飛客數(shù)據(jù)恢復(fù)工程師經(jīng)過(guò)長(zhǎng)期以來(lái)，對(duì)存儲(chǔ)技術(shù)的刻苦鉆研有了一些心得，并與大家分享討論，本文章主要講解了存儲(chǔ)技術(shù)的介紹和多種相關(guān)技術(shù)的應(yīng)用，希望對(duì)大家能有所幫助。在數(shù)據(jù)恢復(fù)技術(shù)上飛客的工程師們都有高超的技術(shù)，恢復(fù)成功率非常之高，如果您有什么疑慮歡迎隨時(shí)撥打我們的免費(fèi)咨詢電話，或登錄我們的首頁(yè)進(jìn)行在線咨詢。

 

現(xiàn)在必須保障存儲(chǔ)設(shè)備的安全性，因此，現(xiàn)在必須要做到的是：保護(hù)機(jī)密的數(shù)據(jù)；保證數(shù)據(jù)的完整性；防止數(shù)據(jù)被破壞或丟失。

通常，保護(hù)數(shù)據(jù)安全的方法有：

身份認(rèn)證（管理員必須登陸之后才能進(jìn)行管理操作，發(fā)展中的技術(shù)：設(shè)備在加入存儲(chǔ)網(wǎng)絡(luò)之前必須登陸注冊(cè)）

授權(quán)（每個(gè)管理員只能執(zhí)行某些特定的操作，存儲(chǔ)設(shè)備對(duì)每個(gè)IO操作進(jìn)行檢查，防止非法的數(shù)據(jù)源寫(xiě)入數(shù)據(jù)）、

審計(jì)跟蹤（存儲(chǔ)系統(tǒng)通過(guò)日志記錄管理員的操作和發(fā)生的事件，這樣可以有效追蹤問(wèn)題的原因）、加密（有效地保護(hù)數(shù)據(jù)的保密性和完整性）

存儲(chǔ)安全是數(shù)據(jù)中心安全和業(yè)務(wù)安全的一部分。因此，任何產(chǎn)品級(jí)的產(chǎn)品模式必須得到客戶業(yè)務(wù)策略和執(zhí)行的補(bǔ)充，包括網(wǎng)絡(luò)安全和系統(tǒng)安全。

 

實(shí)現(xiàn)存儲(chǔ)安全首先要做的是：

1.確保交換機(jī)、陣列等的管理接口和管理端口的安全。

-利用復(fù)雜的密碼

-禁止設(shè)備上未用過(guò)的管理端口

2.確保LUN安全。

3.在特別的案例中，或者為了滿足特定業(yè)務(wù)目標(biāo)時(shí)，進(jìn)行加密。

 

最重要的是，首先要制定一個(gè)完整而周詳?shù)拇鎯?chǔ)安全計(jì)劃，內(nèi)容包含具體實(shí)施人員、程序、設(shè)備。其次，這個(gè)存儲(chǔ)安全計(jì)劃還要符合整個(gè)數(shù)據(jù)中心和業(yè)務(wù)計(jì)劃。再次，在情況允許和技術(shù)允許的情況下，不斷修改完善計(jì)劃。最后，測(cè)試計(jì)劃。

 

一、存儲(chǔ)安全簡(jiǎn)介

 

在過(guò)去十年中，存儲(chǔ)已經(jīng)演變?yōu)槎鄠�(gè)系統(tǒng)共享的一種資源。很多案例都表明，只保護(hù)存儲(chǔ)設(shè)備所在的系統(tǒng)的安全已經(jīng)不能滿足需要了。存儲(chǔ)設(shè)備現(xiàn)在連接到很多系統(tǒng)上，因此，必須保護(hù)各個(gè)系統(tǒng)上的有價(jià)值的數(shù)據(jù)，防止其他系統(tǒng)未經(jīng)授權(quán)訪問(wèn)數(shù)據(jù)，或者破壞數(shù)據(jù)。相應(yīng)的，存儲(chǔ)設(shè)備必須要防止未被授權(quán)的配置改變，對(duì)所有的更改都要做審計(jì)跟蹤。

 

存儲(chǔ)安全是客戶整個(gè)安全計(jì)劃的一部分，也是數(shù)據(jù)中心安全和組織安全的一部分。如果只小心翼翼地保護(hù)存儲(chǔ)的安全而將整個(gè)系統(tǒng)向互聯(lián)網(wǎng)開(kāi)放，那這樣的存儲(chǔ)安全是絲毫沒(méi)有意義的。應(yīng)該認(rèn)識(shí)到，安全計(jì)劃可能需要滿足各種數(shù)據(jù)庫(kù)和應(yīng)用的不同層次的安全需求。

 

當(dāng)前主要有三種存儲(chǔ)架構(gòu)：DAS（直連存儲(chǔ)）、NAS（網(wǎng)絡(luò)附加存儲(chǔ)）、SAN（存儲(chǔ)區(qū)域網(wǎng)絡(luò)）。DAS是直接連接到一個(gè)單一的系統(tǒng)。NAS是通過(guò)EthernetLAN網(wǎng)絡(luò)的方式來(lái)訪問(wèn)文件。SAN是通過(guò)一個(gè)存儲(chǔ)網(wǎng)絡(luò)來(lái)訪問(wèn)，現(xiàn)在典型的是FC（光纖通道）SAN。iSCSISAN基于EthernetLAN，但是目前使用并不廣泛。Objectstorage是一種新興的技術(shù)，結(jié)合SAN和NAS。本文指的存儲(chǔ)主要是SAN和NAS。

 

存儲(chǔ)安全不是附加在SAN上的一個(gè)設(shè)備。存儲(chǔ)安全是一種屬性，是每個(gè)系統(tǒng)，每個(gè)交換機(jī)，每個(gè)SAN中的設(shè)備的一種屬性。存儲(chǔ)安全意味著要應(yīng)付多種威脅，不是所有的危險(xiǎn)都能提前預(yù)知的。存儲(chǔ)安全還包括一整套程序，即定義數(shù)據(jù)訪問(wèn)權(quán)力，授權(quán)管理設(shè)備，當(dāng)安全問(wèn)題出現(xiàn)時(shí)給予合適的回應(yīng)。最后，或許也是最重要的是，被授權(quán)訪問(wèn)數(shù)據(jù)或管理設(shè)備的人必須是可靠的，經(jīng)過(guò)精心挑選的。

 

用一個(gè)組織的中心目錄（比如ActiveDirectory，NDS）來(lái)進(jìn)行認(rèn)證有幾種重要的好處。首先，個(gè)人只有被授予的權(quán)力去管理特定的設(shè)備，或者對(duì)很多設(shè)備進(jìn)行有限訪問(wèn)（比如可以看到配置數(shù)據(jù)但是無(wú)法更改數(shù)據(jù)）。其次，審計(jì)跟蹤（日志）會(huì)顯示做了什么，是誰(shuí)做的。這些日志會(huì)組織故意濫用權(quán)力并幫助糾正錯(cuò)誤。第三，如果個(gè)人的責(zé)任有所改變，或者他（她）離職，那么就可以直接刪除他（她）的身份或者改變授權(quán)。

 

原則上，存儲(chǔ)安全是很簡(jiǎn)單直接的。在線存儲(chǔ)――磁盤(pán)存儲(chǔ)――被指定為不同的部分。每個(gè)部分屬于一個(gè)特殊的系統(tǒng)或用戶。如果這個(gè)部分被訪問(wèn)，存儲(chǔ)系統(tǒng)會(huì)查看訪問(wèn)請(qǐng)求發(fā)回的地址，如果這個(gè)地址不是所有者的，那么就拒絕請(qǐng)求。

 

在實(shí)踐中，建立存儲(chǔ)安全要求專(zhuān)業(yè)的知識(shí)，留意細(xì)節(jié)，不斷檢查，確保存儲(chǔ)解決方案繼續(xù)滿足業(yè)務(wù)不斷改變的需要。必須減少諸如偽造回復(fù)地址這樣的威脅。最重要的是，安全的本質(zhì)是三方面達(dá)到平衡，即采取安全措施的成本，安全缺口帶來(lái)的影響，入侵者要突破安全措施所需要的資源。

 

二、大型數(shù)據(jù)中心的存儲(chǔ)安全

 

存儲(chǔ)安全固然十分重要，但是存儲(chǔ)安全只是數(shù)據(jù)中心整個(gè)安全解決方案的一個(gè)組成部分。安全是一個(gè)內(nèi)涵很廣泛的話題，存儲(chǔ)在業(yè)務(wù)流程中扮演的并非是主角，但確實(shí)是關(guān)鍵角色，因?yàn)榇鎯?chǔ)包含了公司絕大部分記錄，如果沒(méi)有存儲(chǔ)，很多業(yè)務(wù)流程將沒(méi)法繼續(xù)。

 

存儲(chǔ)安全的重點(diǎn)不僅體現(xiàn)在企業(yè)的安全管理和危機(jī)意識(shí)，也體現(xiàn)在它集中式的授權(quán)模式和認(rèn)證服務(wù)。當(dāng)企業(yè)制定的存儲(chǔ)安全策略沒(méi)有和服務(wù)器和網(wǎng)絡(luò)的安全策略集中考慮的時(shí)候，黑客就可以從這三個(gè)方面尋找突破口。為了防止這類(lèi)事件，認(rèn)證和審計(jì)就必須在這三個(gè)方面都要有實(shí)施。

 

對(duì)于標(biāo)準(zhǔn)網(wǎng)絡(luò)上的存儲(chǔ)，包括NAS和iSCSI塊級(jí)存儲(chǔ)在內(nèi)，安全取決于是怎樣保護(hù)網(wǎng)絡(luò)的以及存儲(chǔ)系統(tǒng)自身。特別是當(dāng)通過(guò)公司的中樞網(wǎng)絡(luò)而不是獨(dú)立存儲(chǔ)網(wǎng)絡(luò)或子網(wǎng)絡(luò)訪問(wèn)存儲(chǔ)時(shí)，安全更加取決于網(wǎng)絡(luò)自身的安全。

 

病毒以及類(lèi)似蓄意破壞的行為都是必須考慮的重要問(wèn)題。目前控制病毒的主要方法是網(wǎng)絡(luò)級(jí)防火墻和獨(dú)立客戶機(jī)/服務(wù)器級(jí)的防火墻，電子郵件防火墻可以掃描郵件消息找出已知的病毒，單獨(dú)的客戶機(jī)/服務(wù)器級(jí)防火墻可以檢測(cè)正在讀寫(xiě)的文件，發(fā)現(xiàn)可疑的跡象。

 

對(duì)于SAN和DAS存儲(chǔ)來(lái)說(shuō)，LUNs提供給系統(tǒng)，只有系統(tǒng)才能清楚某一文件是從何開(kāi)始在哪結(jié)束的，因此，只有系統(tǒng)能檢測(cè)出文件的病毒。

 

對(duì)于NAS和對(duì)象存儲(chǔ)來(lái)說(shuō)，可以在存儲(chǔ)子系統(tǒng)內(nèi)檢測(cè)病毒。最重要的是，要減少病毒威脅，需要以全局的眼光來(lái)計(jì)劃并規(guī)劃，然后在IT基礎(chǔ)架構(gòu)合適的地方來(lái)實(shí)施解決方案。

 

存儲(chǔ)安全的目的

存儲(chǔ)安全的目的是要保護(hù)：

保護(hù)機(jī)密的數(shù)據(jù)；

保證數(shù)據(jù)的完整性；

防止數(shù)據(jù)被破壞或丟失。

 

一旦發(fā)生數(shù)據(jù)丟失或被破壞，后果可想而知。敏感的業(yè)務(wù)數(shù)據(jù)或客戶資料將被泄露，業(yè)務(wù)記錄將被篡改或毀壞。所有最糟糕的情形都有可能發(fā)生。

減少存儲(chǔ)安全的危險(xiǎn)

 

通常用于減少危險(xiǎn)的方法有：

 

身份認(rèn)證

在管理員的行動(dòng)得到許可以前，管理員必須登錄

 

授權(quán)

當(dāng)特定存儲(chǔ)管理員發(fā)送一個(gè)請(qǐng)求后，在執(zhí)行請(qǐng)求行動(dòng)之前存儲(chǔ)設(shè)備必須驗(yàn)證管理員的請(qǐng)求是得到授權(quán)的。

當(dāng)特定系統(tǒng)發(fā)送I/O指令后，在執(zhí)行I/O指令之前磁盤(pán)陣列必須驗(yàn)證這個(gè)指令是否得到許可。現(xiàn)在有一項(xiàng)新興的技術(shù)是磁帶庫(kù)控制器可以驗(yàn)證I/O許可。

 

審計(jì)

存儲(chǔ)子系統(tǒng)記錄管理員所有的舉動(dòng)以及任何重大事件。審計(jì)子系統(tǒng)提供了一種紀(jì)錄系統(tǒng)安全方面信息的方法，同時(shí)可以為系統(tǒng)管理員在用戶違反系統(tǒng)安全法則或存在違反的潛在可能時(shí)，提供及時(shí)的警告信息，這些審計(jì)子系統(tǒng)所搜集的信息包括：可被審計(jì)的事件名稱(chēng)，事件狀態(tài)（成功或失敗），別的安全相關(guān)的信息。

 

加密（目前還沒(méi)有得到廣泛應(yīng)用）

保護(hù)數(shù)據(jù)的機(jī)密性（沒(méi)人可以看見(jiàn)）和完整性（沒(méi)人可以更改）

-給磁盤(pán)上的數(shù)據(jù)加密

-給磁帶和其他可移動(dòng)的介質(zhì)上的數(shù)據(jù)加密