返回
在交换机上实现存储安全

在交换机上实现存储安全

ID:21216230

大小:51.50 KB

页数:3页

时间:2018-10-20

在交换机上实现存储安全_第1页
在交换机上实现存储安全_第2页
在交换机上实现存储安全_第3页
资源描述:

《在交换机上实现存储安全》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、在交换机上实现存储安全  一般企业网络都具有一定的安全防范策略和设备,如防火墙、入侵监测系统(IDSs)、代理服务器等,尽管它们也可以在一定程度上起到为存储安全建立一层防护线的作用,但是,存储安全的的核心技术应该从存储网络的安全性、交换机光纤、设备、阵列、主机总线适配器(HBA)等方面来实现。   FC、IP网络的安全性  不论是光纤通道还是IP网络,主要的潜在威胁来自非授权访问,特别是管理接口。例如,一旦获得和存储区域网络(SAN)相连接服务器管理员的权限,欺诈进入就可以得逞。这样入侵者可以访问任何一个和SAN连接的系统。因此,无论使用的是哪一种存储网络,应

2、该认识到应用充分的权限控制、授权访问、签名认证的策略对防止出现安全漏洞是至关重要的。  测错攻击在IP网络中也比在光纤通道的SAN中易于实现。针对这类攻击,一般是采用更为复杂的加密算法。  尽管DoS似乎很少发生,但是这并不意味着不可能。然而如果要在光纤通道SAN上实现DoS攻击,则不是一般的黑客软件所能实现的,因为它往往需要更为专业的安全知识。  实现SAN数据安全方法  保证SAN数据安全的两个基本安全机制是分区制zoning和逻辑单元值(LogicalUnitNumber)掩码。  分区制是一种分区方法。通过该方法,一定的存储资源只对于那些通过授权的用户

3、和部门是可见的。一个分区可以由多个服务器、存储设备、子系统、交换机、HBA和其它计算机组成。只有处于同一个分区的成员才可以互相通讯。  分区制往往在交换级来实现。根据实现方式,可以分为两种模式,一为硬分区,一为软分区。硬分区是指根据交换端口来制定分区策略。所有试图通过未授权端口进行的通讯均是被禁止的。由于硬分区是在系统电路里来实现,并在系统路由表中执行,因此,较之软分区,具有更好的安全性。  在光纤通道网络中,软分区是基于广域命名机制的(WWN)的。WWN是分配给网络中光纤设备的唯一识别码。由于软分区是通过软件来保证在不同的分区中不会出现相同的WWNs,因此,

4、软分区技术比硬分区具有更好的灵活性,特别是在网络配置经常变化的应用中具有很好的可管理性。  有些交换机具有端口绑定功能,从而可以限制网络设备只能和通过预定义的交换端口进行通讯。利用这种技术,可以实现对存储池的访问限制,从而保护SAN免受非授权用户的访问。  另一种被广泛采用的技术是LUN掩码。一个LUN就是对目标设备(如磁带和磁盘阵列)内逻辑单元的SCSI识别标志。在光纤通道领域,LUN是基于系统的WWN实现的。  LUN掩码技术是将LUN分配给主机服务器,这些服务器只能看到分配给它们的LUN。如果有许多服务器试图访问特定的设备,那么网络管理者可以设定特定的L

5、UN或LUN组可以访问,从而可以拒绝其它服务器的访问,起到保护数据安全的目的。不仅在主机上,而且在HBA、存储控制器、磁盘阵列、交换机上也可以实现各种形式的LUN屏蔽技术。  如果能够将分区制和LUN技术与其它的安全机制共同运用到网络及其设备上的话,对网络安全数据安全将是非常有效的。  业界对存储安全的做法  尽管目前对于在哪一级设备应用存储安全控制是最优的还没有一个明确的结论,例如,IPSec能够在ASIC、VPN设备、家电和软件上实现,但目前已有很多商家在他们的数据存储产品中实现了加密和安全认证功能。  IPSec对于其它基于IP协议的安全问题,比如互联网

6、小型计算机接口(iSCSI)、IP上的光纤通道(FCIP)和互联网上的光线通道(IFCP)等,也能起到一定的的作用。  通常使用的安全认证、授权访问和加密机制包括轻量级的路径访问协议LightweightDirectoryAccessProtocol(LDAP)、远程认证拨入用户服务(RADIUS),增强的终端访问控制器访问控制系统(TACACS+)、Kerberos、TripleDES、高级加密标准(AES)、安全套接层(SSL)和安全Shell(SSH)。  尽管SAN和NAS的安全机制有诸多相似之处,其实它们之间也是有区别的。很多NAS系统不仅支持SSH

7、、SSL、Kerberos、RADIUS和LDAP安全机制,同时也支持访问控制列表(ACL)以及多级许可。这里面有一个很重要的因素是文件锁定,有很多产品商家和系统通过不同的方式来实现这一技术。例如,微软采用的为硬锁定,而基于Unix的系统采用的是相对较为松弛的建议级锁定。由此可以看到,如果在Windows-Unix混合环境下,将会带来一定的问题。  呼唤存储安全标准化  SAN安全的实现基础在交换机这一层。因此,存储交换机的标准对网络产品制造商的技术提供方式的影响是至关重要的。  存储安全标准化进程目前还处于萌芽阶段。ANSI成立了T11光纤通信安全协议(FC

8、-SP)工作组来设计存储网络基础设施安

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。