從主機到網路儲存設備 硬碟加密層層保護

資料免分析 硬碟自我加密

正由於硬碟的防護如此重要，業界也想方設法從各個面向提出解決方案。硬碟廠商紛紛推出可供資料加密用的硬碟就是為了因應儲存安全的需求。目前包括Seagate與WD均有加密硬碟提供給企業選用。以WD Re硬碟為例，這款硬碟提供自我加密硬碟（Self-Encrypting Drive，SED）選項，一旦選擇啟用後，硬碟便會自動加密所有被寫入的資料，將需要被保護的資料加密成無法讀取的代碼，爾後，使用者必須先通過驗證，才可進行資料存取的動作。由於加密的工作被自動執行，因此使用者也不需針對資料進行分類而可一律予以加密，避免因為資料判斷錯誤或是忘記執行加密動作的可能疏失。

台灣威騰電子亞太區市場行銷部經理羅昌平強調，現今許多資料外洩事件，係因硬碟在運送過程遺失或委外報廢流落至二手市場所致，這些未經保護的硬碟一旦離開資料中心，就會拉高安全風險，WD Re硬碟運用AES 256位元加密引擎，提供Crypto刪除資料能力，同時也支援業界標準指令，包括Sanitize Feature Set和採用Secure Erase Unit（SEU）加密模式位元的Security Feature Set，來確保資料安全。

▲ZENworks Full Disk Encryption具有多項優點，可輕鬆管理企業內部所有加密設備，並且符合政府法令規定。（圖片來源：Novell）

集中派送安裝 加密設備統一管控

另一種硬碟加密方案則可由軟體來實現。雖然加密型硬碟機是以內建專屬晶片執行加密工作，對效能影響不大，但相對也缺乏中央管控機制，萬一使用者忘記驗證金鑰，便無法即時讀取檔案。考量這點，軟體式的加密方案就能彌補硬體式加密的不足，一方面大量部署容易，可集中派送安裝於設備或裝置，另一方面，還能根據企業安全政策，訂定合宜的管控機制。萬一使用者忘記密碼，IT還能透過流程協助使用者完成驗證。

台灣網威總經理黃成弘指出，目前IT市場提供全硬碟加密機制的選擇眾多，不過方式有些差異。例如部份解決方案會把金鑰存放在USB隨身碟中，使用者在讀取資料之前，必須先把隨身碟插上才能使用。但是也有與企業內部的Single Sign-on（單一登入）機制整合的方案，例如ZENworks Full Disk Encryption的作法就是將金鑰與Microsoft Active Directory或Novell eDirectory中的身份認證機制結合，使用者只要登入就能使用。

▲在沒任何加密機制之前，資料儲存是以明碼的狀態傳送並且儲存。在這個典型的架構下，有心人士要竊取企業內部重要的商業機密或是使用者資料，並無難度。 （資料來源：bloombase官網）

▲Bloombase Spitfire StoreSafe決定Strorage上哪些檔案資料需要加密，若需要加密，是使用哪個金鑰及演算法來加密，及允許Host上哪個使用者來解密資料。（資料來源：bloombase官網）

「以USB隨身碟存放金鑰有好處也有壞處，好處是因為USB隨身碟存放在使用者手中，因此萬一NB不小心丟了，也不用擔心資料外洩，但缺點是如果忘了帶或遺失這個隨身碟，硬碟就不能使用，又或者是這台設備是由多人使用，這個隨身碟就要交給不同人來保管。而ZENworks Full Disk Encryption則選擇以帳號來管理，因為帳號對使用者來說最為自然，只要記得帳號與密碼就能解密。」他說。

根據瞭解，Novell ZENworks Full Disk Encryption可以針對Windows個人桌上型電腦、筆記型電腦、Windows伺服器、Linux伺服器、Mac電腦及伺服器等設備內的硬碟進行加密。加密演算法支援AES-256、3DES（或稱為Triple DES）、三重資料加密演算法（Triple Data Encryption Algorithm，TDEA）以及Blowfish，基本指定為AES-256。其加密機制是以磁區為基礎（Sector-based），能針對任何2.5吋或3.5吋的IDE或SATA硬碟進行整個硬碟或是Volume的加密。另外，這套軟體也可以支援硬體式的磁碟加密，如果企業有採購具加密功能的硬碟的話（目前僅支援希捷加密硬碟），這套軟體可以觸發使用硬碟本身的加密機制而不採用軟體式加密。

萬一使用者忘了密碼，ZENworks Full Disk Encryption也比照Single Sign-on作法，可協助使用者通過驗證。另外，透過中央管控介面，企業也可依需求制定政策，例如只要Login三次之後就強制鎖住，並且一定要求救。針對行動工作者，還可以設定是否一離開公司網路就不能作業，還是允許員工離網作業。如果允許員工在家辦公，這時就要把加密的政策留在Local端，讓使用者可以在本地Login到Windows作業系統。