加密企业服务器

Oracle白皮书2010年9月OracleSiebelCRM优化解决方案——基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例概述3安全标准的引入要求进行加密.
4支付卡行业数据安全标准(PCI-DSS)4健康保险便利及责任法案1996(HIPAA)4萨班斯-奥克斯利法案(SOX)4最佳安全SiebelCRM的补充技术.
5提高加密工作负载性能的选件.
6T系列上集成的加密加速技术7支持技术9结论10基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例概述IT专业人员十分清楚,客户关系管理(CRM)已迅速成为企业的重要管理软件.
最初,人们通常认为CRM只是一个以某种独立而直接的方式提高企业效率的工具.
但是,随着CRM系统不断展现其全面的功能,企业对该系统的依赖与日俱增.
最终,为了支持更大规模的新项目,大量数据迁移到了CRM系统中.
然而人们突然深刻认识到,所有数据都包含着大量专有或敏感信息.
如果不进行适当的安全性配置,CRM系统可能会给企业带来不利.
CRM很自然地将企业的潜在客户、客户和战略合作伙伴联系在一起,而企业却需要谨慎地考虑与数据隐私、数据窃取、合同条款及法规标准遵守有关的问题.
遗憾的是,企业软件的安全性配置常常被视为是非常规且不必要的,或者妨碍了管理简捷性.
大多数IT经理认为安全性非但没有缓解风险,反而带来了风险.
实施安全性方法,特别是加密技术,的确会增加管理开销,需要更多昂贵的硬件,阻碍快速部署,或者会大大降低硬件性能.
但是,在OracleSunSPARCT系列企业服务器上部署SiebelCRM可以在很大程度上解决这些问题.
T系列服务器包括一个经过优化的特别运算单元,用于以CPU最快速度执行加密任务,缓解性能问题并消除更多的设备需求.
将这一独特的硬件功能与Solaris结合在一起,可以轻松地支持安全配置并实现持续操作,对于管理员来说,只需要完成很少的工作,而且几乎不需要专门知识.
本白皮书说明如何通过将T系列服务器部署为企业安全CRM的基础来缓解风险,同时保持总体拥有成本优势.
本白皮书并不是一个技术手册.
欲获得有关保护SiebelCRM安全的技术指导和信息,请参考安装和管理指南.
基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例安全标准的引入要求进行加密全球范围内拥有许多安全标准和政策.
从市级政府到省级政府和地区管理机构,都制定了此类标准.
此外,企业和非政府机构(NOG)可能还要遵守针对其需求定制的安全标准.
然而,许多庞杂的IT安全标准都源自较为普遍和公认的标准.
根据企业的性质,每个企业可能都有其适用的若干安全性要求.
以下是最常见的一些例子:支付卡行业数据安全标准(PCI-DSS):该标准针对的是接受主要支付卡和处理信用卡数据的企业.
PCI最值得关注的(也是最令人头疼的)规则涉及存储在磁盘或磁带中的数据.
PCI-DSS标准所规定的最易忽视的要求之一就是管理服务器应用程序的远程管理控制台必须采用加密技术.
如果管理控制台是动态或高度图形化的,则将给服务器增加相当繁重的加密工作量,因此这个看似较小的配置可能会迅速"榨干"服务器的性能.
PCI-DSS标准要求在多数情况下至少采用128位加密(SSL),而一些PCI合规管理人员则推荐采用256位加密.
今后新修订的任何标准都有可能要求采用256位加密.
不遵守标准可能会遭到重罚,但更重要的是信用卡支付可能会被叫停,从而导致业务受到重挫,经济损失巨大.
健康保险便利及责任法案1996(HIPAA)HIPAA标准旨在确保包含患者健康信息的信息系统免遭未经授权的访问.
自1996年美国颁布HIPAA法案以来,HIPPA中涉及适当处理患者信息的具体规定得到了有效执行.
特别是,HIPAA要求对开放网络中传输的任何数据进行加密.
HIPAA要求通过网络传输敏感文档和数据时使用128位加密.
违反HIPPA可被处以监禁和每年最高25000美元的罚款.
萨班斯-奥克斯利法案(SOX):萨班斯-奥克斯利法案要求美国的所有上市公司在维护财务信息安全时遵守某些指导方针.
SOX法案将公认的ISO/IEC27002信息安全标准指定为最佳合规实践.
ISO27002标准提倡广泛使用加密手段来保护数据的安全.
该法案要求使用128位加密,建议使用256位加密.
基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例不遵守该法案可能导致巨额罚款和主要高管入狱.
最佳安全SiebelCRM的补充技术面向SiebelCRM8工作负载的经验证最经济有效的Oracle解决方案,采用了以OracleSunSPARCT系列企业服务器、OracleSolaris10操作系统和OracleSun存储技术为基础的高度整合设计,如图1所示.
图1.
可优化性能、降低总体拥有成本的面向T系列的SiebelCRM整合架构该解决方案的核心是无额外成本的Oracle内置虚拟化技术——OracleSolarisContainers或OracleVMServerforSPARC(以前称为LogicalDomains),它们支持灵活部署和行业领先的高效运行.
虚拟化技术与安全性由于应用了上述的一项或两项虚拟化技术,SiebelCRM8服务在每层都可以单独运行,而不会影响其他层的服务执行.
还可以根据需要为每一层分配和重新分配系统资源.
实施安全配置时,在整合的SiebelCRM架构中使用这些虚拟化技术无额外成本,而这还不是虚拟化技术带来的最大好处.
Oracle的企业虚拟化技术完全融入到整体设计之中,这主要关系到与底层硬件和Solaris操作系统的兼容性及密切关系.
因此,这两项虚拟化技术给虚拟机带来的性基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例能损失微乎其微.
两项虚拟化技术都为虚拟机访问硬件辅助加密功能提供了直接途径,并且对工作负载执行速度几乎没有影响.
通常情况下,虚拟化会妨碍虚拟机直接访问CPU的特定功能.
使虚拟机加速执行加密工作负载或将加密工作负载移至专门协处理器的大多数方法,都可能在硬件、操作系统、系统管理程序或虚拟机层面上遭遇性能下降、可伸缩性潜力降低、功能削弱或完全丧失的困境.
例如,您可能会向x86服务器中添加一个专用卡来减轻加密工作的负担,但是系统管理程序可能无法识别它,也不能将其功能用于虚拟机.
或者,也可能会在企业级服务器上加装一个经改造的类似的卡,它虽然可能运行良好,但必须将其整个分配给单一虚拟机,这会浪费大量计算能力.
无论如何,最理想的技术方案是能够完全感知虚拟化功能,并能利用专门的硬件特性.
在SunT系列服务器中,加密处理器内置在服务器自身的CPU中,能完全与Solaris及该操作系统支持的所有虚拟化特性协同工作.
相比纯软件层加密系统,它能够实现"虚拟化感知"和以CPU全"线速"运行,提供了卓越的可比性能,这是该方法的独特好处.
OracleSolarisContainers.
容器是一个无成本的虚拟化机制,它可以将OracleSolaris单一实例内的多个应用服务隔离开,这是通过在每个容器之间进行内核级分离实现的.
OracleSolarisContainers可以使一个容器中出现的故障不影响其他容器中运行的应用程序或服务实例.
容器是一种操作系统级虚拟化,因此能够感知硬件和操作系统,并能与底层Solaris操作系统所支持的一切高度兼容.
此外,它对虚拟机的性能影响非常小,同时能够快速安装和配置.
OracleVMServerforSPARC.
这项技术是SunCMT处理器(如SPARCT3)所固有的,它使用独立域来轻松整合多个层,而无需额外成本.
每个域运行一个完全独立的OracleSolaris副本,并且没有额外的操作系统副本许可证费.
OracleVMforSPARC是一种系统管理程序虚拟化,通过提取硬件资源能够完全封装虚拟机.
这种方法支持极细粒度的资源分配和其他高级特性.
与许多种需要安装或重装到某类服务器存储中的系统管理程序不同,OracleVMServerforSPARC内置在平台固件中,可确保提供最佳的功能环境.
提高加密工作负载性能的选件加速器或卸载PCI卡.
尽管加密卡在IT行业中已得到普遍认可并且颇受欢迎,但它们仍存在着难以克服的技术缺陷.
主要缺陷是因其在系统中所处的位置而导致的固有性能不足.
这些卡驻留在总线上,就CPU而言,这是一个速度缓慢且不太直接的位置.
尽管这些卡自身能够完成大量加密工作,但仍需通过总线移动这些数据.
在工作负载密集的情况下,会使用多个卡,那么完全可以想象的到所有这些总线流量会给整个系统性能造成怎样的重负,而且这些卡的全速运行增加了不必要的电力消耗,但却没有提供全部性能.
此外,还必须考虑,每增加一个卡就会增加系统的复杂性,进而就会带来风险.
基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例尽管这些问题都会阻碍加密卡的使用,但主要还是性能问题.
更重要的是,如果SiebelCRM架构师的设计考虑使用系统管理程序虚拟化技术,则他们可能会完全放弃使用加密卡.
系统管理程序,如那些在x86平台上普遍使用的系统管理程序,通常与这样的不兼容,而且在PCI总线上运行虚拟加密类工作负载一般被认为是糟糕的做法.
在其他企业平台上,加密卡可能与系统管理程序协作良好,但是不能对加密卡进行精细的分区和分配.
从本质上讲,一个卡必须分配给一个VM,这样具有加密功能的VM的数量就受到了可用卡槽数量的限制,从而降低了业务敏捷性,不能够对在系统其他位置运行的其他操作系统实例所需的紧急或意外加密需求做出及时响应.
网络负载均衡器/SSL加速器网络设备.
在许多数据中心都可以看到网络负载均衡器(NLB),它们主要是作为一种在服务器池中分配任务以增加冗余和容量的手段.
但是许多NLB还能完成作为加密卸载引擎的双重任务.
它们拦截通过网络流入的加密数据,对其进行解密,并将它们"自由地"传递给应用服务器.
对流出数据加密的过程则相反.
其中有些设备完全放弃了NLB的功能,只作为加密卸载引擎运行.
从本质上讲,这些设备只不过是用于减轻应用服务器负载的预处理器.
尽管采用网络设备来处理加密工作负载的方法可能很简单,但它会显著增加项目的物理资源占用,而且由于需要额外电力,大量冷却和专门管理,它将对服务器整合的大部分好处造成负面影响.
基于CPU的加密单元.
从一开始SPARCT系列CPU就包含了适合计算加密工作负载的特别运算单元.
并不是说SPARCT系列始终是在芯片上提供专门加密功能的唯一产品.
X86芯片制造商已经注意到了SPARC的优势,并开始在他们的CPU上提供增强的加密功能.
但是,目前还没有哪个企业服务器管理程序软件声称或表明它们能够对可用于某些x86当前CPU的新的片上加密技术提供虚拟机支持.
即便提供了这种支持,具有加密增强功能的x86CPU也仅限于每核一个SIMD(单指令多数据)加密单元.
目前总共增至6个.
相比之下,新的SPARCT3CPU的芯片上可拥有16个加密单元.
这使得充分利用了加密技术的虚拟机的密度几乎翻番,同时将开销控制至最低.
虚拟层密度和容量的增加减少了硬件并最终降低了总体拥有成本.
T系列上集成的加密加速技术Sun公司认识到,确保信息安全的需求通常会导致部署方案复杂化,因此设计了SPARCT1、T2、T2Plus和T3处理器,这些CPU专门针对吞吐量应用,具有内置的硬件加密单元,以简化和加速加密操作.
这些处理器将芯片多处理技术和硬件多线程技术与一个高效的指令管道相结合,以支持芯片多线程(CMT).
这种处理器设计提供了多个物理指令执行管道,而且每个管道可以有多个活动线程上下文.
为了满足不断增长的加密操作要求,SPARCT2、T2Plus和T3处理器使用了独特的系统单芯片(SoC)设计,它纳入了更多加密特性以及片上I/O和片上10G以太网联网功能来提高性能(图2).
基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例图2.
模运算单元RivestShamirAdleman(RSA)运算是安全套接层(SSL)全流程握手的重要组件之一.
SPARCT1、T2、T2Plus和T3处理器的每个核都包括一个支持RSA和数字签名算法(DSA)运算的模运算单元(MAU).
RSA运算利用了可卸载到MAU的计算密集型算法.
MAU能够确保使用SPARTT1处理器的系统每秒执行14000次RSA-1024运算,使用SPARCT2处理器的系统每秒执行超过30000次RSA-1024运算,使用SPARCT3处理器的系统每秒执行超过40000次RSA-1024运算.
将RSA运算移至MAU提高了SSL全流程握手的性能,从而释放出CPU以处理其他计算任务.
基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例图3.
SPARCT1、T2、T2+和T3CPU的加密工作负载管理概览支持技术可以通过Solaris加密框架(SCF)访问SPARCT1、T2、T2Plus或T3处理器的加密功能.
SCF为内核级使用者和用户级使用者提供了加密服务以及一些软件加密模块.
基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例图4.
来自软件的硬件加密访问支持SCF将继续支持KernelSSL(KSSL)代理,KSSL可从用户应用程序中卸载SSL处理,并使用户应用程序能够透明地利用硬件加速器,如SPARCT1、T2、T2Plus或T3处理器提供的硬件加速器.
结论随着IT运营成本压力的增加以及安全性要求的日趋严格,只有在OracleSPARCT系列企业服务器上部署SiebelCRM,才能在实施安全配置的同时,实现紧密整合的配置和高性能吞吐量.
相对于竞争对手提供的产品,在T系列上进行安全配置无需增加设备,无需专门培训,也不会带来任何类型的功能损失.
新的OracleSPARCT3-1服务器增加了线程数量,将虚拟化能力提升了一倍,并在其他方面做了大量改进,它的推出有助于巩固Oracle作为高性能、经济有效的CRM解决方案领先提供商的地位.
基于OracleSPARCT系列企业服务器的安全SiebelCRM业务案例借助硬件辅助加密技术保护SiebelCRM安全的案例2010年9月作者:ChadPrucha甲骨文公司全球总部500OracleParkwayRedwoodShores,CA94065U.
S.
A.
全球咨询:免费销售咨询热线:800-810-0161E-mail:salesinquiry_cn@oracle.
comOracle致力于开发有助于保护环境的实践和产品.
版权2010归甲骨文公司及/或其子公司所有.
保留所有权利.
本文只作提供信息之用,其内容如有变动,恕不另行通知.
本文不保证没有错误,也不遵循任何其它的无论是口头表达的还是法律默示的保障和条件,包括关于适销性或符合特定用途的所有默示保证和条件.
我们在此特别声明不承担有关本文的任何责任,本文不直接或者间接形成任何合同义务.
未经书面许可,不得为任何目的,以任何电子或机械形式或手段复制或转载本文.
Oracle和Java是甲骨文和/或其子公司的注册商标.
其他名称可能是其各自所有者的商标.
AMD、Opteron、AMD标识和AMDOpteron标识是AdvancedMicroDevices的商标和注册商标.
Intel和IntelXeon是英特尔公司的商标和注册商标.
所有SPARC商标为SPARC国际有限公司的商标或注册商标,其使用必须经过许可.
UNIX是X/OpenCompany,Ltd.
公司许可的注册商标.
0110