資源描述:
《在交換機上實現(xiàn)存儲安全》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫���。
1、在交換機上實現(xiàn)存儲安全 一般企業(yè)網(wǎng)絡(luò)都具有一定的安全防范策略和設(shè)備���,如防火墻�����、入侵監(jiān)測系統(tǒng)(IDSs)��、代理服務(wù)器等����,盡管它們也可以在一定程度上起到為存儲安全建立一層防護線的作用,但是����,存儲安全的的核心技術(shù)應(yīng)該從存儲網(wǎng)絡(luò)的安全性、交換機光纖���、設(shè)備�、陣列����、主機總線適配器(HBA)等方面來實現(xiàn)?! C、IP網(wǎng)絡(luò)的安全性 不論是光纖通道還是IP網(wǎng)絡(luò)����,主要的潛在威脅來自非授權(quán)訪問�,特別是管理接口�。例如,一旦獲得和存儲區(qū)域網(wǎng)絡(luò)(SAN)相連接服務(wù)器管理員的權(quán)限�����,欺詐進入就可以得逞�����。這樣入侵者可以訪問任何一個和SAN連接的系統(tǒng)���。因此����,無論使用的是哪一種存儲網(wǎng)絡(luò)����,應(yīng)
2、該認(rèn)識到應(yīng)用充分的權(quán)限控制�����、授權(quán)訪問���、簽名認(rèn)證的策略對防止出現(xiàn)安全漏洞是至關(guān)重要的����?! y錯攻擊在IP網(wǎng)絡(luò)中也比在光纖通道的SAN中易于實現(xiàn)。針對這類攻擊�����,一般是采用更為復(fù)雜的加密算法���?��! ”M管DoS似乎很少發(fā)生,但是這并不意味著不可能���。然而如果要在光纖通道SAN上實現(xiàn)DoS攻擊����,則不是一般的黑客軟件所能實現(xiàn)的���,因為它往往需要更為專業(yè)的安全知識���?���! 崿F(xiàn)SAN數(shù)據(jù)安全方法 保證SAN數(shù)據(jù)安全的兩個基本安全機制是分區(qū)制zoning和邏輯單元值(LogicalUnitNumber)掩碼�����?�! 》謪^(qū)制是一種分區(qū)方法��。通過該方法���,一定的存儲資源只對于那些通過授權(quán)的用戶
3��、和部門是可見的��。一個分區(qū)可以由多個服務(wù)器�����、存儲設(shè)備�、子系統(tǒng)、交換機��、HBA和其它計算機組成���。只有處于同一個分區(qū)的成員才可以互相通訊?�! 》謪^(qū)制往往在交換級來實現(xiàn)�����。根據(jù)實現(xiàn)方式�,可以分為兩種模式,一為硬分區(qū)��,一為軟分區(qū)��。硬分區(qū)是指根據(jù)交換端口來制定分區(qū)策略��。所有試圖通過未授權(quán)端口進行的通訊均是被禁止的��。由于硬分區(qū)是在系統(tǒng)電路里來實現(xiàn)���,并在系統(tǒng)路由表中執(zhí)行���,因此�����,較之軟分區(qū)����,具有更好的安全性�����?���! ≡诠饫w通道網(wǎng)絡(luò)中,軟分區(qū)是基于廣域命名機制的(WWN)的��。WWN是分配給網(wǎng)絡(luò)中光纖設(shè)備的唯一識別碼�����。由于軟分區(qū)是通過軟件來保證在不同的分區(qū)中不會出現(xiàn)相同的WWNs���,因此���,
4��、軟分區(qū)技術(shù)比硬分區(qū)具有更好的靈活性�����,特別是在網(wǎng)絡(luò)配置經(jīng)常變化的應(yīng)用中具有很好的可管理性�?! ∮行┙粨Q機具有端口綁定功能����,從而可以限制網(wǎng)絡(luò)設(shè)備只能和通過預(yù)定義的交換端口進行通訊。利用這種技術(shù)��,可以實現(xiàn)對存儲池的訪問限制�,從而保護SAN免受非授權(quán)用戶的訪問?��! ×硪环N被廣泛采用的技術(shù)是LUN掩碼�。一個LUN就是對目標(biāo)設(shè)備(如磁帶和磁盤陣列)內(nèi)邏輯單元的SCSI識別標(biāo)志����。在光纖通道領(lǐng)域�,LUN是基于系統(tǒng)的WWN實現(xiàn)的�����?���! UN掩碼技術(shù)是將LUN分配給主機服務(wù)器,這些服務(wù)器只能看到分配給它們的LUN����。如果有許多服務(wù)器試圖訪問特定的設(shè)備,那么網(wǎng)絡(luò)管理者可以設(shè)定特定的L
5���、UN或LUN組可以訪問��,從而可以拒絕其它服務(wù)器的訪問�,起到保護數(shù)據(jù)安全的目的����。不僅在主機上,而且在HBA�、存儲控制器、磁盤陣列���、交換機上也可以實現(xiàn)各種形式的LUN屏蔽技術(shù)����。 如果能夠?qū)⒎謪^(qū)制和LUN技術(shù)與其它的安全機制共同運用到網(wǎng)絡(luò)及其設(shè)備上的話�����,對網(wǎng)絡(luò)安全數(shù)據(jù)安全將是非常有效的��?���! I(yè)界對存儲安全的做法 盡管目前對于在哪一級設(shè)備應(yīng)用存儲安全控制是最優(yōu)的還沒有一個明確的結(jié)論��,例如���,IPSec能夠在ASIC��、VPN設(shè)備���、家電和軟件上實現(xiàn),但目前已有很多商家在他們的數(shù)據(jù)存儲產(chǎn)品中實現(xiàn)了加密和安全認(rèn)證功能�����。 IPSec對于其它基于IP協(xié)議的安全問題�����,比如互聯(lián)網(wǎng)
6�����、小型計算機接口(iSCSI)����、IP上的光纖通道(FCIP)和互聯(lián)網(wǎng)上的光線通道(IFCP)等,也能起到一定的的作用�。 通常使用的安全認(rèn)證�����、授權(quán)訪問和加密機制包括輕量級的路徑訪問協(xié)議LightweightDirectoryAccessProtocol(LDAP)�����、遠程認(rèn)證撥入用戶服務(wù)(RADIUS),增強的終端訪問控制器訪問控制系統(tǒng)(TACACS+)��、Kerberos、TripleDES�����、高級加密標(biāo)準(zhǔn)(AES)����、安全套接層(SSL)和安全Shell(SSH)?�! ”M管SAN和NAS的安全機制有諸多相似之處�����,其實它們之間也是有區(qū)別的��。很多NAS系統(tǒng)不僅支持SSH
7�����、�����、SSL����、Kerberos、RADIUS和LDAP安全機制����,同時也支持訪問控制列表(ACL)以及多級許可。這里面有一個很重要的因素是文件鎖定����,有很多產(chǎn)品商家和系統(tǒng)通過不同的方式來實現(xiàn)這一技術(shù)。例如��,微軟采用的為硬鎖定���,而基于Unix的系統(tǒng)采用的是相對較為松弛的建議級鎖定�����。由此可以看到�,如果在Windows-Unix混合環(huán)境下�,將會帶來一定的問題?�! 『魡敬鎯Π踩珮?biāo)準(zhǔn)化 SAN安全的實現(xiàn)基礎(chǔ)在交換機這一層。因此����,存儲交換機的標(biāo)準(zhǔn)對網(wǎng)絡(luò)產(chǎn)品制造商的技術(shù)提供方式的影響是至關(guān)重要的?! 〈鎯Π踩珮?biāo)準(zhǔn)化進程目前還處于萌芽階段。ANSI成立了T11光纖通信安全協(xié)議(FC
8�����、-SP)工作組來設(shè)計存儲網(wǎng)絡(luò)基礎(chǔ)設(shè)施安
