RAID适配器101：Adaptec存储适配器被动SED功能指南

智能存储适配器现针对SAS和SATA设备提供全新的被动SED支持，可为使用中的数据和静态数据提供保护。

随着网络攻击成为数据中心和云计算从业者面临的普遍威胁，数据安全问题愈发受到重视。数据加密已成为医疗保健、金融和保险行业的一项固定安全要求，政府规定，必须为静态数据提供安全和隐私保护。

Microchip的Adaptec存储适配器提供两种加密功能。第一种是基于控制器的加密（CBE），第二种是自加密驱动器（SED）。基于控制器的加密（CBE）是应用于大多数Adaptec RAID适配器的综合性加密解决方案，但如果您当前的系统无法兼容采用maxCryptoCBE加密的Adaptec适配器，或者您需要一种HBA加密解决方案，我们也可以提供SED支持。如今，大多数固件版本为4.11及更高版本的SmartRAID 3100、SmartHBA 2100（HBA模式）和HBA 1100型适配器均已针对SAS和SATA设备提供被动SED支持，到2022日历年的第一季度，大多数SmartRAID 3200、SmartHBA 2200（HBA模式）和HBA 1200型适配器也将提供相应支持。

什么是自加密驱动器？

自加密驱动器（SED）是一种基于硬件的HDD/SSD加密方法，可独立于外部加密处理器或操作系统自动加密和解密数据。SED可为静态数据提供保护，减少主机CPU的加密工作量，并且几乎不会产生延时或影响I/O性能。

自加密驱动器的工作原理

驱动器使用惟一且随机的数据加密密钥（DEK）对数据执行加密和解密过程。每次向驱动器写入数据时，驱动器都会根据DEK来加密数据。同样，每次从驱动器读取数据时，驱动器都会使用相同的DEK解密数据，随后将数据发送到系统的其余部分。这种基于硬件的加密方法能够进一步提高系统抵御网络攻击的能力，因为不法分子将无法通过软件层面的攻击窃取密钥。DEK的另一项优势在于，如果怀疑密钥遭到窃取，用户可根据需要自行更新DEK，也可在需要安全擦除数据时删除DEK。除DEK外，用户还需配置认证密钥（AK）以保护静态数据。一旦驱动器断电，AK便会锁定SED的加密数据，确保不法分子在盗取驱动器或从内部访问驱动器时无法获取其中的数据。

Adaptec适配器上的被动SED可提供相应的可信计算组织（TCG）安全协议，帮助用户进行通信并访问SED设备的完整功能集。配备被动SED的适配器支持0级发现报头，可识别设备是否为SED设备、TCG安全协议是Enterprise协议还是Opal协议，以及设备处于锁定还是解锁状态。当SED设备连接到HBA或RAID适配器时，该设备仅作为SCSI目标与操作系统通信。不建议在RAID卷中使用SED。连接成功后，操作系统可利用第三方实用程序通过Adaptec控制器的物理SCSI直通接口使用TCG安全协议与SED通信。Adaptec的被动SED基本代码支持TCG安全协议的SAS和SATA两种接口版本。

SED有哪些优势？

购买SED时，可以考虑下列优势：

SED对性能、速度和延时的影响可以忽略不计。加密流程已全部集成在系统中，因此无需额外使用其他系统组件或执行任何复杂的操作。

除CBE适配器之外，SED适配器是市面上现有的最强大安全工具之一。这款适配器独立于操作系统，因此即使黑客尝试攻击计算机，也几乎不可能在计算机关机的情况下访问SED（以及其中存储的加密密钥）。

与第三方加密密钥管理软件完成配对后，即可轻松使用SED，操作十分简单。该软件可优化SED的解密和加密功能以及密钥的管理，为用户免除了复杂的SED管理工作。

SED无需投入大量资金进行部署和维护。SED出厂后支持即插即用。在管理软件的辅助下，SED无需人工干预即可完成工作，能够为用户节省时间和成本。

结论

如果您希望有效抵御网络攻击，为您的业务和/或客户数据提供强大的保护，但Adaptec maxCrypto CBE控制器无法满足您的需求，那么SED将是一种理想的解决方案。SED可保护安全数据免受软件层面的攻击，并最大限度地避免安全协议中的人为错误。

审核编辑：郭婷