磁盤上的數據（在線存儲）

近來，數據中心機密客戶數據丟失事件屢見報端。現在的加密方法通常是利用一個密匙，以一種特殊的方法來轉換數據。在數據被加密后，必須破譯密匙，才能利用數據。目前業內有多種數據加密運算法則，比如數據加密標準（DataEncryptionStandard，DES)、三重DES（Triple-DES）、高級加密標準（AdvancedEncryptionStandard，AES）

 

加密很重要的一點是密碼的長度。如果一個密碼很短，假如只有10位，那就只有1024種可能性。利用一臺PC機，可能只需要一秒鐘的時間就能將1024種可能的密碼全部試一遍，然后找到正確的密碼。這就是所謂的“破解”密碼。如果密碼很長，比如說有1000位，那就有2^1000可能性，那么，用現有所有的計算機算一百萬年也無法都試一遍。

 

然而，以現在磁盤的I/O速度，用1000位的密碼加密是完全不切實際的。從實際出發，加密算法和密碼的長度必須根據現有的高速加密/破譯VLSI設備來選擇。這就是說，如果密碼太復雜，一旦某個專業政府組織確實想要“破譯”他們的磁盤上究竟有些什么東西，那沒有一家商業機構可以破譯，更不用提黑客了。

 

目前密碼的長度通常是100位至150位。密碼必須是隨機選擇的，如果密碼被猜到，那安全就受到威脅了。加密磁盤上的數據需要適當地密碼管理，這就是說必須平衡更改密碼的困難（所有數據必須重寫）和丟失密碼的危險。

 

保存多份密碼的副本意味著安全更有可能會受到威脅，只保留一份副本或幾份副本則意味著密碼更有可能因為一個系統故障或人為錯誤而被毀壞。目前市面上已經有密碼管理軟件，但是管理加密數據是否成功更多地取決于人而不是技術。

 

磁帶，光盤，其他媒介（近線存儲）的數據

 

備份磁帶上的數據是很容易被竊取，不僅僅是從安全的數據中心，有些時候從不太安全的分支辦公室竊取。而且備份磁帶上的數據丟失相比磁盤更難被發現。這就需要為備份磁帶上的數據進行加密。

 

目前，這樣的加密已經可以實現，利用上文討論到的加密工具就可以了。鑰匙管理成為了一個極具挑戰性的問題，因為如果要獲取磁帶上的數據，就必須保留每個已知備份磁帶的鑰匙。

 

管理安全

存儲設備的基本管理安全遠沒有加密技術這樣花哨，管理安全是現在必須重視的重要領域。這個領域目前處于過渡期。

 

以前，存儲只是屬于某個系統，存儲管理軟件運行在那個系統上，唯一的存儲安全是（存儲管理安全）是由系統提供。

 

隨著存儲被多個系統共享，特別是一個管理實體被安裝在一個或多個系統上，存儲管理員就需要通過密碼來管理某一特別的陣列。這是當前業界普遍采用的方法，而且在只有一個管理員管理適當數量的存儲時，這個方法效果很好。

 

然而，在過去幾年中，存儲需求快速增加，需要多個管理員來管理存儲，關于允許哪個管理員在哪臺存儲設備上可以執行怎樣的行動有更加詳細的規定。

 

單一登陸可以通過RADIUS（遠程身份驗證撥入用戶服務）協議來實現，RADIUS發送給中央服務器一個確認請求。微軟的ActiveDirectory要求在確認用戶的標識之后，才允許訪問網絡，此過程稱為身份驗證。用戶只需要提供對域（或受信任域）的單一登錄即可訪問網絡。當ActiveDirectory確認用戶的身份之后，進行身份驗證的域控制器上的LSA將生成一個訪問令牌，確定用戶可以對網絡資源進行哪個級別的訪問。

 

審計跟蹤和日志必須顯示哪位管理員執行了操作。這對于基于每臺設備的管理員來說是很難實現的，當所有設備上這樣的數據可以看得見時，很多問題（攻擊）才能顯現出來。在大規模的安裝中，展現日志全部內容并且可搜索內容的工具是很需要的。

 

這幾年來，已經有不少人開始在數據中心集中認證和安全。存儲管理原來是利用能夠管理同一類型的多個設備的工具，現在開始利用單一登錄的一套工具，這些工具不僅能夠管理不同類型的存儲設備，甚至可以將多種服務器和存儲一起管理。

 

重要的是，要明白針對不同的產品有不同的變化，以避免中斷現有安裝和現有程序。安裝規模比較小的客戶仍然可以以傳統的方法來使用產品。

 

驗證

從技術上看，SSO使用戶可以登錄到一個主域上，但可以訪問其他次級域。例如，NovellNetWare網絡代表著一個域，WindowsNT代表著一個域，IBM也代表著一個域，如此等等。在多登錄環境中的正常環境下，用戶必須分別登錄到每個次級域。在使用SSO時，IT經理指定特定平臺作為主認證域來控制對所有域的訪問。當用戶登錄到這個SSO主域時，他提供在登錄到任何次級域時所需要的所有證明。然后主域負責為次級域完成對用戶的認證。

 

集中驗證服務有幾個優點。單一登錄允許用戶只登錄到系統上一次，而后授權訪問其他連接的系統，無需再進行登錄。當用戶只需要記憶一個口令時，管理和支持費用將會大大減少，并且總體環境將會更安全。

 

授權

除了單一登錄，現有存儲管理方法與傳統方法的第二點不同是不再是一個管理員登錄來管理一個設備，而是所有管理員共享權力。

 

第三點，也可能是最重要的區別是管理員特權可以以一種特別精細的方式授權給管理員。舉個例子，某管理員可以看到某一特定存儲系統中的一切信息，但是沒有權力更改信息，但是更高級的管理員可以更改信息。此外，客戶仍然可以靈活地進行服務器和存儲管理。一個小公司可以繼續讓一個管理員擁有所有的權利，而大公司可能繼續分為獨立的存儲、服務器、網絡管理部門，每個部門根據特殊個人的角色擁有不同的權力。

 

審計

所有配置上的改變和其他重大事件都應該被記錄上，因此任何問題都可以追蹤到原始狀態。知道是哪位管理員在什么時候做出錯誤的配置改變，這樣，要找出并更改錯誤就簡單得多。

 

對數據中心中不同設備的審計跟蹤/日志有一個集中的了解是很重要的。在出現問題時，要辨別問題是由安全入侵引起的，還是管理員錯誤或其它問題，從日志的整體上考慮比從個別要素上考慮有效得多。還可以要求所有安全管理員根據日志定期提交詳細報告。

 

當在設備之間自動遷移數據的時候，執行數據遷移的軟件必須得到授權，而且必須保留這樣的遷移記錄。這是一個新興的領域，當前來說，這更多的是一個目標，而不是標準的執行方式。

 

四、建議

存儲安全是數據中心安全和業務安全的一部分。因此，任何產品級的產品模式必須得到客戶業務策略和執行的補充，包括網絡安全和系統安全。在未來幾年中，保護所有設備的管理接口的安全是最重要的。

首先，中止所有不用的交換機和其他設備中的管理端口。更改設備管理密碼，用更復雜的密碼，必須包含字母和數字。通常要避免使用常規的字典里的詞匯或其他術語，因為這樣很容易被入侵者猜到。必須要用至少一層防火墻將存儲設備上的LAN管理端口與廣為訪問的網絡隔離開來。由于存儲設備以及可以在數據中心利用集中認證，數據中心的存儲設備還可以進行基于角色的授權，因此存儲安全計劃也應該不斷完善，利用這些技術。

最重要的是，首先要制定一個完整而周詳的存儲安全計劃，內容包含具體實施人員，程序，設備。其次，這個存儲安全計劃還要符合整個數據中心和業務計劃。再次，在情況允許和技術允許的情況下，不斷修改完善計劃。最后，測試計劃。