适配器存储适配器上的无源SED指南

随着网络攻击的威胁在数据中心和云计算行业中变得越来越普遍，数据安全的重要性正在迅速增加。数据加密现在是医疗保健、金融和保险行业的安全要求，政府要求对静态数据进行安全和隐私保护。

Microchip的Adaptec®存储适配器提供两种加密功能。第一个是基于控制器的加密 （CBE），第二个是自加密驱动器 （SED） 支持。基于控制器的加密（CBE）是大多数Adaptec RAID适配器上提供的综合加密解决方案，但是如果您当前的系统与支持Adaptec® maxCrypto™ CBE的适配器不兼容，或者您需要HBA加密解决方案，我们现在也提供SY。我们对 SAS 和 SATA 设备的无源 SED 支持现已在大多数 SmartRAID 3100 和 SmartHBA 2100 型号（HBA 模式下）以及固件版本 1100.4 及更高版本的 HBA 11 型号中提供，并将在 3200 日历年第一季度在大多数 SmartRAID 2200 和 SmartHBA 1200 型号（HBA 模式下）和 HBA 2022 型号中提供。

什么是自加密驱动器？

自加密驱动器 （SED） 是一种基于硬件的 HDD 和 SSD 加密方法，可独立于外部加密处理器或操作系统自动加密和解密数据。SED 提供静态数据保护，并减轻主机 CPU 的加密处理，对延迟和 I/O 性能几乎没有影响。

自加密驱动器如何工作？

加密过程是使用唯一的随机数据加密密钥 （DEK） 完成的，驱动器使用该密钥来加密和解密数据。每当数据写入驱动器时，它首先根据 DEK 进行加密。同样，每当从驱动器读取数据时，它首先由同一 DEK 解密，然后再发送到系统的其余部分。这种基于硬件的加密提供了额外的安全性，可防止网络攻击，因为无法从软件级攻击访问密钥。DEK 还非常有用，因为如果 DEK 已泄露并需要更新，或者需要安全擦除数据，在这种情况下可以删除 DEK，则用户可以对其进行管理。除了 DEK 之外，还需要配置身份验证密钥 （AK） 以确保静态数据保护。当驱动器断电时，此 AK 将锁定 SED 的加密数据，从而防止在驱动器数据被盗或内部访问时访问驱动器数据。

Adaptec 适配器上的被动 SED 提供通信和访问任何 SED 设备的完整功能集所需的可信计算组安全协议 （TCG）。在被动 SED 中，适配器支持级别 0 发现标头，以识别它是 SED 设备、TCG 安全协议是企业还是 Opal，以及设备是锁定还是解锁。当 SED 设备连接到 HBA 或 RAID 适配器时，它仅作为 SCSI 目标与操作系统通信。不建议在 RAID 卷中使用 SED。连接后，操作系统使用第三方实用程序，通过 Adaptec 控制器的物理 SCSI 直通接口，使用 TCG 安全协议与 SED 进行通信。Adaptec 的被动 SED 基本代码支持 TCG 安全协议的 SAS 和 SATA 接口版本。

SED 有什么好处？

在考虑购买 SED 时，请考虑以下好处：

SED 对性能速度和延迟的影响可以忽略不计。加密过程是完全集成的，因此不需要其他系统组件介入并执行任何繁重的工作。

除了CBE适配器，SED是金钱可以买到的最强大的安全工具之一。它们独立于操作系统，因此即使黑客攻击计算机，当计算机关闭时，也几乎不可能访问 SED（以及存储在其中的加密密钥）。

使用SED很简单 - 一旦与第三方加密密钥管理软件配对。该软件优化了 SED 的解密和加密功能以及密钥管理，减轻了用户任何主动 SED 管理的负担。

SED 的部署和维护成本低廉。SED 在下线的那一刻进行加密。管理软件完成其余的工作，确保 SED 无需人工干预即可完成工作，从而节省时间和金钱。

结论

如果 Adaptec maxCrypto™ CBE 控制器不是一种选择，但您仍然希望实施强大的保护，防止对您的业务和/或客户数据进行网络攻击，那么 SED 是一个很好的方法。使用 SED 可将安全数据与软件级攻击隔离开来，并最大限度地减少安全协议中的人为错误。

审核编辑：郭婷