch與主機之間，後端指的是在Switch與儲存裝置之間，如此CryptoStor FC就會對通過的資料流自動加密。

CryptoStor FC具備2個FC埠，在透通的inline環境下可提供gigabit的流量，另外還有管理用的Ethernet埠與序列埠各一個，可讓使用者通過瀏覽器登入的網頁式圖形介面或文字命令列方式進行管理，比較特別的是產品正前方還有1組可供設定與檢視系統用的LCD控制面版。

管理可分為系統管理者（administrator）與安全官（Security Officer）兩個層級，系統管理者只能監控檢視系統自身的狀態，如設定管理的IP位址、檢視Log檔等；而安全官則可進一步進行安全政策的設定，如設定不同使用帳號的安全層級，或是依WWN、Volume或SCSI Command區隔前端不同主機送來的資料流，分別予以不同的加密層級等。

CryptoStor FC的管理可分系統管理者與安全官兩個層級，只有在畫面中顯示的安全官介面下才能進行安全政策設定與管理，如對前端不同主機不同磁碟區設定不同安全層級等，而系統管理者介面則只能設定與檢視系統的基本狀態。

不過由於CryptoStor FC只有2個2Gb的FC埠，分別用於連接前後端，如果接在Switch後端時，則CryptoStor FC有限的頻寬將會形成效能瓶頸，無論FC Switch原有的頻寬如何，經過CryptoStor FC後的頻寬都只剩下2Gb。因此用戶若欲將其整合在SAN環境時，需特別注意頻寬分配的問題，必要時可能必須同時建置多套CryptoStor FC並聯使用，以免因CryptoStor FC而影響SAN的效能。文⊙張明德