密钥管理——加密超融合基础设施的秘密
发布时间:2019-10-09 10:23

数据中心21

边缘数据中心可以是偏远的零售商店或办公室、石油钻井平台、临时指挥中心,甚至可以是货车承载的移动数据中心。组织寻找能够以合理的价格提供边缘数据中心所需性能的解决方案具有一定的挑战性,但组织的IT部门还必须应对以下事实:这些数据中心的“一线”性质使它们比传统数据中心更容易遭到盗窃和破坏。在这些系统上对存储进行加密是至关重要的,而加密的一个基本部分是密钥管理,在数十个、数百个甚至数千个边缘位置完成这项任务尤其困难。

超融合基础设施(HCI)部署在边缘越来越受欢迎。两节点超融合基础设施(HCI)集群使组织几乎可以在任何地方轻松构建功能强大的小型数据中心。但面临的挑战是,与典型的多节点超融合基础设施(HCI)集群相比,两个节点配置更容易遭受盗窃,并且在大多数情况下,每个节点都拥有所有数据。此外,由于这些是边缘数据中心,因此特别强调保持较小的占用空间,这使其配置的设备更容易受到盗窃的影响。

同时,大多数边缘数据中心用例需要一定的占地空间和对数据的实时访问,因此消除边缘数据中心并远程连接到核心数据中心或公共云中的设备通常是不可行的。边缘数据中心是许多组织所必需的设施,因此,为了保护企业资产,组织必须使用某种形式的加密。

现在的组织如何加密边缘超融合基础设施(HCI)?

如果组织完全对边缘超融合基础设施(HCI)进行加密,则它们通常会使用自加密硬盘驱动器(SED)。问题是自加密硬盘驱动器只有在有人从安装它的服务器上删除驱动器数据时才提供保护。整个超融合基础设施(HCI)节点(在很多情况下都是两个节点)很可能被盗,因为盗窃分子不会花费时间打开设备并卸下硬盘驱动器。如果他们在不移除硬盘驱动器的情况下启动一个或多个节点,则自加密硬盘驱动器不会提供保护。

或者,组织可以选择部署软件加密,该软件加密需要使用密钥来访问那些硬盘驱动器上的数据。虽然首选的方法是使用基于软件的带有外部密钥的加密方法,但该解决方案面临许多挑战。首先,IT部门需要购买和部署软件。大多数加密软件旨在在数据中心内工作,而不是将其部署在数十个或数百个边缘计算的站点中。他们通常缺乏多站点密钥管理,每个站点的费用从7,000美元到20,000美元不等,因此其成本过高。

在边缘数据中心加密数据的更常见选择中不采取任何措施,因为它太昂贵并且购买、实施和支持太复杂。不采取任何措施的问题是,边缘数据中心的数据所处的环境比核心数据中心更容易发生设备被盗的事件。

其结果是,专注于边缘用例的超融合基础设施(HCI)解决方案是解决组织在部署这些边缘数据中心时面临的挑战的理想解决方案,但它们也突出了这些组织需要解决的领域。组织需要超融合基础设施(HCI)边缘解决方案,它不仅优化和简化了数百个远程站点上超融合基础设施(HCI)的部署,还可以管理这些站点之间的加密。

解决边缘数据中心加密难题

边缘计算的基于软件的存储加密是关键,因此,即使超融合基础设施(HCI)集群中的整个节点甚至整个集群被盗,数据也无法访问。密钥管理的加密通过使远程超融合基础设施(HCI)集群与核心数据中心或云中的密钥管理器进行通信来工作。该集中式密钥管理器在必要时向远程站点提供加密密钥。当站点发生故障(例如电源故障、存储问题、服务器重新启动等)时,远程站点将请求现有密钥或请求新密钥。此外,如果有人试图入侵边缘计算设备,IT团队可以更改密钥(重新配置密钥)或取消对集群的身份验证,因此该系统上的数据立即无法读取。

希望实施这种加密策略的组织所面临的挑战是如何管理密钥访问。密钥管理至关重要,因为缺少对密钥的访问权意味着无法访问边缘数据中心,而易于访问则意味着盗窃分子也可以访问它们。

企业密钥管理系统通常在至少两个单独的位置实现和存储密钥,并授予对加密数据的访问权限。如果组织没有两个专用位置,则他们可能希望将公共云用作第二个位置,或者甚至将两个云计算实例当作多个位置。即使是最基本的连接性(LTE)也足以验证身份并提供对本地存储数据的访问。

问题在于密钥管理软件的价格昂贵,而且大多数解决方案都不是为管理数十个或数百个边缘数据中心位置而设计的。

Stormagic为边缘加密超融合基础设施(HCI)

StorMagic公司为企业和中小型企业提供超融合基础设施(HCI)解决方案。该公司的重点关注领域是边缘数据中心,其独特的存储镜像技术和高效的处理器利用率可以减少占地面积,可以运行大多数边缘数据中心应用程序的两节点超融合基础设施(HCI)集群。该解决方案具有成本效益高、可用性强的特点。Stormagic公司还提供了在核心数据中心运行的集中式集群管理功能。

超融合基础设施(HCI)似乎是边缘计算的理想解决方案,因为它将计算、存储和网络打包到一个解决方案中。问题在于,大多数超融合基础设施(HCI)解决方案都要求至少实现三个节点以实现数据冗余。对于大多数边缘数据中心而言,三个节点有些过度配置,这会导致配置挑战以及计算和存储的浪费。

StorMagic可以在两个节点上运行,并在两个节点之间镜像数据。它可以利用核心数据中心作为部署和管理的中心点。核心数据中心的实现还可以充当边缘两节点集群的见证者。该远程见证服务器实现为单个虚拟机,可以在任何硬件上运行,并且可以管理多达1,000个远程站点。

典型的超融合基础设施(HCI)的另一个问题是,它们通常要求客户从超融合基础设施(HCI)供应商处购买服务器硬件。大多数边缘数据中心的部署涉及数十个(甚至不是数百个)位置,因此,为硬件付出高昂的代价使其很难证明超融合基础设施(HCI)投资的合理性。StorMagic几乎可以在任何硬件上运行,并且可以与三个主要的虚拟机管理程序(VMware、Hyper-V和Linux KVM)一起使用。

Stormagic成功地配置了边缘数据中心,这使他们能够与客户进行对话,以帮助他们解决边缘计算的加密问题。StorMagic的解决方案是StorSecure。它的成本效益很高,每个站点只需2,000美元即可获得无限密钥。它也非常灵活,IT团队可以将密钥管理器部署在超融合基础设施(HCI)集群、核心数据中心或云中。虽然将密钥管理器与超融合基础设施(HCI)集群一起安装并不是最理想的方法,因为密钥现在与数据一起存储,但是某些组织的边缘数据中心需要这种级别的站点独立性。在大多数情况下,IT团队会将密钥管理器安装在核心数据中心或云中。

即使是尚未熟悉加密和密钥管理的组织也会发现StorSecure易于实现和操作。该解决方案仅限于软件,不需要特殊的加密硬件或磁盘驱动器。它还擅长于多站点部署。它包括用于备份自身和密钥轮换的策略。IT部门可以选择保护HCI集群中特定的一组卷或所有存储。加密符合FIPS 140-2。

StorSecure在将数据写入磁盘之前先对其进行加密,从而避免了管理程序或操作系统运行特定代理的需求。这也使解决方案不受目标操作系统或管理程序漏洞的攻击。

结论

如果超融合基础设施(HCI)的完整性可以克服两个障碍,则它成为边缘数据中心的理想解决方案。首先,IT团队必须能够以最少的成本和最少的物理占用空间部署超融合基础设施(HCI)解决方案,并且两个节点是理想的。其次,解决方案必须是安全的。边缘数据中心位于一线前沿,其偏远位置使它们容易被盗。采用加密措施是必要的,但它需要具有成本效益又具有可扩展性。

StorMagic提供的解决方案克服了这两个重大障碍。该解决方案只需要两台服务器,包括硬件在内的定价为10,000美元以下。它可以在各种硬件和管理程序上运行。此外,现在有了StorSecure,该解决方案可提供广泛的防盗保护。