安全是儲存網路的一個關鍵特性。它可能會影響到儲存解決方案的所有組成部樂一個完整的儲存安全解決方案需要考慮所有可能的儲存接人點和安全機制的管理。在靜態資料的保護中關注的是保護儲存在陣列中的資料,它包括防病毒、電子資料銷燬或者靜態資料加密,這種保護主要是為了防止資料受到使用者對陣列的物理訪問的影響。還必須保護主機和儲存管理應用對儲存的訪問:儲存分隔透過只向主機提供對主機應用需要訪問的部分儲存的訪問許可權,降低了儲存被主機訪問的可能性,它可以利用LUN遮蔽和分割槽,對主機的儲存訪問和在資料複製過程中進行統一的控制。儲存管理安全可以保護和控制儲存管理應用對儲存的訪問。基於政策的儲存區域網路安全管理可以確保對儲存區域網路安全引數的管理和監控。
下面本文將帶大家一起來了解一下儲存網路在企業應用中的安全隱患及防護:
1、威脅
儲存網路已在部分企業單位安裝部署,不少企業在實施後面臨新的安全問題,安全正在超越伺服器,進入儲存網路。當儲存環境處於隔離狀態時,只需控制對於應用的訪問和實施儲存資料物理保護措施就足以限制網路漏洞,最大限度地減少儲存基礎設施所面臨的威脅。但是隨著網路儲存的發展,新的漏洞層出不窮。新的互相連線的接入點讓儲存環境直接面臨著新的威脅和漏洞所帶來的影響。
2、隱患
在主機上目前主要漏洞來自於不安全的主機對儲存網路的訪問。可以是對方控制了主機,或者某個應用中隱藏的特洛伊木馬。如為了訪問儲存而偽造主機身份;為了監控儲存資料而竊聽儲存網路;對於儲存網路的拒絕服務攻擊。
在網路土河能存在對方利用儲存管理應用執行非法操作,透過某個未經允許的伺服器偽裝控制檯或者儲存管理伺服器,從而執行未經授權的操作。
在資料上,複製和複製管理服務很容易受到源自於網路或者儲存管理的不當使用所造成的安全漏洞,如儲存管理員未經授權的複製操作;透過對複製網路的竊聽活動,竊取機密資訊;偽裝成一臺故障恢復伺服器,以竊取資料;在網路上竄改所複製的資料。
3、安全理念
3.1、靜態資料的保護
當新的威脅和攻擊試圖訪問或者破壞儲存資料時,儲存平臺必須能夠與可以消除這些威脅的專業技術進行互動操作。從專門針對網路附加儲存的防病毒保護、電子資料銷燬到靜態資料加密。
3.2、防病毒和內容安全
網路儲存必須與內容安全技術緊密地結合起來。在內容被儲存到儲存平臺時和被恢復到某個備用儲存時對內容進行動態掃描,掃描儲存內容中是否存在惡意程式碼和非法的、不適當的內容。
3.3、靜態資料的加密
對於加密資料的需求通常取決於資料的敏感性或者資料所在的儲存的型別,敏感資訊的加密。資訊的敏感性取決於業務和政策要求,敏感資訊的資料加密為其他資料訪問控制機制增加了一個保護層,有助於達到隱私權法規的要求。
3.4、遠端服務的安全性
有些儲存管理應用可以提供在網際網路上的遠端儲存服務。在這種情況下,網際網路的使用將會大大增加人們對於保護管理元件之間的通訊安全的需求。在大多數情況下,SSL被用作遠端汗儲管理服務的一個安全的通訊渠道。
3.5、基於政策的安全管理
目前,基於政策的管理在安全領域中發展得比較完善,安全政策的例項包括基於角色的使用者管理政策,它可以設定關於新增和移除使用者的應用訪問許可權的規則;或者參考配置政策,它可以為安全的應用實施定義配置模板。為了加強和監控這些安全實施,企業已經部署了很多覆蓋整個企業的安全管理工具,並組建了集中的安全管理團隊,以執行一些過往由系統或應用管理員負責的安全管理任務。並採用一些技術,例如目錄管理技術、身份管理解決方案、入侵檢測或者日誌管理應用來加強和監控他們的安全政策。
4、防護策略
目前在我公司內部,採用的是2家主流的大型儲存裝置廠商的產品(EMC2和Netapp),在具體防護措施手段上不同,但防護策略基本一致。一是保持網路執行的完整性,防止未經授權的主機或者交換機接人網路或者導致網路中斷:採用冗餘的交換機,設定ZONE,進一步提高儲存系統訪問控制。二是重要資料存放到儲存網路上。三是陣列內的資料採用RAID保護及系統自帶保護措施。四是分隔主機對儲存卷和陣列的訪問,禁止未經授權的跨組訪問,保護和隔離資料。五是儲存網路陣列內部可利用SnapVie,功能做資料的備份。六是建立遠端容災機房,遠距離複製資料。七是採取多級備份措施,將備份出來的資料再進行異地磁帶備份。