| 
        
       
       
      
       
      
       
       
       
         咨詢電話:010-51727811/12/13 
       
       
       
       
        
       
          
          
          
          
        
       
       
       
      
       
     
       
    
       
     
   
       
  
       

    
    
    
    
      
    	
      
        	
      當前位置: 首頁 > 新聞中心 > 業內新聞 > 
      
            
      
            	
            	
                
                
                
                
      
                	
                    
      
                    	
      存儲安全及實現存儲安全的方法介紹(一)
      
                        
      時間:2012-07-26 17:10  來源:飛客數據恢復   作者:飛客數據恢復工程師
      
                        
      
                        	
      
	飛客數據恢復工程師經過長期以來,對存儲技術的刻苦鉆研有了一些心得,并與大家分享討論,本文章主要講解了存儲技術的介紹和多種相關技術的應用,希望對大家能有所幫助。在數據恢復技術上飛客的工程師們都有高超的技術,恢復成功率非常之高,如果您有什么疑慮歡迎隨時撥打我們的免費咨詢電話,或登錄我們的首頁進行在線咨詢。
      

      
	 
      

      
	現在必須保障存儲設備的安全性,因此,現在必須要做到的是:保護機密的數據;保證數據的完整性;防止數據被破壞或丟失。
      

      
	通常,保護數據安全的方法有:
      

      
	身份認證(管理員必須登陸之后才能進行管理操作,發展中的技術:設備在加入存儲網絡之前必須登陸注冊)
      

      
	授權(每個管理員只能執行某些特定的操作,存儲設備對每個IO操作進行檢查,防止非法的數據源寫入數據)、
      

      
	審計跟蹤(存儲系統通過日志記錄管理員的操作和發生的事件,這樣可以有效追蹤問題的原因)、加密(有效地保護數據的保密性和完整性)
      

      
	存儲安全是數據中心安全和業務安全的一部分。因此,任何產品級的產品模式必須得到客戶業務策略和執行的補充,包括網絡安全和系統安全。
      

      
	 
      

      
	實現存儲安全首先要做的是:
      

      
	1.確保交換機、陣列等的管理接口和管理端口的安全。
      

      
	-利用復雜的密碼
      

      
	-禁止設備上未用過的管理端口
      

      
	2.確保LUN安全。
      

      
	3.在特別的案例中,或者為了滿足特定業務目標時,進行加密。
      

      
	 
      

      
	最重要的是,首先要制定一個完整而周詳的存儲安全計劃,內容包含具體實施人員、程序、設備。其次,這個存儲安全計劃還要符合整個數據中心和業務計劃。再次,在情況允許和技術允許的情況下,不斷修改完善計劃。最后,測試計劃。
      

      
	 
      

      
	一、存儲安全簡介
      

      
	 
      

      
	在過去十年中,存儲已經演變為多個系統共享的一種資源。很多案例都表明,只保護存儲設備所在的系統的安全已經不能滿足需要了。存儲設備現在連接到很多系統上,因此,必須保護各個系統上的有價值的數據,防止其他系統未經授權訪問數據,或者破壞數據。相應的,存儲設備必須要防止未被授權的配置改變,對所有的更改都要做審計跟蹤。
      

      
	 
      

      
	存儲安全是客戶整個安全計劃的一部分,也是數據中心安全和組織安全的一部分。如果只小心翼翼地保護存儲的安全而將整個系統向互聯網開放,那這樣的存儲安全是絲毫沒有意義的。應該認識到,安全計劃可能需要滿足各種數據庫和應用的不同層次的安全需求。
      

      
	 
      

      
	當前主要有三種存儲架構:DAS(直連存儲)、NAS(網絡附加存儲)、SAN(存儲區域網絡)。DAS是直接連接到一個單一的系統。NAS是通過EthernetLAN網絡的方式來訪問文件。SAN是通過一個存儲網絡來訪問,現在典型的是FC(光纖通道)SAN。iSCSISAN基于EthernetLAN,但是目前使用并不廣泛。Objectstorage是一種新興的技術,結合SAN和NAS。本文指的存儲主要是SAN和NAS。
      

      
	 
      

      
	存儲安全不是附加在SAN上的一個設備。存儲安全是一種屬性,是每個系統,每個交換機,每個SAN中的設備的一種屬性。存儲安全意味著要應付多種威脅,不是所有的危險都能提前預知的。存儲安全還包括一整套程序,即定義數據訪問權力,授權管理設備,當安全問題出現時給予合適的回應。最后,或許也是最重要的是,被授權訪問數據或管理設備的人必須是可靠的,經過精心挑選的。
      

      
	 
      

      
	用一個組織的中心目錄(比如ActiveDirectory,NDS)來進行認證有幾種重要的好處。首先,個人只有被授予的權力去管理特定的設備,或者對很多設備進行有限訪問(比如可以看到配置數據但是無法更改數據)。其次,審計跟蹤(日志)會顯示做了什么,是誰做的。這些日志會組織故意濫用權力并幫助糾正錯誤。第三,如果個人的責任有所改變,或者他(她)離職,那么就可以直接刪除他(她)的身份或者改變授權。
      

      
	 
      

      
	原則上,存儲安全是很簡單直接的。在線存儲――磁盤存儲――被指定為不同的部分。每個部分屬于一個特殊的系統或用戶。如果這個部分被訪問,存儲系統會查看訪問請求發回的地址,如果這個地址不是所有者的,那么就拒絕請求。
      

      
	 
      

      
	在實踐中,建立存儲安全要求專業的知識,留意細節,不斷檢查,確保存儲解決方案繼續滿足業務不斷改變的需要。必須減少諸如偽造回復地址這樣的威脅。最重要的是,安全的本質是三方面達到平衡,即采取安全措施的成本,安全缺口帶來的影響,入侵者要突破安全措施所需要的資源。
      

      
	 
      

      
	二、大型數據中心的存儲安全
      

      
	 
      

      
	存儲安全固然十分重要,但是存儲安全只是數據中心整個安全解決方案的一個組成部分。安全是一個內涵很廣泛的話題,存儲在業務流程中扮演的并非是主角,但確實是關鍵角色,因為存儲包含了公司絕大部分記錄,如果沒有存儲,很多業務流程將沒法繼續。
      

      
	 
      

      
	存儲安全的重點不僅體現在企業的安全管理和危機意識,也體現在它集中式的授權模式和認證服務。當企業制定的存儲安全策略沒有和服務器和網絡的安全策略集中考慮的時候,黑客就可以從這三個方面尋找突破口。為了防止這類事件,認證和審計就必須在這三個方面都要有實施。
      

      
	 
      

      
	對于標準網絡上的存儲,包括NAS和iSCSI塊級存儲在內,安全取決于是怎樣保護網絡的以及存儲系統自身。特別是當通過公司的中樞網絡而不是獨立存儲網絡或子網絡訪問存儲時,安全更加取決于網絡自身的安全。
      

      
	 
      

      
	病毒以及類似蓄意破壞的行為都是必須考慮的重要問題。目前控制病毒的主要方法是網絡級防火墻和獨立客戶機/服務器級的防火墻,電子郵件防火墻可以掃描郵件消息找出已知的病毒,單獨的客戶機/服務器級防火墻可以檢測正在讀寫的文件,發現可疑的跡象。
      

      
	 
      

      
	對于SAN和DAS存儲來說,LUNs提供給系統,只有系統才能清楚某一文件是從何開始在哪結束的,因此,只有系統能檢測出文件的病毒。
      

      
	 
      

      
	對于NAS和對象存儲來說,可以在存儲子系統內檢測病毒。最重要的是,要減少病毒威脅,需要以全局的眼光來計劃并規劃,然后在IT基礎架構合適的地方來實施解決方案。
      

      
	 
      

      
	存儲安全的目的
      

      
	存儲安全的目的是要保護:
      

      
	保護機密的數據;
      

      
	保證數據的完整性;
      

      
	防止數據被破壞或丟失。
      

      
	 
      

      
	一旦發生數據丟失或被破壞,后果可想而知。敏感的業務數據或客戶資料將被泄露,業務記錄將被篡改或毀壞。所有最糟糕的情形都有可能發生。
      

      
	減少存儲安全的危險
      

      
	 
      

      
	通常用于減少危險的方法有:
      

      
	 
      

      
	身份認證
      

      
	在管理員的行動得到許可以前,管理員必須登錄
      

      
	 
      

      
	授權
      

      
	當特定存儲管理員發送一個請求后,在執行請求行動之前存儲設備必須驗證管理員的請求是得到授權的。
      

      
	當特定系統發送I/O指令后,在執行I/O指令之前磁盤陣列必須驗證這個指令是否得到許可。現在有一項新興的技術是磁帶庫控制器可以驗證I/O許可。
      

      
	 
      

      
	審計
      

      
	存儲子系統記錄管理員所有的舉動以及任何重大事件。審計子系統提供了一種紀錄系統安全方面信息的方法,同時可以為系統管理員在用戶違反系統安全法則或存在違反的潛在可能時,提供及時的警告信息,這些審計子系統所搜集的信息包括:可被審計的事件名稱,事件狀態(成功或失敗),別的安全相關的信息。
      

      
	 
      

      
	加密(目前還沒有得到廣泛應用)
      

      
	保護數據的機密性(沒人可以看見)和完整性(沒人可以更改)
      

      
	-給磁盤上的數據加密
      

      
	-給磁帶和其他可移動的介質上的數據加密