IBM 主機締造全新的資料保護時代

作者 | 發布日期 2017 年 07 月 18 日 11:55 | 分類 Big Data , 市場動態 , 資訊安全 follow us in feedly

IBM 18 日推出全球最強大的下一代交易處理系統 IBM Z,它能夠在一天內運行 120 億以上的加密交易。此全新的系統首次採用創新型加密引擎,能夠隨時對任何應用、雲端服務或資料庫相關的資料進行全面加密。IBM Z 所配備的新資料加密功能旨在解決全球普遍存在的資料洩露問題,預計到 2022 年,將網路犯罪造成的經濟損失降低 8 萬億美元。自 2013 年以來丟失或被盜的 90 多億資料紀錄中,僅有 4% 的資料記錄進行了加密處理,這使得大多數的資料很容易受到有組織的連續網路犯罪攻擊、政府組織和企業內部員工對敏感資訊的不當使用。




透過十多年來對主機技術進行關鍵性的改良,同時採用 Linux 平台及開源軟體,IBM Z 成功擴展了世界最先進的加密技術及可提供關鍵密碼保護。目前,該系統所採用的最先進密碼功能能夠擴展到任何資料、網路、外部設備或是包含 IBM Cloud Blockchain 服務等整體應用架構,而無需對軟體做任何更改,也不會對商業服務協定造成任何影響。

大規模的妥善加密不僅相當困難且昂貴,使得現今絕大多數的數據被盜或洩漏變得相當容易全球 IBM Z 總經理 Ross Mauri 表示,我們打造了一款專為雲端時代所需且對全球資料安全性有重大且直接影響的資料保護引擎」。

技術突破:業界首款針對雲端時代的全面加密技術

近期研究發現,廣泛採用解密技術有助於降低資料洩漏對業務造成的影響。根據 IBM X-Force Threat Intelligence Index 報導也指出,2016 年資料洩露的紀錄高達 40 億筆以上,和 2015 年相比高出了 556%

不過,企業資料中心和雲端資料中心的加密保護明顯不足,因為當前 x86 系統環境下使用的資料加密解決方案無法提供強而有力的效能支援,使用者體驗也得不到保障,而且也因為過於複雜和昂貴,因此,僅有 2% 的企業資料進行了加密處理;相較之下,行動裝置資料的加密比率則高達 80% 以上(註 1)

IBM Z 全面加密技術符合全球資安長及資料安全專家所提出的資料保護要求,過去 3 年來,超過 150 多名的全球客戶參與了 IBM Z 系統的設計並提供許多意見。

也因為與客戶的協同合作,IBM Z 在加密技術上有了顯著的進步,可為世界各地的銀行、醫療保健、政府及零售系統建構經過驗證的加密平台。IBM Z 全面加密技術突破包括:

  • 隨時實現資料全面加密。IBM Z 首次使得企業組織能夠套過一次點擊來全面加密整個應用程式、雲端服務或資料庫相關連的數據。現今,資料加密的標準做法是每次加密一小部分資料,並投入大量人力來選擇和管理各個領域。但這種在雲端規模的批量加密是透過擁有 4 倍效能的專用晶片進行加密演算,使得整體加密效能是上一代 z 13 的 7 倍之多。和只用於處理有限資料的 x86 相比,IBM Z 資料加密速度快了 18 倍,而成本也只是 x86 解決方案的 5%(註 1)。
  • 防篡改的加密金鑰。企業組織首要關注的即是確保加密金鑰的安全。對大型組織而言,駭客最常攻擊的目標就是加密金鑰,其暴露途徑往往是金鑰使用的記憶體。只有 IBM Z 可以在「篡改回應」的過程中,保護數百萬金鑰,包括存取、產生和回收流程;「篡改回應」硬體可以讓金鑰在接觸到任何入侵信號時執行自我銷毀過程,然後可安全地恢復。IBM Z 密鑰管理系統是專為符合《聯邦資訊處理標準(FIPS)》中第 4 級的要求,其中行業高安全性的規範是第 2 級。IBM Z 功能能夠從主機擴展到其他設備,例如雲端上的儲存系統和伺服器等等。此外,IBM Secure Service Container 還能夠防禦承包商和特權用戶的內部威脅,在安裝和運行期間提供動態和靜態資料的代碼自動加密及防篡改支援。
  • 加密的 API。IBM z/OS Connect 技術讓雲端開發人員能夠輕鬆地發掘並調用任何 IBM Z 應用程式或來自雲端服務的資料,也可以為 IBM Z 開發人員調用任何所需的雲端服務。現在 IBM Z可以允許企業組織加密連接服務、應用程式和系統的 APIs,效能是 x86 系統的 3 倍(註 2)

IDC 伺服器和運算平台集團分析師 Peter Rutten 表示,全面加密技術的融入和專為擴展而設計的新一代 IBM Z 系統是過去 24 個月內我們所見證,第一套對安全威脅和資料洩漏提供全面解決方案的系統。

專為嚴格的新數據保護條例而設計

IBM Z 還協助客戶與消費者建立信任並遵守諸如歐盟的「通用資料保護條例(GDPR)」新標準,內容為從明年開始,舉凡在歐洲開展的業務的企業必須提高資料保護要求;GDPR 要求企業組織在發現資料洩露事件後 72 小時內向監管機構報告,若組織無法證實已對資料加密或實施金鑰保護,將面臨最高額度達全球年收益 4% 或者相當於 2,000 萬歐元的罰款。從美國聯邦方面來說,包括 5 家銀行監管機構在內的聯邦金融機構檢查委員會(FFIEC)制定了有關金融服務業如何使用加密技術的指南新加坡香港也公布了類似的指南。最近,紐約州金融服務部公布了與加密相關的要求,詳見金融服務企業的網路安全要求

IBM Z IBM Security 軟體密切地整合,目的是自動化以及簡化安全與合規的流程。例如,審計人員原本需要手動檢查並驗證資料庫、應用程式及系統的安全性。但現在,企業組織可以立即驗證資料加密和金鑰安全,確保其符合法規管理要求。這不僅可以大幅降低審計流程的複雜性,還能夠降低合規成本。此外,該系統還能夠提供審計追蹤,顯示被許可的內部人員是否以及何時存取資料。

打造高度安全的區塊鏈服務

隨著區塊鏈應用逐漸地被整合到核心業務流程中,客戶的關注點自然轉向安全性、加密和彈性。隨著  IBM Cloud 上各行業領先的運算選項不斷增加,將 IBM Z 納入 IBM Cloud,使其成為雲端服務的加密引擎,並執行 IBM 區塊鏈服務,以提供最高商業級的加密硬體。在達拉斯、倫敦、法蘭克福、聖保羅、東京和多倫多等地的新區塊鏈服務中心均採用 IBM Z 業界領先的加密技術進行安全防護。

全球 IBM 區塊鏈總經理 Marie Wieck 表示,「透過整合 IBM Z 加密技術與安全 Container,IBM 區塊鏈雲端服務凸顯了其優勢,因為它可以為新區塊鏈網路提供所需的信任模組,此外,企業客戶也能從透明化管理應用程式和使用者中受益。

IBM 的合作夥伴 AngelHack 18 日宣布啟動解開框架(Unchain the Frame)活動,這是一場全球虛擬的駭客松,獎金超過 50,000 美元。來自世界各地的開發人員都可參加,並展現他們運用 IBM z Systems 上各種諸如區塊鏈、開源原始碼應用、金融業 API、和機器學習等技術的技能和創造力。

最新:可預測及透明化的 Container Pricing 定價方案

IBM 推出了 3 種適用於 IBM Z 的突破性新 Container 定價模組,為客戶提供簡便的軟體定價方法,是一和公有雲和私有雲 x86 環境相較之下更具靈活部署和兢爭優勢的經濟模式:

  • 新的微服務和應用程式讓客戶能即時從最安全的內部企業系統獲得最大價值。客戶可以協同應用程式優化服務品質,同時對公有雲和內部平台實施有競爭力的定價方案。
  • 應用開發和測試 z/OS 上擁有 3 倍容量且可支援最新 DevOps 工具和流程的開發環境,每月的實現 3 倍容量提升,同時支援最新的 DevOps 工具設計及相關流程。客戶可以在不增加每月使用費用下擁有 3 倍容量提升。
  • 支付系統根據銀行處理的支付量進行定價,而非可用容量。這讓客戶可以更靈活地在有競爭力的環境下推動創新,而且無成本壓力,尤其是在面對迅速成長的立即支付類別。

這些有別於以往的定價方案是為了客戶業務所需的可預測性和透明度而設計。定價模式可在邏輯分區 (LPAR)的內部和跨邏輯分區中進行擴展,並提供大幅度的計量、限額、和計費功能。IBM Z 的 Container Pricing 計畫將在 2017 年底推出,可在 z/OS V2.2 z/OS V2.3 中啟用。

雲端時代的最強大交易處理系統

IBM Z 的構建基礎是目前全球最強大的交易處理引擎,它為如今全球商務中心提供的支援包括:

  • 87% 的信用卡交易;每年處理近 8 萬億美元的支付。
  • 290 億美元的ATM 年交易,每日金額約 50 億美元
  • 40 億美元年航運量。
  • 300 億美元以上的日交易量;超過每日在 Google 上的搜尋量。
  • 68% 的全球生產工作負載處理,所需成本僅佔 IT 總成本的 6%

銀行及其他金融服務機構每天要處理數千筆交易,以確保全球金融系統能夠正常運行。為了能夠以更安全可靠的方式處理大量交易資料,主機系統扮演著至關重要的角色。

世界百大銀行中有 92 家銀行選擇使用 IBM 主機,因為能高效地處理大量的交易。為了協助金融服務機構能更有效地在雲端時代競爭,更佳地保護交易產生的大量敏感資料,防止詐欺和網路犯罪;使用 IBM Z 進行分析和獲利,確保日常運作不中斷。對於銀行來說,這意味著他們能夠在輕鬆加密、確保應用運行效率的同時實現資料加密,而無需擔心對商業服務協定造成任何影響。

IBM Z 是業界領先 CMOS 主機技術的新一代系統,擁有產業最快速的微處理器,執行速度為 5.2GHz,並具備新的可擴展系統結構,可為傳統工作負載提高 35% 的容量,和上一代 IBM z13 相比,Linux 工作負載容量提高 35%。該系統可支援:

  • 單一系統日處理的加密交易量超過 120 億筆。
  • 全球最大的 MongoDB 實例, 擁有超 x86 平台 2.5 倍 的 NodeJS 性能效率提升。
  • 200 萬個 Docker Container。
  • 1,000 個並行 NoSQL 資料庫。

目前發表的其他新功能包括:

  • 3 倍記憶體,超越 z13 的回應速度、輸送量及分析效能。IBM Z 可提供 32 TB 的記憶體,在業內首屈一指。
  • I/O 3 倍速提升,能夠以比 z13 更快的速度完成交易處理,在資料和交易量不斷增加的同時,縮短回應時間。
  • 和 x86 方案相比,IBM Z 在運行 Java 工作負載方面的加快了 50% 的速度(註 3) 。
  • zHyperLink 業界領先的儲存區域網路回應時間,與 z 13 相比提供 10 倍的延遲降低,並將應用程式回應時間縮短一半,讓企業能夠大幅提升工作效率,如即時分析、與物聯網(IoT)設備及雲端應用程式互動等,而無需更改任何一行的應用程式代碼(註 4)。

此外,IBM 還預先展示了全新的 z/OS 軟體,該軟體能夠提供私有雲服務交付的基本功能,實現從 IT 成本中心轉型成為價值創造服務供應商。一旦實現,這些功能將包括 IBM Cloud z/OS 調配與管理,以及即時 SMF 分析基礎架構支援的工作流程擴展。

IBM 全球融資服務可幫助信用合格的客戶獲得全新的 IBM Z,降低總體擁有成本,並加快投資報酬率。IBM 全球融資服務提供的 IBM 主機解決方案能夠透過 IBM 及其合作夥伴獲取,其提供可客製化的靈活條款和條件,能滿足成本、專案效益或其他客戶所需。

註 1 :來源:「全面加密:全新的保護模式」。 Solitaire Interglobal Ltd. 首席系統工程師 K. R. E. Lind, 2017 年 6 月 30 日。
註 2 :執行 WebSphere Liberty on z14 Linux on z 的客戶可以透過使用明確的 AES_128_GCM 加密密碼及 IBM Java 8 SR5,實現超 x86 系統 2.6 倍的單核輸送量提升。具體性能取決於 IBM 內部測試,其執行基礎是 DayTrader 3 with WebSphere Liberty 8.5.5.9,採用的是 SSL 明文金鑰和 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 密碼。Liberty DayTrader 3 評估的執行基礎是獨立式專用 LPAR on IBM z14,執行環境是配置有 4 個 IFL 和 SMT 的 SLES 12 SP1,共計 8 個硬體執行緒。Liberty 使用的是 IBM 64 位 SDK for z/OS(Java 技術版),Version 8 Service Refresh 5(Java 8 SR5)。相比之下,x86 DayTrader 3 on Liberty 評估的執行基礎是獨立式 WebSphere Liberty 8.5.5.9 伺服器,其所處環境是 Intel(R)Xeon(R)CPU E5-2690 v4 @ 2.60GHz;可支援 HyperThreading、4 核/8 個硬體執行緒、97 GB 記憶體,RHEL 7.2,以及 HugePages。Liberty 使用 OpenJDK 8_131。第二代 x86 系統運行 DB2 V10.1,主要用於維護應用資料。第二代 x86 系統的配置包括 Intel(R)Xeon(R)CPU E7- 2830 @ 2.13GHz,無需 HyperThreading 支持;CPU 資訊如下:8 個物理內核、8 個邏輯內核;16 GB 記憶體,以及 RHEL 5.7。第三代 x86 系統運行 JMeter-2.12,以驅動 DayTrader 3 工作負載。第三代 x86 系統的配置包括 Intel(R)Xeon(R)CPU E5-2650 v2 @ 2.60GHz,可支援 HyperThreading;CPU 資訊如下:16 個物理內核、32 個邏輯內核;197 GB 記憶體,以及 RHEL 7 GA x86-64。總網路通訊量高於 10 GB Network。
註 3 :如果客戶使用無加密支援的 WebSphere Liberty on z14 Linux on z,他們可以藉助 IBM Java 8 SR5,實現超過 x86 系統 1.6 倍的單核輸送量提升。性能結果基於運行 DayTrader 3 及 WebSphere Liberty 8.5.5.9 的 IBM 內部測試,所用金鑰為 SSL 明文金鑰,以及 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 密碼。Liberty DayTrader 3 評估的執行基礎是獨立式專用 LPAR on IBM z14,運行環境是配置有 4 個 IFL 和 SMT 的 SLES 12 SP1,共計 8 個硬體執行緒。Liberty 使用的是 IBM 64 位 SDK for z/OS(Java 技術版),Version 8 Service Refresh 5(Java 8 SR5)。相比之下,x86 DayTrader 3 on Liberty 評估的執行基礎是獨立式 WebSphere Liberty 8.5.5.9 伺服器,其所處環境是 Intel(R)Xeon(R)CPU E5-2690 v4 @ 2.60GHz;可支援 HyperThreading、4 核/8 個硬體執行緒、97 GB 記憶體,RHEL 7.2,以及 HugePages。Liberty 使用 OpenJDK 8_131。第二代 x86 系統執行 DB2 V10.1,主要用於維護應用資料。第二代 x86 系統的配置包括 Intel(R) Xeon(R)CPU E7- 2830 @ 2.13GHz,無需 HyperThreading 支持;CPU 資訊如下:8 個物理內核、8 個邏輯內核;16 GB 記憶體,以及 RHEL 5.7。第三代 x86 系統運行 JMeter-2.12,以驅動 DayTrader 3 工作負載。第三代 x86 系統的配置包括 Intel(R) Xeon(R)CPU E5-2650 v2 @ 2.60GHz,可支援 HyperThreading;CPU 資訊如下:16 個物理內核、32 個邏輯內核;197 GB 記憶體,以及 RHEL 7 GA x86-64。總網路通信量高於 10 GB Network。
註 4:基於 z14 和 zHyperLink 的優勢,我們可以實現 10 倍讀取延遲減少,因為根據對 DS8886 和 z13 的評估結果,I/O 的中斷和調度不會有所影響。此回應時間的預測依據是 IBM 的內部評估結果和預測結果,參照物件是使用 zHPF 且具有類似配置的 zHyperLink Express。根據評估和預測結果,我們可以推測 75% 或以上的工作負載回應時間與 DASD I/O 及儲存系統隨機讀取緩存的命中率相關,而此命中率一般在 80% 以上。在此兩種情境下,執行環境為配備 10 個 CP 的 z14。zHPF 測試使用 FICON Express 16S+ 連接 DS8886。同樣,zHyperLink 測試也使用 DS8886 執行。實際性能因使用者體驗的不同而有所差異。