目前的廢棄磁碟多以人工處理，也因此難免有所疏失。所以，許多資料中心現在都尋求專業的報廢服務。但不論如何，擱置待處理的磁碟會產生資料流失的風險，而磁碟報廢的過程也同樣危險。資料中心會不停的淘汰磁碟，但只要任何一個磁碟廢棄失當，就會使公司花費數百萬美元來彌補資料暴露的損失。

自動加密磁碟的好處在於，自磁碟離開資料中心的那一刻起，就無需擔心任何人為疏失。就算磁碟真的處置不當，其他人也無法侵犯其內涵的資料，管理人員可以完全放心。

在Seagate公司致力於磁碟加密之前，美國國家安全局（NSA）早在數年前就開始分析資料安全的問題，並確認硬碟是執行加密的最佳地點。因此，NSA在大會上公開聲明支持磁碟加密。

然而，由於害怕解密金鑰的遺失，資料中心管理人員並不偏好使用硬碟加密技術。因為就算他們使用金鑰管理系統進行磁碟加密的經驗豐富，並深信金鑰遺失的情況可以避免，但考量複雜度、相容性、性能及成本等因素，管理人員對硬碟加密技仍然敬而遠之。接下來，本文將探討Seagate Secure的自動加密硬碟技術如何解決上述問題。

自動加密硬碟技術架構

《圖一 自動加密硬碟技術的組成架構》

一個配有自動加密硬碟的資料中心，不僅提供了儲存、管理與驗證的金鑰認證系統，還包含能傳遞金鑰認證給其對應磁碟的儲存系統。目前，Seagate、IBM與LSI正通力合作，發揮各自的技術優勢，共同推出全套的自動加密硬碟解決方案。

自動加密硬碟技術由三個元件組成(圖一)，可執行全磁碟加密。當執行寫入時，資料在寫入磁碟前，便會先使用嵌入磁碟內的加密金鑰進行加密。執行讀取時，磁碟上加密過的資料在退出磁碟前將被解密，圖一中的黑線即代表機密資料。在解鎖進行存取之前，磁碟將要求從外部的儲存系統獲得金鑰認證。

除了傳統的功能外，儲存系統還定義了安全編組，以便從金鑰管理處獲取金鑰認證，並將該金鑰傳遞給正確的磁碟。圖一中的黃線則描述了此一操作流程。加密過程由儲存系統執行，不影響主機、作業系統、資料庫及應用的運作。一旦完成認證，加密作業便與儲存系統無關，儲存系統可以正常執行其傳統功能。而儲存系統經過最佳化後，便可解密資料以進行資料壓縮與重復資料的刪除動作。

任何加密解決方案都會衍生出新的金鑰管理需求，包括軟體或硬體形式的金鑰儲存。而金鑰管理的任務是建立、分配與管理跨企業領域相關的金鑰認證與存取。良好的金鑰管理應符合企業既有的安全策略，這樣金鑰管理服務及金鑰本身才可有效避免未經授權的存取。而且，高效的金鑰管理系統還應包括備份、同步性、生命週期管理、審計及長期保留等功能。充分運用企業現有的高可用性及災難恢復解決方案，便可大幅簡化金鑰管理系統的部署工作。

IBM的Tivoli Key Lifecycle Manager管理系統（以前稱為 Encryption Key Manager）是一款以Java語言撰寫的軟體程式，可以形成、保護、儲存並維護用於IBM自動加密磁帶磁碟的金鑰認證，可在z/OS、i5/OS、AIX、Linux、HP-UX、Sun Solaris與Windows等不同作業系統上運作，而且還可作為一種共用資源，部署在企業內多個位置，以確保該應用程式的高度可用性。憑藉其平台中立性，以及能夠充分運用組織內既有企業伺服器平台安全性的能力，IBM Tivoli Key Lifecycle Manager提供了一種簡單且高效的方法，以管理企業內部不斷激增的金鑰數量。

上述技術不僅符合業界標準，同時也是相容性解決方案的一部分。信賴運算組織 (TCG) 儲存工作小組針對自動加密磁碟開發了一款安全通訊協議。在T10與T13中的支援傳輸命令獲得認可，而IEEE 1619.3正在開發標準的金鑰認證管理協議。所有硬碟廠商與主要的儲存廠商都已加入信賴運算組織，而業界領先的儲存系統廠商與主要管理廠商則是加入IEEE 1619.3。

最終，此項技術將應用在整個資料中心(圖二)。自動加密磁碟可能位於資料中心、各分支機構與小型企業的SAN、NAS與伺服器磁碟陣列上。而統一的金鑰管理服務，將滿足所有儲存形式及其他安全應用的金鑰管理需求。

圖二中綠色背景強調目前經過驗證的可用技術。以IBM用於磁帶加密的金鑰管理為例，該金鑰管理系統已在TS1120加密磁帶磁碟上運行了一年多，最近更被進一步延伸至LTO4 磁帶磁碟的加密支援上。Seagate全磁碟加密（FDE）硬碟現在已被應用在筆記本電腦上，日前更推出應用於桌上型電腦及USB的版本。

接下來，我們將更深入地探討適用於企業磁碟的FDE技術。

《圖二 金鑰管理系統的流程圖示》

硬碟的認證與加密流程

要加密硬碟在無金鑰副本的情況下進行比對解鎖，似乎是強人所難。但若非如此，任何能在硬碟身上找出金鑰副本的駭客，都可以輕鬆地存取資料。事實上，加密硬碟是有可能在不持有金鑰的情況下，完成安全守護的重責大任。我們可透過以下簡單的解鎖流程來說明這一切。

所謂的解鎖過程，是允許使用者啟動加密硬碟的一個程序。硬碟會要求使用者提出憑據，來證明該存取是經過授權的。以下是加密磁碟的驗證過程(圖三)：

認證

解開加密金鑰

金鑰加密與解密

《圖三 加密磁碟的驗證過程》

系統設置

透過自動加密磁碟，加密金鑰與驗證金鑰便可組合使用，以實現更高層次的資訊安全目標。此系統的設置非常簡單，每個磁碟都會隨機產生一個預設的加密金鑰，使用者可以變更這組預設密碼來降低被破解的風險，此舉同樣可避免排山倒海而來的駭客攻擊。

當使用者獲得該磁碟時，預設的加密金鑰是呈現開放模式，直到導入了認證金鑰。該磁碟將持續針對寫入或讀取的所有資料進行加密與解密。但是，若未建立認證金鑰，任何人都可以讀寫磁碟中的資料。

為了將磁碟置於安全狀態，使用者需創建密碼或認證金鑰。使用者可透過輸入磁碟外部標籤上的SID（所有權證明）來建立密碼，並設置認證金鑰或密碼。使用此密碼或認證金鑰能夠將金鑰加密，使磁碟處於安全狀態。一旦磁碟斷電，就會將其鎖定，下次啟動時便會要求進行驗證才能被解鎖。

所有權異動

此技術還大幅簡化了磁碟的用途變更與棄置程序。若使用者希望改變磁碟的用途，例如將磁碟從安全狀態改為非安全狀態，使他人可存取該磁碟，則可執行金鑰刪除動作，以替換金鑰。金鑰刪除後，已寫入磁碟的資料便無法讀取，而磁碟便回到出廠時的不安全狀態。

如果確信磁碟遺失或被盜，則原使用者還可刪除儲存系統中認證金鑰的所有副本，以確保安全。

安全性

磁碟離開資料中心後，隨時有落入不當之人手中的危險。

圖四說明了意圖攻擊資料中心的人，可能透過該磁碟獲得的資訊。他們可能認為，由於加密是在磁碟內執行的，因此認證金鑰的副本必然還留在磁碟上。然而，如上所述，認證金鑰並未保留在磁碟中，該磁碟中僅保留了加密金鑰。磁碟內完全沒有金鑰資訊，只有用作密碼的散列值。在設計磁碟時，Seagate假設攻擊者可能對磁碟的設計及機密資訊的位置瞭若指掌。但由於磁碟上沒有解密的任何線索，因此就算瞭解磁碟設計與結構的複雜細節，對駭客來說也是無濟於事。同樣的，駭客就算破壞了某個磁碟，也不會有利於攻擊其他磁碟。

《圖四　單獨磁碟內已無「認證金鑰」之資料 》

密碼文本的暴露助長了攻擊的動機。舉例來說，若資料系統採用廣為人知的架構，那駭客便可容易地攻擊加密資訊。然而，由於自動加密磁碟不會洩露自身的密碼文本，因此能夠有效地遏止這類攻擊。而且，在認證失敗數次後，磁碟就會自行關閉。磁碟具有硬體防護，攻擊者無法將已修改的硬體插入磁碟中。

不過，自動加密磁碟無法避免來自資料中心內部的威脅。例如，如果攻擊者獲得了存取伺服器的權限，且伺服器可以存取未鎖定的磁碟，則攻擊者就能讀取來自這些磁碟的資訊。此項加密技術不能代替資料中心的權限管理，它只是這些控制功能的輔助技術。

管理功能

由於加密金鑰不會離開磁碟，因此大幅增加了管理的便利性。使用者將不再需要追蹤或管理加密金鑰。由於磁碟上多個位置擁有加密的金鑰副本，所以資料中心管理人員也不需要透過委託第三方保存加密金鑰的方式，來保持資料的可恢復性。但若由於磁碟故障，導致磁碟遺失了所有的副本，那麼將會完全無法讀取磁碟。加密金鑰會隨著資料的備存自動增加，而每次將資料複製到另一個自動加密磁碟上時，該磁碟都會有自己的一套加密金鑰。由於資料中心管理人員不必將加密金鑰交給第三方保存，因此該金鑰在磁碟內也將一直處於加密狀態。

認證與加密金鑰的分開保存，為使用者帶來了極大的管理優勢。由於加密金鑰本身是加密的，且沒有離開過磁碟，因此資料中心管理人員不必定期修改加密金鑰。這意味著不須佔用大量資源，對資料進行解密與重新加密。而認證金鑰亦可隨時更改，不需要重新加密。若儲存管理人員有所異動，也可在不影響加密資料的情況下，調整存取儲存的許可權。

如果所有者在保固期限內將磁碟退還製造商，則可透過執行金鑰認證刪除的動作，讓製造商在不暴露資料的情況下分析磁碟。但若沒有此一加密機制，許多人就會因安全考量而放棄送修硬碟，進而妨礙產品發展與改良的機會。

要將嵌入不同加密演算法的磁碟添加到現有陣列中，其實非常簡單。因為加密演算法與系統無關，資料中心可在同一陣列中採用各種不同的加密演算法。而此系統也可包容採用不同新舊加密技術的磁碟，而不必配合新磁碟進行更改。

加密運算效能

自動加密硬碟採用了以硬體為基礎的加密技術，而該加密引擎內建於控制器 ASIC中，磁碟上的每個連結埠都有一個專門的加密引擎。該加密引擎可相容於每個磁碟連結埠所支援的最高傳輸速率。加密不但不會使系統運行速度變慢，甚至具有可自動擴展的優點。隨著外接磁碟越來越多，加密能力也會相對提高。資料中心在增加磁碟或磁碟陣列時，無需考慮加密運算的負擔。此外，由於資料中心管理人員可在不降低性能的情況下，加密所需的所有資料，因此極少需要進行資料分類。如此一來，就簡化了在資料中心內中規劃與管理加密的流程。

總結

資料中心管理人員有充分的動機加密靜態資料。此項最新技術不僅能夠解決管理人員的上述問題，而且還能化解加密靜態資料時的種種障礙。原因很簡單，因為當使用者從系統中移除磁碟時，裡面的資料絕對安全。磁碟可能被廢棄，但資料卻固若金湯。

加密金鑰不離開磁碟的設計，可以減緩遺失認證金鑰及無法解密的憂心。從現在開始，不必為了恢復資料而追蹤或管理加密金鑰。而在災難恢復中心，則可對金鑰安全地進行備份、複製與拷貝。此外，自動加密硬碟還可解決複雜度、相容性、性能與成本等問題。該技術採用業界標準規格設計，旨在實現最佳的可管理性與互通性，而所有主力硬碟製造商均參與標準制定的過程。硬碟產業的發展歷史，證明了標準的形成有助於促進銷量與競爭，而競爭又會促使成本的降低。同時，規模經濟可確保ASIC中的邏輯零組件繼續維持低價。

此項技術針對標準儲存產品而設計，並可依循產品升級規劃。而該技術保留了對儲存系統中的資料，進行壓縮與重復資料刪除等功能。由於加密金鑰位於磁碟中，且可簡易安全地被刪除，因此透過改變磁碟用途，或歸還磁碟以進行維修、保固或終止租約，使用者更能保持磁碟硬體的價值。自動加密磁碟大幅簡化了磁碟的退役程序，並降低退役與資安的成本。加密程序對一般儲存管理、作業系統、應用程式、資料庫使用者與最終用戶完全透明。加密效能隨硬碟數量自動呈線性擴展，且因為所有資料可在不降低性能的情況下加密，因此幾乎不需要資料分類。

這簡單的技術改變，將大幅提昇全球資料中心的安全。