高端存储在网络安全方面的特点

高端存储“高端”在哪？

是更强性能？还是更大容量？

或是能提供更多服务？

这些都不是关键

高端存储

之所以

区别其它存储系统

就在于其可以对世界上

最重要的数据

提供

不间断

的访问能力

一个社会的正常运转，离不开那些关键基础设施的组织提供不间断的服务，而一旦中断发生，后果将会不堪设想，比如：

在医院，服务中断可能意味着病人的生死。

在金融机构，短暂的服务中断可能会造成上千万的损失；而长时间的服务中断则会对整个国家的经济造成重大影响。

这就是为什么诸如电信、能源和运输等各种关键行业，都依赖高端存储来不间断地访问全球最重要的数据。

不过，市面上的高端存储有很多，但在提供“不间断的访问”这一关键能力方面，有何区别？

近日，知名技术分析机构DCIG公布了《2024-2025高端存储Top5》名单。和以往不同，本次报告DCIG重点考察了高端存储的网络安全能力。

DCIG认为 ，网络犯罪和数据泄露已成为 IT 专业人员的日常威胁。仅在 2024 年的前两个月，全球就发生了330多起公开披露的数据泄露和网络攻击事件。这些事态突出表明，组织（尤其是提供关键基础设施服务的组织）需要检测和阻止网络攻击并确保网络弹性（即遭受攻击后能够继续运营）。

许多拥有关键业务和客户数据的公司依靠高端存储阵列来提供对其数据的不间断访问。这些高端存储阵列需要内置网络弹性来保证数据安全，并在数据受到损害时能够快速恢复。

具备网络安全的

高端存储的关键特征

在DCIG看来，网络攻击攻破任何组织的安全防御只是时间问题。因此，存储阵列及其提供商在预防、缓解和恢复网络安全事件中，扮演着重要角色。

当前，每家存储厂商都在应对客户对数据安全和网络恢复能力的担忧，特别是勒索软件的威胁。然而，各厂商的安全恢复能力并不相同。

DCIG考察了市面上14个高端存储阵列，重点考察了它们的网络安全能力，并最终选出五个。DCIG认为，这些高端存储是为组织提供安全服务和保护其最关键工作负载的最佳选择。

以下是这五台高端存储在网络安全方面的突出特点：

#01勒索软件异常检测和恢复

这些功能可识别数据访问模式中可能表明勒索软件加密的可疑变化，以便及早干预。入选的5个高端存储解决方案均提供包括异常检测、勒索软件文件拦截和机器学习检测等功能。这些功能的全面实施解决了 NIST 网络安全框架中的检测、响应和恢复功能。

#02高级加密功能

在DCIG考察的所有 14 个阵列都支持加密，可以在阵列上加密，也可以通过自加密硬盘加密。TOP 5 解决方案中有三个，同时支持这两种方法。虽然考察的所有 14 个阵列都支持数据中心内的静态加密，但并非所有阵列都支持云中的静态加密。DCIG TOP 5 中有三款支持云中静态加密，这些高级加密功能可满足 NIST 网络安全框架的保护功能。

#03自动合规性监控和警报

一些高端存储系统可以自动监控相关数据安全法规的合规性，并针对任何差异生成警报，从而简化安全团队的工作流程。几乎所有高端阵列都能进行远程监控，但 DCIG TOP 5 网络安全高端全闪存阵列比其他阵列更有可能生成警报。从而符合 NIST 网络安全框架的识别功能。

#04安全技术/认证

所有阵列都支持 FIPS-140 加密。但是，DCIG TOP 5 网络安全高端全闪存阵列更有可能支持硬件信任根、T10 PI 和多因素身份验证。这些功能可满足 NIST 网络安全框架的保护功能要求。

#05多种阵列管理角色

存储阵列提供商通过支持多种存储系统管理角色来应对不断变化的安全环境。这些角色包括存储和安全管理员、存储和安全审计员、数据保护管理员，以及敏感存储操作的多重审批要求。多重阵列管理角色和多重审批可满足 NIST 网络安全框架的保护功能。

而在本次Top 5榜单中，戴尔PowerMax也毫不意外的再次入选。30多年来，每一款全新的PowerMax阵列都在不断地提升企业级存储的性能、可扩展性、高可用性和功能性的行业标准，从而引领高端存储的黄金标准。

下面是DCIG对PowerMax 8500的评价。

PowerMax 8500是戴尔PowerMax系列的最高端型号。PowerMax 是戴尔历史上最成功的高端存储阵列平台之一。它支持块和文件工作负载，并且是本报告中唯二为大型机存储提供 FICON 连接的阵列之一。

帮助PowerMax 8500入选Top 5的一些功能包括：

PowerMax

专为零信任安全环境而设计

●遵循安全开发生命周期实践，以确保安全左移（即在整个开发生命周期内实施安全措施，而不是在周期结束时实施）方法。

●安全启动。

●数字签名的软件和固件更新。

●勒索软件异常检测，包括开放系统和大型机。

●自动合规性监控/警报。

●大规模精细网络恢复，每个阵列多达 6500 万个策略驱动的自动快照，包括不可变和安全的快照。

●通过自加密驱动器(SED) 应用数据加密，以便在从系统中移除驱动器时保持保护。

●允许外部密钥管理器对静态数据进行加密。

●Unisphere 管理的多重身份验证。

●提供安全访问控制和防篡改审核日志。

●通过PowerMax 上所有事件的安全日志检测未经授权的访问。

●使用SecureID 为管理访问提供双因素身份验证。

●基于角色的访问控制。

●不可变的硬件信任根。

●远程系统日志集成。

戴尔的网络安全功能还包括：

主动-主动数据中心复制和远距离或跨站点远程复制（通过SRDF 软件）。

PowerMax支持定期和连续异步复制、跨Metro Cluster 的同步复制以及跨三个数据中心的复制。

PowerMax持续演进

引领高端存储发展

去年11月，戴尔科技集团发布了PowerMaxOS 10.1版本更新，除了为企业用户带来更强大的数据缩减功能、突破性的能源效率外，在网络弹性方面更是提升到了新的水平。

戴尔科技将网络入侵检测、快照不变性和数据隔离保存库结合在一起，提供无可比拟的网闸隔离机制与快速恢复功能，实现了一个广泛的多层安全方法：底层使用零信任技术，如硬件信任根，安全引导，静态数据加密和勒索软件异常检测等。此外，戴尔还扩展了PowerMax Cyber Vault配置的灵活性。

最新版本的PowerMax不仅减少了企业的攻击面、实现了潜在入侵的检测，还提高了从攻击中恢复的能力。除了标配内置的安全功能以外，该版本还新增了：

1、传输层安全协议(TLS) 1.3版是最新、最安全的版本，提供更强大的加密算法，可降低数据泄露风险。

2、大型机网络入侵检测(zCID)是业界首个基于大型机存储的入侵检测。它可监控z/OS工作负载以识别正常变化，并建立用户自定义规则，在检测到入侵时发出警报。

3、对I/O模式进行高级异常检测，改进对勒索软件和恶意软件的监控、检测与警报，从而识别可能的网络攻击。

4、新增Cryptographic Ignition Key（启动密钥）支持，启动密钥支持是一种全新的静态数据功能，可利用外部密钥管理器防止阵列遭到物理盗窃。

5、数据清理器采用符合NIST标准的流程，在阵列退役前擦除所有数据。

始终保障客户核心系统稳定可靠的原则是高端存储不变的追求。PowerMax从未停止过创新步伐，未来也将在硬件架构、软件功能等层面持续演进，继续引领高端存储的黄金标准。