中國數據存儲服務平臺

國科微吳冬凌:內外兼修,方可保證數據安全無憂

從全球數據發展情況來看。目前谷歌、微軟、亞馬遜、蘋果以及Facebook是資金投入最大的五家超大規模運營商,在2018年第三季度占整體260億美元市場規模的70%,并將資金主要用于擴展和裝備自己的數據中心。

在國內,阿里巴巴率先進入全球視野,在亞太領域中,阿里和騰訊進入亞太前五,據2018年數據顯示,全球有超過四萬個數據中心,其中99%以上是自有數據中心,以上也在代表著大家對數據的一種看法。

伴隨數據量激增,除了數據容量變化以外,數據的分布和模式也發生了變化,右邊的圖大家可以看到,原來數據放在數據中心是集中的地方,現在從一個中心轉網絡邊緣,這帶來的巨大的挑戰和沖擊導致整個數據產生和發展的模型與布局發生了變化,意味著數據帶來的風險也會逐步提升。

再加上數據必然會落實到某一種存儲介質上,這里援引數據來幫助我們看到目前數據存儲介質是什么樣的狀態,從左邊的圖上我們可以看到目前超過五成的數據放在HDD上,26%放在閃存上。

伴隨著現在數據分布模式的變化,企業應用數據的主體對于數據的分布處理的策略也跟隨著發生變化。現在企業傾向于邊緣和節點,更愿意用HDD部署。我們可以看到數據有非常大的價值,而伴隨數據量增長,也必然會出現數據安全的問題。

2018、2019出現了很多比較著名的安全事件,大家關注互聯網會看到,比如“WannaCry(永恒之藍)”、“Mirai(僵尸網絡,DDos)”、“黑暗力量BlackEnergy”、“震網(基礎設施蠕蟲)”、“火焰”、“心臟滴血”,這些告訴我們什么呢?

現在的信息安全問題是實實在在還有巨大的漏洞,需要不斷優化。比如全球信息安全領導廠商卡巴斯基對黑客組織Equation Group的調查報告顯示,Equation Group通過重新編碼我們硬盤驅動器里邊的部件,帶來的效果是在未知情況下在我們盤上的固件里預埋一個東西在里邊,這樣無論對你的盤做什么格式化刪除等操作,我們都完全無能為力。我們總結具備的特性叫持久化,在你的存儲控制器里邊已經埋入安全性種子。這是帶來所有的數據巨大的威脅。

數據的價值講了很多應用,數據的安全問題我們同樣要去考慮。在這里我們可以看到網絡攻擊常態化伴隨什么問題,發生攻擊的成本越來越低,一個小時只需要五美元,你在網上20美金可以買到很多網絡攻擊操作手段,這帶來的問題網絡的安全和攻擊隨時發生在我們周圍。

而數據泄露的平均成本從2017年的362萬美元上升到2018年386萬美元,2019到392萬美元平均每條失竊記錄的成本從2017的141美元上升為148美元

因此我們說網絡威脅是現在永恒的話題,數據就是資產,現在進一步會看到對數據基礎設施的攻擊,已經形成了一種暴恐的手段,其實已經形成了國家主權的恐嚇。

這并不是我們臆想,而是實實在在發生的事情。回過頭來看,為什么出現那么多攻擊,設計的IT系統不能窮盡所有邏輯組合,利用缺陷挖掘漏洞進行攻擊是網絡安全永遠的命題。

為了應對現在的網絡攻擊,主動免疫的安全目標,為了確保安全計算任務的邏輯不會被篡改和破壞,從而需要正確計算。

做了背景分享,國科微首席安全技術官吳冬凌為大家分享了國科微在數據安全上的想法和工作。首先這里我們舉一個讓大家都很好理解的簡單業務模型,就是我們去上網,在外部瀏覽器去找我們想要的東西,然后數據會落地到落盤,無論是網絡盤還是本地盤都經過這樣一個過程。

回溯整個過程,三個地方將存在被攻擊的點——網絡傳輸中被攻擊,計算過程中被攻擊,數據存取中可能被攻擊。

網絡傳輸攻擊是數據沒有被加密。對用戶環節比較有意思,我們經常舉的一個例子,打印資料時走到打印機面前等打印機工作,發現它沒有響,而隔壁打印機響了,你可能想是我弄錯打印機了,但是也可能你被攻擊了。

國科微處理數據安全上是由內而外,最用心保護數據,方案分成兩個維度。一個內剛,一個外柔。

一個系統化芯片對數據安全,包括存儲加密芯片,存儲可計算芯片,存儲控制芯片,控制器最核心那一塊,存儲加密芯片保證數據傳輸過程中會安全加密,保證數據不會被別人竊取,運行過程中關心的核心業務不會被篡改。

有了芯片其實不夠,芯片是小而專的東西,業務千奇百怪,光有內剛還不行,有一個外柔,外柔是通過我們軟件包裹場景,這樣定義外柔,通過軟件的設計實現滿足業務上的高彈性和業務需要,同時軟件系統會跑到主機上,對主機和操作系統的適配是我們看重的問題。

右邊的圖大家可以看到,這個是很簡單的例子,這是一個服務器,前面可以看到有很多很多2.5寸盤,通過310盤保障數據的安全。第二個中間可以看到我們有加密卡有可信計算卡。

剛才提了我們內剛是芯片,我們現在策略基于芯片的安全構建我們整體安全,從芯片的安全分成幾個大的框架,最下邊基礎的功能包括HASH,對稱加密和非對稱加密、安全存儲等等,把這些東西打包構建我們芯片安全重要的步驟,基于芯片安全我們構建上層應用。

    關于國科微的存儲芯片產品,是GK2301系列芯片。擁有核心的自主知識產權,芯片版圖,源代碼以及信息安全保密建設,通過了嚴苛安全審查。 

還有就是GK2302系列,2019年4月,公司發布國內首款全自主設計固態硬盤控制芯片GK2302,搭載龍芯嵌入式CPU IP核。同時,該芯片通過國內首款獲得國家密碼管理局、中國信息安全測評中心雙重認證。

有了芯片接下來匯報關于軟件干了什么事,從這個圖上可以簡單的看到,我們通過軟件去管理我們下邊所有的這些芯片和芯片附帶的產品,管理的什么事呢?實現芯片和芯片之間鏈路建設,保證所有傳輸的數據安全的,最常見的就是密鑰,所有的空中傳輸一定是被保護的。

同時這個軟件我們也做了X86、飛騰等平臺的適配。安全保護只有雙密算法不夠的,需要有國密國測的認證,才能保證你做的事情滿足了國家安全要求。

通過我們這個軟件對外提供很多功能,簽名的驗簽,標準的算法等,我們是全自主開發,有非常強的能力根據客戶能力做定制,需要的場景安全自毀功能都可以。

最后提一下軟件帶來的好處,可以針對現有存儲系統前端做一些新的優化。這個過程中所有加密過程發生在芯片里面,對于客戶計算CPU沒有損耗,我們叫加密存儲性能無損失。

剛才給大家匯報了芯片和軟件,所以說我們把芯片和軟件合一放在一起,就看到了我們現在D3S高安數據存儲解決方案,解決的典型場景存儲要安全升級要做性能提速,做等保改造上一些工作,都可以選擇我們D3S解決方案。

好處在于在你的升級過程中可以實現有客戶投資利舊。第二既然可以利舊,新建系統也可以的。然后因為我們這個設計是采用無中心化設計,橫向擴展能力非常好,可以提供大規模數據加密保存,提供這樣的能力。最后會有非常強的加密芯片嵌入到系統里面,做這些數據功能的加持。

文章基于速記整理,未經演講人審核,歡迎指正。

未經允許不得轉載:存儲在線 » 國科微吳冬凌:內外兼修,方可保證數據安全無憂
分享到: 更多 (0)
澳客500