Mã hóa và quản lý khóa trong mạng SAN


Phần 1:

SAN (Storage area network) là một mạng lưu trữ tốc độ cao dùng cho việc truyền dữ liệu giữa các máy chủ tham gia vào hệ thống lưu trữ, cũng như giữa các hệ thống lưu trữ với nhau. Giải pháp đề xuất đối với vấn đề bảo mật SAN dựa trên việc sử dụng thiết bị bảo mật phần cứng (Hardware Security Appliance – HSA) như một giải pháp bổ sung nhằm tăng cường các mô đun bảo mật phần cứng (Hardware security module – HSM) truyền thống trong vấn đề kiểm soát cách sử dụng khóa và cung cấp môi trường an toàn cho các chức năng mã hóa.

Phần I của bài viết dưới đây sẽ giới thiệu cách thức sử dụng HSA trong môi trường lưu trữ có bảo mật; cách xây dựng mô hình bảo mật SAN với các điểm kiểm soát mã hóa trên cơ sở xây dựng các bộ điều hợp bus máy chủ có bảo mật và dịch vụ quản lý khóa trên nền HSA.

GIỚI THIỆU

SAN là một mạng lưu trữ tốc độ cao dùng cho việc truyền dữ liệu giữa các máy chủ tham gia vào hệ thống lưu trữ cũng như giữa các hệ thống lưu trữ với nhau. Với công nghệ cáp quang SAN cung cấp khả năng mở rộng, hiệu năng và tính sẵn sàng cao. Đối với vấn đề bảo mật SAN đòi hỏi các yêu cầu khắt khe trong việc thực thi cả về nền tảng công nghệ ứng dụng lẫn giải pháp mã hóa, trao đổi khóa. Xu hướng kết hợp việc sử dụng các hệ thống quản lý thuê ngoài và lưu trữ dữ liệu trong các trung tâm lưu trữ của bên thứ ba làm gia tăng nhu cầu bảo vệ dữ liệu chống lại các cuộc tấn công cũng như rò rỉ dữ liệu thông tin cả ở bên trong và bên ngoài trong các mạng lưu trữ SAN.

Mới đây, nhóm nghiên cứu gồm Adrian Baldwin và Simon Shiu từ phòng thí nghiệm Hewlett Packard, tại Bristol, Vương quốc Anh đã công bố giải pháp mã hóa và trao đổi khóa trong hệ thống mạng lưu trữ SAN.

Thông thường bảo mật mức cấu trúc [3, 11] được sử dụng để phân chia đĩa thành các vùng (Zone) và sau đó dựa vào cấu trúc chuyển mạch SAN để phân tách các vùng này. Điều này có thể được thực hiện bằng cách sử dụng phân vùng mềm (dựa trên tên máy chủ) hoặc phân vùng cứng trong các thiết bị chuyển mạch.

Các kỹ thuật bảo mật dựa trên sự phân tách dữ liệu ở cấp thiết bị có khả năng ngăn chặn truy cập trái phép vào dữ liệu. Ba vấn đề chính còn tồn tại trong hệ thống là: Thứ nhất, các quản trị viên có thể cấu hình lại hệ thống SAN để kẻ nội gián nguy hiểm có thể thêm một máy phụ có quyền truy cập dữ liệu trái phép. Thứ hai, dữ liệu không được mã qua đường truyền cáp quang giữa các hệ thống lưu trữ và máy chủ, điều này mở ra khả năng thất thoát hoặc làm sai lệch dữ liệu. Cuối cùng hệ thống lưu trữ trong trung tâm dữ liệu và trên các bản sao lưu có liên quan không được mã hóa. Do đó không kiểm soát được khả năng rò rỉ.

Bài viết này tìm hiểu giải pháp để thắt chặt bảo mật trong hệ thống SAN trên cơ sở xây dựng cách thức mã hóa và sơ đồ quản lý khóa hiệu quả. Đồng thời sử dụng HSA nhằm bảo vệ khóa và lưu các quy trình kiểm soát việc sử dụng khóa trên cơ sở thực thi các chính sách tương ứng [8]. Đảm bảo các dịch vụ chính thực thi trong phần cứng an toàn.

MÃ HÓA DỮ LIỆU

Một trong những vấn đề quan trọng nhất trong bảo mật cho mạng SAN là việc tách quyền truy cập vào đĩa hoặc đơn vị logic và do đó tách biệt quyền truy cập vào dữ liệu. Các giải pháp sử dụng mặt nạ phân vùng hoặc mặt nạ LUN có thể ngăn chặn rò rỉ dữ liệu giữa các máy nhưng điều này không ngăn các quản trị viên cấu hình lại các hệ thống để có quyền truy cập vào dữ liệu cũng như không cung cấp khả năng bảo mật khi dữ liệu được truyền qua cơ sở hạ tầng SAN. Do đó cần mã hóa dữ liệu tại bộ điều hợp bus chủ (HBA), trên toàn bộ kết nối của mạng SAN và trên các thiết bị lưu trữ. Mã hóa có thể giúp ngăn chặn việc việc rò rỉ ngẫu nhiên hoặc cố ý tại nơi có được quyền truy cập dữ liệu và trên đường truyền.

Sẽ là chưa đủ cơ sở để nói rằng dữ liệu được bảo mật bởi vì khi nó được mã hóa cần đảm bảo rằng các byte được mã hóa không thể đọc được và quan trọng hơn là việc các khóa để giải mã chỉ có thể truy cập được trong một bối cảnh được ủy quyền. Do đó, bài viết này chủ yếu tập trung vào việc quản lý an toàn việc phân phối và sử dụng các khóa mã hóa cho HBA. Phần sau đây mô tả cách tiếp cận chung về sử dụng HSA để bảo đảm quyền truy cập vào các phần dữ liệu.

THIẾT BỊ BẢO MẬT PHẦN CỨNG

Bảo mật SAN bị ảnh hưởng bởi hệ thống quản lý, hệ thống chuyển mạch (bao gồm phần mềm chuyển đổi) và phần mềm cấu hình để tạo các mặt nạ phân vùng hoặc mặt nạ LUN. Phần dễ bị tổn thương nhất có lẽ là hệ thống quản lý và các hệ thống cho phép truy cập vào các cổng quản lý của thiết bị chuyển mạch. Nội dung dưới đây chỉ đề cập tới việc sử dụng các HSA như một cơ sở tính toán đáng tin cậy, tức là nó cung cấp một môi trường an toàn để chạy các phần chính của ứng dụng quản lý – trong trường hợp này là quản lý khóa và thực thi chính sách.

HSM có thể được sử dụng để bảo vệ các khóa khỏi tiếp xúc với hệ thống bên ngoài, bảo vệ việc tạo, lưu trữ và sử dụng của chúng – tuy nhiên HSM thường thực hiện các hoạt động mã hóa [7] thay vì bảo đảm việc sử dụng các khóa. Việc sử dụng bổ sung hệ thống HSA có thể đảm bảo việc quản lý các khóa và mã hóa trong một số ứng dụng liên quan đến lưu trữ và quản lý được kiểm soát chặt chẽ hơn.

HSA có thể được coi là một bộ đồng xử lý an toàn có chứa bộ xử lý chung, bộ nhớ và đồng hồ clock; với chức năng mã hóa. Khóa, các tham số bí mật và vai trò của chúng trong ứng dụng được bảo vệ một cách chủ động bằng giải pháp vật lý. Smith và cộng sự [9] đã mô tả một số công trình [6, 10] liên quan đến việc sử dụng bộ đồng xử lý bảo mật để chạy các ứng dụng.

Mã hóa và quản lý khóa trong mạng SAN (Phần 1)
Hình 1. HSA bảo mật cho ứng dụng điển hình

HSA cung cấp một nền tảng platform mà trên đó có thể chạy một dịch vụ (hoặc thành phần ứng dụng. Nền tảng lý tưởng nhất phải đơn giản nhất có thể để giảm khả năng xảy ra lỗi và rò rỉ cấu hình; thiết kế phần cứng sẽ sử dụng các bộ xử lý mật mã giải mã các khóa trong các thanh ghi. Các dịch vụ (hoặc các thành phần) sau đó có thể được tải dựa vào các platform.

Một cách khái quát cách HSA có thể được sử dụng để gia tăng bảo mật được thể hiện trong Hình 1.

HSA trong môi trường lưu trữ dữ liệu có bảo mật

Ban đầu phương pháp này được thúc đẩy nhằm giải quyết vấn đề làm thế nào để sử dụng dịch vụ lưu trữ và quản lý tài liệu của bên thứ ba một cách tin cậy [1,2]. HSA được đề xuất sử dụng để cố gắng giảm thiểu sự phụ thuộc vào hoạt động của bên thứ ba và giảm thiểu rủi ro dữ liệu vô tình bị tiết lộ hoặc quản trị viên sẽ có thể truy cập dữ liệu. Để đảm bảo tính bảo mật, mỗi tài liệu đều được mã hóa.

Thông thường HSM được sử dụng để đảm bảo rằng các khóa sử dụng được giữ bí mật và các quy trình giải mã được thực thi an toàn. Tuy nhiên, việc tìm kiếm và nạp chính sách truy cập phù hợp, phân tích cú pháp và thực thi chính sách sẽ được thực hiện trong quy trình của một máy chủ chạy HĐH thông thường. Ngay cả với một cơ sở hạ tầng được thiết kế cẩn thận, quá trình này dễ bị tấn công từ mạng hoặc quản trị viên có ý đồ xấu.

Dịch vụ đóng gói khóa mã cùng với chính sách thực thi (dịch vụ ESKAPE sử dụng khóa riêng trong HSA để liên kết chính sách truy cập (được chỉ định bởi người lưu trữ tài liệu) với tài liệu tương ứng. Điều này cho phép HSA sau đó xác minh ràng buộc mà không giữ bất kỳ trạng thái nào về tài liệu hoặc chính sách. Để giữ cho phần cứng HSA đơn giản, việc giảm thiểu trạng thái dịch vụ là một yêu cầu quan trọng cần được xem xét.

Mã hóa và quản lý khóa trong mạng SAN (Phần 1)
Hình 2. Mã hóa dữ liệu với dịch vụ ESKAPE.

Hình 2 cho thấy giao thức cơ bản để mã hóa tài liệu. chính sách truy cập (Access Policy) và tài liệu (Document) khi được xử lý, dịch vụ ESKAPE sẽ liên kết chúng bằng cách ký một hàm băm của cả hai và trả lại tài liệu đã xử lý (Document Eveloped). Người dùng muốn thêm một tài liệu vào hệ thống lưu trữ sẽ mã hóa nó cùng với một thỏa thuận lưu trữ bằng cách sử dụng khóa chung của dịch vụ ESKAPE. Sau đó, dịch vụ ESKAPE sẽ trích xuất thỏa thuận lưu trữ và chính sách truy cập, liên kết chúng với tài liệu được mã hóa lại và đóng gói để quản lý trong dịch vụ lưu trữ.

Mã hóa và quản lý khóa trong mạng SAN (Phần 1)
Hình 3. Giải mã dữ liệu với dịch vụ ESKAPE

Sau khi được mã hóa, cách duy nhất để giải mã tài liệu là đưa nó cùng với thông tin đăng nhập của người yêu cầu quay lại dịch vụ ESKAPE và đảm bảo các điều kiện chính sách được đáp ứng (Hình 3).

Dịch vụ ESKAPE và các tham số bí mật của nó có thể được tải một cách an toàn bởi bên thứ 3 độc lập với nhà cung cấp dịch vụ lưu trữ và một khi điều này được thực hiện, ngay cả quản trị viên của dịch vụ lưu trữ cũng không thể chỉnh sửa chính sách hoặc truy cập vào khóa hay dữ liệu.

QUẢN LÝ KHÓA TRONG MÔI TRƯỜNG SAN

Dịch vụ ESKAPE kết hợp quản lý khóa với các quy trình mã hóa và giải mã, điều này phù hợp khi không đòi hỏi cao về tốc độ xử lý; tuy nhiên đối với mạng SAN tốc độ là một vấn đề quan trọng.

Hiệu suất thực thi được tối ưu khi việc mã hóa và giải mã được thực thi tại HBA. Trong khi đó việc quản lý các khóa, quản lý quyền truy cập vào dữ liệu, có thể được thực thi (tách rời các máy chủ, thiết bị chuyển mạch và dữ liệu tại điểm thực thi (điểm quản lý), là một cổng thông tin lý tưởng để thay đổi chính sách và kiểm tra chặt chẽ các yêu cầu. Hình 2 cho thấy hệ thống SAN được tăng cường bằng HSA (được vẽ dưới dạng khóa móc). Các HBA đã được sửa đổi để thêm vào thành phần đáng tin cậy hoạt động như một HSA mã hóa, sự kết hợp này cung cấp một HBA được bảo mật (SHBA). HSA này thực hiện xử lý mã hóa và giải mã dữ liệu được đọc và ghi vào SAN. Các khóa được điều khiển và tải xuống từ dịch vụ quản lý khóa. Dịch vụ quản lý khóa này cũng chạy trong HSA và cung cấp một điểm thực thi mạnh mẽ để quản lý quyền truy cập vào dữ liệu thông qua việc kiểm soát quyền truy cập vào các khóa mã hóa cơ sở.

Mã hóa và quản lý khóa trong mạng SAN (Phần 1)
Hình 4. Hệ thống SAN với các điểm kiểm soát mã hóa bổ sung

Các khóa mã hóa được tạo và quản lý bởi dịch vụ quản lý khóa. Dịch vụ này được định cấu hình với một tập hợp các chính sách kiểm soát SHBA nào sẽ nhận được khóa nào và chính sách truy cập nào. Dịch vụ phân phối các khóa an toàn cho các SHBA khác nhau. Các SHBA sẽ thực thi chính sách đọc và ghi một cách thích hợp bằng cách sử dụng khóa tương ứng.

Mã hóa các miền dữ liệu khác nhau bằng các khóa riêng biệt sẽ tạo ra một số dạng phân tách dữ liệu miễn là các khóa mã hóa được kiểm soát chặt chẽ. Sử dụng HSA để quản lý và sử dụng các khóa đảm bảo khóa không bao giờ nằm trong phần không được bảo vệ của hệ thống và không bị rò rỉ dù ở dạng vật lý hay logic.

Thiết bị HSA trong hệ thống quản lý khóa

Hệ thống quản lý khóa đã được mô tả chứa hai loại thiết bị bảo mật phần cứng, mỗi loại có chức năng rất khác nhau:

Thiết bị quản lý khóa HSA Key Manager

HSA Key Manager là yếu tố chính đảm bảo rằng các khóa mã hóa được bảo mật và chỉ tồn tại trong một môi trường được bảo mật. Phần lớn dịch vụ quản lý khóa chạy trên một HSA được đặt hoặc liên kết với máy chủ kiểm soát thông tin liên lạc và cung cấp khả năng lưu trữ và ghi nhật ký. Vai trò chính của trình quản lý khóa là liên kết chặt chẽ việc quản lý các khóa mã hóa với các chính sách chỉ định hệ thống nào có thể truy cập khóa.

Thiết bị HSA có ID được cung cấp bởi nhà sản xuất xác định tên, loại thiết bị, các đặc tính bảo mật và đơn vị sản xuất nó. Dịch vụ quản lý khóa sau đó được tải xuống và xác thực dựa trên ID của thiết bị phần cứng gốc. Thiết bị có chương trình cho phép tải đơn giản thay vì một hệ điều hành phức tạp chứa lỗi và lỗ hổng. Điều này đảm bảo dịch vụ quản lý khóa chạy trong một môi trường một môi trường đơn giản, được bảo vệ. HSA đảm bảo không chỉ các khóa được bảo vệ mà còn liên kết quyền truy cập vào các khóa đó với các thông điệp kiểm soát và thực thi chính sách.

Bộ điều hợp bus máy chủ bảo mật (SHBA): là một HBA tiêu chuẩn chứa một thành phần đáng tin cậy mà tất cả dữ liệu được định tuyến đều qua nó. Thành phần đáng tin cậy này cần phải có khả năng mã hóa nhanh đảm bảo thông lượng dữ liệu cao cũng như tạo khóa và lưu trữ khóa. Thiết bị này được thiết kế chuyên dụng có dạng chip bảo mật tương tự như thiết bị TCPA [5].

KẾT LUẬN

Bài viết này đề xuất việc sử dụng các thiết bị bảo mật phần cứng HSA đảm bảo bảo mật cho các khóa mã và việc thực thi chức năng mã hóa của HSM trên cơ sở kiểm soát việc sử dụng khóa. Việc quản lý khóa một cách an toàn, kiểm soát các chính sách phân phối và sử dụng khóa được thực thi trên cơ sở sử dụng các thiết bị bảo mật phần cứng HSA có thể áp dụng một cách hiệu quả trong các hệ thống lưu trữ SAN.

TÀI LIỆU THAM KHẢO

[1]. A.Baldwin, Y.Beres, M.Casassa Mont, and S.Shiu Trust Services: A trust infrastructure for e-commerce. HP Labs TR HPL-2001-198 http://www.hpl.hp.com/techreports/2001/HPL-2001- 198.html (2001).

[2]. A. Baldwin, S.Shiu, M Casassa Mont Trust Services: A framework for service-based solutions in proceedings of the 26th IEEE computer software and applications conference (COMPSAC) (2002).

[3]. DataLink Storage Area Networks, Data Security and Fabric Management. DataLink White Paper http://www.storagesearch.com/datalink-sansecurity- art-1.pdf (2002).

[4]. Fips Security Requirements for cryptographic modules. Fips 140-2 2001.

[5]. S. Pearson, B. Balacheff, L. Chen, D. Plaquin and G. Proudler. Trusted Computing Platforms: TCPA technology in comtext. HP Books, Prentice Hall (2002).

[6]. A. Perrig, S.Smith, D. Song, J. D. Tygar SAM: A Flexible and Secure Auction Architecture Using Trusted Hardware.citeseer.nj.nec.com/458931.html.

[7]. Rsa Labs PKCS#11 Cryptographic Token Interface Standard (2001)ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-11/v211/pkcs- 11v2-11r1.pdf.

[8]. M. Sloman, J. Lobo, E.C. Lupu (eds) Policies for Distributed Systems and Networks. Proceedings of the 2nd International Policy Workshop. Lecture notes in computer science Vol 1995 Springer Verlag 2001.

[9]. S.W. Smith, R. Perez, S. Weingart, V. Austel. Validating a High-Performance, Programmable Secure Coprocessor. Proceedings, 22nd National Information Systems Security Conference. October (1999).

[10]. S.W. Smith and D. Safford. Practical Private information retrieval with secure coprocessors. IBM Research T.J. Watson Research Center (2000).

[11]. H. Yoshida LUN Security Considerations for Storage Area Networks. Hitachi Data Systems.

Phần 2:

Xu hướng ứng dụng và phát triển các mạng lưu trữ dung lượng lớn tốc độ cao SAN là một trong những xu hướng phát triển mang tính phổ cập trong nền tảng công nghệ số cả trên thế giới và trong nước. Xu hướng này sẽ ngày càng trở nên cấp thiết trong sự phát triển của các nền tảng công nghệ mới như BigData, IoT, 5G, AI…. khi mà nhu cầu lưu trữ phục vụ xử lý ngày càng đòi hỏi cao hơn về dung lượng và tốc độ xử lý. Bên cạnh đó việc giải quyết các vấn đề liên quan đến bài toán bảo mật cho hệ thống lưu trữ trữ dung lượng lớn tốc độ cao là một nhu cầu thực tiễn đã và đang được đặt ra trong thực tế.

Nhóm nghiên cứu gồm Adrian Baldwin và Simon Shiu từ phòng thí nghiệm Hewlett Packard, tại Bristol, Vương quốc Anh đã công bố giải pháp mã hóa và trao đổi khóa trong hệ thống mạng lưu trữ SAN. Giải pháp đề xuất dựa trên việc sử dụng thiết bị bảo mật phần cứng (HSA) nhằm tăng cường các HSM truyền thống như một giải pháp bổ sung để kiểm soát cách sử dụng khóa thay vì chỉ cung cấp môi trường an toàn cho các chức năng mã hóa.

1. Giới thiệu

Trong Phần I của bài báo, nhóm tác giả đã mô tả giải pháp quản lý khóa dựa trên hệ thống các thiết bị phần cứng có bảo mật HSA: tập trung tìm hiểu cách thức sử dụng HSA trong môi trường lưu trữ có bảo mật; các xây dựng mô hình mạng lưu trữ SAN có bảo mật với các điểm kiểm soát mã hóa bổ sung trong đó trọng tâm là cơ chế tích hợp hệ thống HSA trong các bộ điều hợp bus máy chủ và cách thức xây dựng dịch vụ quản lý khóa trên nền HAS. Phần II của bài báo sẽ tập trung mô tả chi tiết quá trình mã hóa, quản lý khóa (các dịch vụ quản lý khóa cơ bản, và các dịch vụ quản lý dử dụng PKI).

2. Quản lý khóa trong môi trường SAN

2.1. Mã hóa

Bảo mật SAN thường phân đoạn dữ liệu ở mức độ thô. Lược đồ mã hóa được mô tả dưới đây sử dụng các khóa khác nhau cho mỗi khối đĩa dựa trên một khóa bí mật chung cho một phân đoạn thô như LUN hoặc Zone. Việc phân đoạn dữ liệu, tạo các khóa phân đoạn tương ứng có thể phụ thuộc vào cơ chế đánh địa chỉ.

Các khóa mã hóa được sử dụng không phải là khóa phiên và dữ liệu được mã hóa có khả năng vẫn còn trên đĩa trong những khoảng thời gian đáng kể; do đó, các khóa này phải được kiểm soát cẩn thận và giảm thiểu tối đa việc rò rỉ thông tin khóa. Lưu trữ một số khóa xác định cho mỗi khối đĩa sẽ tạo ra số lượng lớn các khóa và việc xác định khóa thích hợp cho khối đó trở nên khó khăn hơn. Ngược lại, khi sử dụng một khóa duy nhất cho toàn bộ phân đoạn các bit dữ liệu chung có thể được phát hiện khi phân tích. Thay vào đó, khóa lịch trình sử dụng được tạo dựa trên việc sử dụng địa chỉ khối đĩa Block address để biến đổi tham số bí mật phân đoạn Segment_secret. Việc biến đổi dựa trên hàm băm nên khó có thể truy ngược lại tham số bí mật ban đầu ngay cả khi khóa cho một số khối đĩa bị hỏng.

Block Key = Hash (Segment_secret, Block address).

Đơn vị cơ bản của dữ liệu sẽ phụ thuộc vào thuật toán mã hóa cụ thể. AES (có pha thiết lập khóa nhanh) [1] có nghĩa là dữ liệu sẽ được đọc trong các khối 128 bit. Các chế độ mã hóa [2] có thể sẽ phụ thuộc vào tính chi tiết của khối đọc từ thiết bị, mặc dù có thể mã hóa dựa trên việc xor bản rõ với hàm giá trị của Block address sử dụng.

Trình quản lý khóa trao quyền cho SHBA đọc dữ liệu từ LUN, bằng cách cung cấp cho nó tham số bí mật liên quan đến LUN hoặc ZONE đó. SHBA có thể lấy khóa cho một khối đĩa cụ thể bằng cách kết hợp tham số bí mật (cho LUN hoặc ZONE) với địa chỉ khối đĩa. Điều này có thể được thực hiện trong khi dữ liệu đang được lấy. Việc ghi vào dữ liệu sẽ thực hiện một quy trình tương tự trong đó khóa được thiết lập ban đầu và dữ liệu được mã hóa bằng cách chuyển nó qua SHBA. Bộ đệm trong HSA trên bộ điều hợp bus chủ có thể tăng tốc khi có nhiều truy cập được thực hiện.

2.2. Quản lý khóa

Phần trên mô tả một cơ chế ánh xạ từ các địa chỉ đĩa vào các khóa mã phù hợp dựa trên tham số bí mật cho một ZONE hoặc LUN cụ thể. Theo cơ chế của HSA, cả quá trình ánh xạ và mã hóa/ giải mã được thực hiện bên trong. Điều này đảm bảo rằng tham số bí mật không bao giờ bị lộ ra ngoài phần cứng được bảo vệ. Phần này đề cập đến vấn đề quản lý phân phối các tham số bí mật này và đảm bảo rằng việc phân phối tuân thủ các chính sách quản lý, hệ thống được kiểm soát chặt chẽ. Sự kết hợp giữa thực thi chính sách và tính toán đảm bảo rằng các backdoor đơn giản từ phía cho quản trị viên không có và nếu quản trị viên định cấu hình lại hệ thống lưu trữ để có quyền truy cập vào dữ liệu, hành động của họ sẽ được ghi lại.

2.2.1. Dịch vụ quản lý khóa cơ bản

Dịch vụ quản lý khóa là một dịch vụ riêng biệt nằm ngoài sự kiểm soát của các hệ thống SAN. Nó chạy độc lập trong HSA và không bị xâm phạm. Người dùng phụ thuộc vào hệ thống lưu trữ có thể kiểm tra các chi tiết về HSA đang được sử dụng cũng như chức năng quản lý khóa của nó và được đảm bảo rằng chính sách của họ sẽ được thực thi chính xác. Các chính sách này có thể bao gồm từ một danh sách đơn giản các máy được phép truy cập trong một zone cụ thể đến các chính sách phức tạp hơn chỉ định một loạt các máy và các yêu cầu ủy quyền cần thiết để chỉ rõ máy nào có thể truy cập vào vùng nào đó tại một điểm xác định.

Trạng thái hoạt động bình thường

Sau khi cấu hình, hoạt động bình thường của dịch vụ quản lý khóa là chuyển các tham số bí mật liên quan đến LUN cho SHBA yêu cầu, và kiểm tra tất cả các yêu cầu. Để thực hiện điều này, dịch vụ cần được khởi tạo với một tập hợp các ID của HBA. ID có thể được chỉ định trực tiếp (giả sử bằng chứng chỉ khóa công khai) hoặc bằng danh tính của CA mà mục đích duy nhất của nó là chứng nhận các giao diện HBA được bảo mật.

Thêm một segment mới

Lệnh tạo segment mới (ZONE hoặc LUN) sẽ chỉ định ai quản lý chính sách và chính sách triển khai. Tham số bí mật sẽ được tạo ra như một phần của lệnh và tất nhiên, yêu cầu sẽ được tính toán. Dịch vụ quản lý khóa đảm bảo việc sử dụng các chính sách này và các tham số bí mật liên quan; các chính sách được ghi trong bộ nhớ và được lưu trữ ở dạng bảo mật trên hệ thống máy chủ để được tải lại khi khởi động lại. Các tham số bí mật được lưu trữ trong bộ nhớ trong (flash hoặc pin dự phòng) đảm bảo chúng không bị rò rỉ ra bên ngoài hệ thống; một hàm băm của các chính sách liên quan được lưu trữ cùng với khóa để khi khởi động lại, trình quản lý khóa sẽ chỉ chấp nhận các chính sách hiện tại được liên kết với mỗi khóa.

Sự phong phú của các chính sách

Mã hoá và Quản lý khoá trong mạng SAN (Phần II)

Đối với dịch vụ quản lý khóa, có thể sẽ có các chính sách quản lý nêu chi tiết host nào có thể truy cập vào phân khúc nào hoặc ai có ủy quyền cấu hình việc đó. Hình thức của các chính sách này phụ thuộc vào tính linh hoạt của cấu hình hệ thống – một chính sách đơn giản sẽ tham chiếu trực tiếp đến các thiết bị két nối, trong khi đó đối với các trung tâm dữ liệu (UDC) [6], nơi thiết bị có thể liên tục được triển khai lại, các chính sách cần hỗ trợ các thông báo cấu hình lại từ các quản trị viên. Trong trường hợp này, các chính sách có thể có một số ràng buộc nhất định như giới hạn số lượng hoặc loại máy truy cập vào một khu vực tại thời điểm bất kỳ nào – theo thỏa thuận trước.

2.2.2. Dịch vụ quản lý khóa sử dụng PKI

Để cho phép xác thực dựa trên PKI và mã hóa dữ liệu truyền, HSA có ID dựa trên PKI. Nó cũng chứa một danh sách tin cậy “trust list”, tức là một danh sách các khóa công khai (hoặc chứng chỉ) cùng với thông tin về chủ sở hữu của chứng chỉ đã được chứng minh có thể tin cậy được. Điều này cho phép xác minh chữ ký về các thay đổi chính sách hoặc hỗ trợ các thông báo cấu hình lại.

Nhờ phần cứng an toàn mà chi tiết về những thay đổi của chính sách có thể được nắm bắt và gửi đến hệ thống tính toán tin cậy hoặc đăng nhập an toàn trên hệ thống host mà các quản trị viên có tài khoản. Tất cả các lệnh liên quan đến cài đặt và thay đổi chính sách cần phải được kiểm tra an toàn theo trách nhiệm được ủy quyền của các quản trị viên. Như vậy tất cả các lệnh yêu cầu phải có chữ ký tương ứng. Tất cả các yêu cầu quản lý (bao gồm các yêu cầu bị từ chối) sẽ được thêm vào hệ thống kiểm toán tin cậy đảm bảo việc thực thi được kiểm soát. Hệ thống kiểm toán này có thể là một hệ thống riêng biệt hoặc hệ thống quản lý khóa có thể bổ sung các log kiểm toán nơi nó ký từng yếu tố tính toán mới cùng với hàm băm của yếu tố tính toán trước đó. Điều này đảm bảo có thể kiểm tra tính liên tục của thông tin tính toán.

Liên quan đến việc quản lý các chính sách phân phối khóa cho các SHBA khác nhau, khi khởi động hoặc cấu hình lại, SHBA sẽ liên hệ với trình quản lý khóa để có được các tham số bí mật cần thiết nhằm truy cập vào dữ liệu SAN. Như với lệnh quản lý, yêu cầu khóa cho các ZONE hoặc LUN cụ thể sẽ được ký bằng cách sử dụng ID của SHBA. Trình quản lý khóa sẽ xác thực yêu cầu và xem xét các chính sách được liên kết với từng ZONE được yêu cầu để đánh giá xem SHBA đó có được phép truy cập các khóa hay không. Gói trả về sau đó được hình thành có chứa các quyết định cấp phép cùng với các tham số bí mật và các hạn chế sử dụng có thể có đối với các khóa này.

2.2.3. Ký quỹ và sao lưu

Cấu trúc SAN cần đảm bảo một cơ sở hạ tầng lưu trữ linh hoạt và không thể bị tổn thương do việc sử dụng một trình quản lý khóa duy nhất, đặc biệt khi trình quản lý này được thiết kế tắt nếu phát hiện xâm nhập. Do đó, điều cần thiết là phải sao chép các chức năng của thiết bị quản lý khóa.

Khả năng sống sót của các tham số bí mật trong zones là một tính năng thiết yếu của bất kỳ hệ thống quản lý khóa nào. Ngoài việc cho phép chuyển các tham số bí mật vào HBA, các chính sách cũng có thể cho phép chuyển các khóa (cùng với các ràng buộc chính sách liên quan) sang các dịch vụ quản lý khóa khác. Các chính sách này có thể được thiết lập ở cấp dịch vụ cơ sở, tạo ra một tập hợp các trình quản lý, mỗi trình quản lý có cùng một tham số bí mật và mỗi tham số bí mật có thể được sử dụng bởi bất kỳ SHBA nào; đây có lẽ là phương pháp đơn giản nhất đặc biệt với cơ sở hạ tầng có thể cấu hình lại. Cùng với nó, việc kiểm soát có thể được đặt ở chính sách cấp vùng tạo tuy ra sự phân tách dữ liệu chặt chẽ hơn nhưng lại đầy rẫy những nguy hiểm khi các chính sách không sao lưu đầy đủ các khóa.

Các chính sách ký quỹ có thể được liên kết một cách tự nhiên với các chính sách cấp vùng. Chính sách ký quỹ có thể chỉ định nơi lưu trữ hoặc cá nhân nào nhận được tham số bí mật hoặc bộ tham số bí mật bằng thuật toán chia sẻ [4] và điều này có thể đảm bảo rằng chủ sở hữu dữ liệu (hoặc bên thứ ba mà họ tin tưởng) có thể khôi phục các tham số khi cần thiết.

Một khía cạnh khác liên quan đến việc chạy nhiều thiết bị là đảm bảo rằng tất cả các cấu hình được đồng bộ hóa. Một giải pháp đơn giản để xử lý việc này là các thông điệp cấu hình được gửi đến tất cả các trình quản lý khóa. Ngoài ra, các trình quản lý khóa sẽ được cấu hình để biết về nhau (như với phân phối khóa) và khi nhận được thông báo cấu hình, điều này sẽ được truyền tới hệ thống khác.

3. Thảo luận

Giải pháp quản lý khóa đề xuất cho thấy mức độ kiểm soát cao có thể đạt được bằng cách sử dụng phần cứng đáng tin cậy để bảo mật. Phần cứng này được sử dụng để cung cấp môi trường an toàn cho các ứng dụng chạy [5] đồng thời chỉ ra cách mà bộ xử lý [3] có thể được sử dụng để đảm bảo tính toàn vẹn của thiết bị. Cách tiếp cận HSA cung cấp một cơ chế để các dịch vụ bảo mật đơn giản có thể được sử dụng để bảo mật một ứng dụng tổng thể như ESKAPE được mô tả trong phần I của bài viết hay bảo đảm cơ sở hạ tầng lưu trữ như SAN.

Hai ứng dụng này thể hiện sức mạnh của giải pháp HSA đối với một loạt các ứng dụng lưu trữ cấp thấp và cấp cao và phương pháp này có thể được áp dụng trong các ứng dụng khác. Giải pháp cho phép việc mã hóa dữ liệu một cách tự động với chi phí quản lý tương đối nhỏ mặc dù phải trả chi phí cho phần cứng bảo mật. Cách tiếp cận này không nhằm thay thế bảo mật SAN truyền thống được cung cấp bằng cách phân vùng cứng hoặc mềm hoặc ánh xạ LUN mà thay vào đó khi làm việc cùng với các cơ chế này, nó cung cấp các thuộc tính bảo mật tốt hơn nữa.

4. Kết luận

Nhóm nghiên cứu gồm Adrian Baldwin và Simon Shiu từ phòng thí nghiệm Hewlett Packard, tại Bristol, Vương quốc Anh trong công trình công bố được trình bày đã đề xuất việc sử dụng các thiết bị bảo mật phần cứng đảm bảo bảo mật cho các khóa mã và việc thực thi chức năng mã hóa của HSM bằng cách kết hợp chức năng này với hoạt động kiểm soát việc sử dụng khóa.

Cách tiếp cận đã được áp dụng để mã hóa dữ liệu trong hệ thống SAN trên cơ sở thực thi một cách có hiệu quả việc quản lý khóa một cách an toàn, kiểm soát các chính sách phân phối và sử dụng của khóa và ngăn chặn việc cấu hình hệ thống với các chủ đích xấu.

Tài liệu tham khảo

1. J. Daemen, V. Rijmen The Design of Rijndael: AES – The advanced encryption standard. Springer Verlag (2001)

2. H. Lipmaa, P. Rogaway, D. Wagner. CTR-Mode Encryption Comments to NIST concerning AES Modes of operation: CTR-Mode Encryption. http://csrc.nist.gov/encryption/modes/proposedmodes/

3. S. Pearson, B. Balacheff, L. Chen, D. Plaquin and G. Proudler. Trusted Computing Platforms: TCPA technology in comtext. HP Books, Prentice Hall (2002)

4. A. Shamir, How to Share a Secret Communications of the ACM, 22:612–613, 1979 (1979)

5. S.W. Smith, R. Perez, S. Weingart, V. Austel. Validating a High-Performance, Programmable Secure Coprocessor. Proceedings, 22nd National Information Systems Security Conference. October (1999)

6. V. Turner Utility Data Center: HPs first proof point for service centric computing http://www.hp.com/solutions1/infrastructure/ infolibrary/idcwhitepaper.pdf

TS. Trần Văn Khánh, KS. Nguyễn Thành Vinh / Antoanthongtin.vn

Thank you so much

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s