三、存儲安全模式

 

上文介紹了減少危險的幾種方式。下面要介紹的是數據訪問路徑和管理訪問路徑方法。在大的方面，可以把這些降低威脅的方法分為數據安全和管理安全兩個方面，進而將之分為更細的方法。其中有的方法已經非常普遍，也有許多仍在研究中，相信在幾年后就會有應用。例如，在現在的SAN的安裝中，選擇性地選擇設備和邏輯卷提供給用戶使用，這種模式已經非常通用的技術，而存儲加密則是前沿技術。

數據訪問安全和管理安全將在下一部分進行詳細討論。

 

數據訪問安全

怎樣阻止未經授權的訪問，修改數據，破壞數據？有三個廣泛的技術領域涉及到這一點，即身份（認證）、授權（LUN安全）以及機密性/完整性（加密）。

 

1、身份認證

與存儲有關的驗證分為三個級別：不驗證、FCWWN驗證、詢問/響應設備來證明自己的身份。原來根本不驗證。最近FCWWN(WorldWideName)被用來驗證設備的身份。將來，FC和iSCSI，以及更高級的詢問/響應（challenge/response）協議將用于確認設備的身份。

 

不認證

早期的FC安裝將SAN劃分為幾個區域。與某個區域連接的系統被假定屬于那個區域。就像是SCSI纜線上的系統。由于互操作性或錯誤隔離等原因，分區仍然很重要。

FibreChannelWWN

現在FC驗證的最好方法是在線存儲識別發出請求的系統的唯一WWN，把WWN作為其身份。對于應付簡單的管理員錯誤或偶然的攻擊，這種方法足以應付了。在理論上，經驗豐富的黑客可以偽造屬于另一個系統的WWN。

 

光纖安全協定

在FC-SP規格下，FC設備利用最高級別的詢問/響應協議互相之間進行認證。幾年之后，支持FC-SP的設備才能得到普及，將非FC-SP設備鎖定在預先存在的SAN之外。

 

iSCSI

問詢-握手身份驗證協議（Challenge-HandshakeAuthenticationProtocol，CHAP）通過匹配用戶名和登陸密碼，來識別用戶的身份。密碼不需要以純文本的形式在網絡中傳輸，從而避免了掉包和被攔截的情況發生，所以，該協議贏得了許多網絡管理員的信任。不過，值得一提的是，這些密碼必須存放在連接節點的終端，有時候甚至以純文本文件的形式保存。遠程身份驗證撥入用戶服務（RemoteAuthenticationDial-InUserService，RADIUS）協議能夠將密碼從iSCSI目標設備上轉移到中央授權服務器上，對終端進行認證、授權和統計，即使如此，網絡黑客仍然可以通過偽設置的辦法，侵入客戶端。

由于iSCSI使用的是IP協議，所以它的安全依賴于IP安全協議。但基本的IP傳輸缺乏安全，這就使得任何精通該領域的人可以截獲或者修改IP通信。保護IP通信的一個更為流行的方法是采用IP安全協議（IPSecurityProtocol，簡稱IPSec）。IPSec是個基于IP的安全協議，不同于SSL安全協議，后者基于OSI模型的應用層。

 

詢問/響應協議

雖然高級認證的細節非常復雜，但是其概念非常簡單。服務器產生一個隨機的詢問。然后將它發送給客戶端。客戶端對它加密后送回給服務器作為一個響應。服務器解密這個響應并與發出的詢問對比。如果比較的結果是正確的那么服務器就允許訪問。

公共鑰匙加密使用由公共和私有組件組成的兩部分密鑰（代碼）。加密郵件使用的是收件人已經公布的公共密鑰。收件人使用只有自己知道的未公布專用密鑰來解密郵件。

 

2、授權

授權的模式發生演變，從原來的DAS模式的“如果你看到它，你就擁有它”到更加復雜的機制，使共享SAN的資源變成可能。

 

邏輯單元屏蔽(LUNMasking)――SAN結構中存儲設備是被當作本地設備訪問的，文件系統和數據的維護在主機端完成。所以，SAN中一般情況下，需要基于主機的數據隔離，即所謂的LUNMasking技術。這種技術主要保證多種操作系統平臺不會互相破壞文件系統。

 

LUNmasking能使磁盤通過SAN分配給一臺計算機，而其它計算機在此時則無法看到該磁盤。如果你應用LUNmasking，那么一個單獨的RAID將被分到多個邏輯磁盤上，這些磁盤都分配給了指定的計算機。

 

iSCSI――iSCSI設備提供設備級的和per-LUN訪問控制表(ACLs)。per-LUN訪問控制表類似于FCLUN屏蔽。虛擬局域網(VLANs)類似于FCSANs中的區域。管理員需要檢驗某個陣列支持的功能是不是他們計劃利用的功能。

 

NAS――NAS數據訪問通常是基于兩種協議，NFS/CIFS。這兩種協議對待文件訪問許可的方式差不多是一樣的。主流的NFS協議適用普遍，而且很有效。然而，NFS經常會遭到“偽裝”攻擊，所以應該用合適的防火墻來阻止惡意的用戶。現在已經出現不少結合NAS和iSCSI的設備。當共享一個公共網絡連接時，這兩個協議有不同的訪問權限機制，并且是單獨管理的。

 

3、加密

加密獲得越來越多關注。很久以來，加密通常被用于軍事領域或間諜行動，但是現在加密技術突然找到了一片廣闊的市場。互聯網需要加密來確保數據傳輸的安全。VLSI（超大規模集成電路）使安全對很多人來說不會是很大的經濟負擔。另一方面，computerpower的指數式增長使專家有可能“使用每一把鑰匙”破譯消息，這在幾年前是根本無法想象的。

 

雖然給存儲系統上速度為幾百兆每秒的數據加密要比給PC機上的幾千字節加密困難得多，但是現在的加密技術仍然能保證每秒幾百兆的速度。存儲行業的很多人都在思考怎樣利用這項技術，導致很多廠商紛紛推出自己的加密產品。廠商并沒有針對某一設備推出加密產品，而是考慮到客戶需要系統地解決加密問題。通常，不管是傳輸中的數據（在FC，以太網或WAN中傳輸的數據）還是靜止的數據（磁盤或磁帶上的數據）都能夠加密。

 

數據在數據中心之間傳輸

當數據從一個數據中心復制到另一數據中心時，就不能再只是通過數據中心的物理安全來保護數據了。這樣做存在危險。因為數據在自己的纜線通道里穿過幾千公里的光纖比穿過租借的線纜要安全得多，而數據穿過租借的線纜又比穿過互聯網要安全得多。

 

在上述任何一種情形下，即使數據中心外的線纜缺乏物理安全，也可以用一個加密盒來減少安全隱患。只要數據在離開數據中心之前通過加密盒就可以了。當然，相應地在數據進入接受它的數據中心之前也要通過加密盒。目前市面上的加密盒可以支持FC和IP網，支持IP網的叫做IPsec網關。現在數據中心普遍安裝了這樣的加密設備，因為成本不高而且復雜性也比較低。

 

數據在數據中心內部傳輸

絕大多數數據中心的安全計劃都建立了一個安全邊界，人們覺得在數據中心內部受到竊聽器的威脅的幾率是很小的。但是，威脅依然存在。所以，在數據中心內部對數據進行加密也是非常有必要的。目前，數據中心內部的加密設備只能支持FC。

 

光纖通道安全協議

光纖通道安全協議標準不僅包括認證，還包括EncapsulatingSecurityPayload(ESP)加密，EncapsulatingSecurityPayload(ESP)加密，ESP加密為FC設備提供一種改變密碼的方法，然后可以對FC設備間的數據進行加密。

 

iSCSI

盡管iSCSI對很難滿足存儲的性能要求，但是現在取得了普遍的應用。隨著以太網接口內置的數據加密越來越通用也比較經濟，在數據中心對存儲實現加密將有可能成為現實。不過，這至少還需幾年的時間。