三、存储安全模式
上文介绍了减少危险的几种方式。下面要介绍的是数据访问路径和管理访问路径方法。在大的方面,可以把这些降低威胁的方法分为数据安全和管理安全两个方面,进而将之分为更细的方法。其中有的方法已经非常普遍,也有许多仍在研究中,相信在几年后就会有应用。例如,在现在的SAN的安装中,选择性地选择设备和逻辑卷提供给用户使用,这种模式已经非常通用的技术,而存储加密则是前沿技术。
数据访问安全和管理安全将在下一部分进行详细讨论。
数据访问安全
怎样阻止未经授权的访问,修改数据,破坏数据?有三个广泛的技术领域涉及到这一点,即身份(认证)、授权(LUN安全)以及机密性/完整性(加密)。
1、身份认证
与存储有关的验证分为三个级别:不验证、FC WWN验证、询问/响应设备来证明自己的身份。原来根本不验证。最近FC WWN (World Wide Name)被用来验证设备的身份。将来,FC和iSCSI,以及更高级的询问/ 响应(challenge/response)协议将用于确认设备的身份。
不认证
早期的FC安装将SAN划分为几个区域。与某个区域连接的系统被假定属于那个区域。就像是SCSI缆线上的系统。由于互操作性或错误隔离等原因,分区仍然很重要。
Fibre Channel WWN
现在FC验证的最好方法是在线存储识别发出请求的系统的唯一WWN,把WWN作为其身份。对于应付简单的管理员错误或偶然的攻击,这种方法足以应付了。在理论上,经验丰富的黑客可以伪造属于另一个系统的WWN。
光纤安全协定
在FC-SP规格下,FC设备利用最高级别的询问/响应协议互相之间进行认证。几年之后,支持FC-SP的设备才能得到普及,将非FC-SP设备锁定在预先存在的SAN之外。
iSCSI
问询-握手身份验证协议(Challenge-Handshake Authentication Protocol,CHAP)通过匹配用户名和登陆密码,来识别用户的身份。密码不需要以纯文本的形式在网络中传输,从而避免了掉包和被拦截的情况发生,所以,该协议赢得了许多网络管理员的信任。不过,值得一提的是,这些密码必须存放在连接节点的终端,有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service,RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上,对终端进行认证、授权和统计,即使如此,网络黑客仍然可以通过伪设置的办法,侵入客户端。
由于iSCSI使用的是IP协议,所以它的安全依赖于IP安全协议。但基本的IP传输缺乏安全,这就使得任何精通该领域的人可以截获或者修改IP通信。 保护IP 通信的一个更为流行的方法是采用 IP安全协议(IP Security Protocol,简称IPSec)。IPSec是个基于IP的安全协议,不同于SSL安全协议,后者基于OSI模型的应用层。
询问/响应协议
虽然高级认证的细节非常复杂,但是其概念非常简单。服务器产生一个随机的询问。 然后将它发送给客户端。客户端对它加密后送回给服务器作为一个响应。服务器解密这个响应并与发出的询问对比。如果比较的结果是正确的那么服务器就允许访问。
公共钥匙加密使用由公共和私有组件组成的两部分密钥(代码)。加密邮件使用的是收件人已经公布的公共密钥。收件人使用只有自己知道的未公布专用密钥来解密邮件。
2、授权
授权的模式发生演变,从原来的DAS模式的“如果你看到它,你就拥有它”到更加复杂的机制,使共享SAN的资源变成可能。
逻辑单元屏蔽(LUN Masking)――SAN结构中存储设备是被当作本地设备访问的,文件系统和数据的维护在主机端完成。所以,SAN中一般情况下,需要基于主机的数据隔离,即所谓的LUN Masking技术。这种技术主要保证多种操作系统平台不会互相破坏文件系统。
LUN masking能使磁盘通过SAN分配给一台计算机,而其它计算机在此时则无法看到该磁盘。如果你应用LUN masking,那么一个单独的RAID将被分到多个逻辑磁盘上,这些磁盘都分配给了指定的计算机。
iSCSI――iSCSI设备提供设备级的和per-LUN访问控制表( ACLs )。per-LUN访问控制表类似于FC LUN屏蔽。虚拟局域网(VLANs)类似于FC SANs中的区域。管理员需要检验某个阵列支持的功能是不是他们计划利用的功能。
NAS――NAS数据访问通常是基于两种协议,NFS/CIFS。这两种协议对待文件访问许可的方式差不多是一样的。主流的NFS协议适用普遍,而且很有效。然而,NFS经常会遭到“伪装”攻击,所以应该用合适的防火墙来阻止恶意的用户。现在已经出现不少结合NAS和iSCSI的设备。当共享一个公共网络连接时,这两个协议有不同的访问权限机制,并且是单独管理的。
3、加密
加密获得越来越多关注。很久以来,加密通常被用于军事领域或间谍行动,但是现在加密技术突然找到了一片广阔的市场。互联网需要加密来确保数据传输的安全。VLSI(超大规模集成电路)使安全对很多人来说不会是很大的经济负担。另一方面,computer power的指数式增长使专家有可能“使用每一把钥匙”破译消息,这在几年前是根本无法想象的。
虽然给存储系统上速度为几百兆每秒的数据加密要比给PC机上的几千字节加密困难得多,但是现在的加密技术仍然能保证每秒几百兆的速度。存储行业的很多人都在思考怎样利用这项技术,导致很多厂商纷纷推出自己的加密产品。厂商并没有针对某一设备推出加密产品,而是考虑到客户需要系统地解决加密问题。通常,不管是传输中的数据(在FC,以太网或WAN中传输的数据)还是静止的数据(磁盘或磁带上的数据)都能够加密。
数据在数据中心之间传输
当数据从一个数据中心复制到另一数据中心时,就不能再只是通过数据中心的物理安全来保护数据了。这样做存在危险。因为数据在自己的缆线通道里穿过几千公里的光纤比穿过租借的线缆要安全得多,而数据穿过租借的线缆又比穿过互联网要安全得多。
在上述任何一种情形下,即使数据中心外的线缆缺乏物理安全,也可以用一个加密盒来减少安全隐患。只要数据在离开数据中心之前通过加密盒就可以了。当然,相应地在数据进入接受它的数据中心之前也要通过加密盒。目前市面上的加密盒可以支持FC和IP网,支持IP网的叫做IPsec网关。现在数据中心普遍安装了这样的加密设备,因为成本不高而且复杂性也比较低。
数据在数据中心内部传输
绝大多数数据中心的安全计划都建立了一个安全边界,人们觉得在数据中心内部受到窃听器的威胁的几率是很小的。但是,威胁依然存在。所以,在数据中心内部对数据进行加密也是非常有必要的。目前,数据中心内部的加密设备只能支持FC。
光纤通道安全协议
光纤通道安全协议标准不仅包括认证,还包括Encapsulating Security Payload (ESP)加密,Encapsulating Security Payload (ESP)加密,ESP加密为FC设备提供一种改变密码的方法,然后可以对FC设备间的数据进行加密。
iSCSI
尽管iSCSI对很难满足存储的性能要求,但是现在取得了普遍的应用。随着以太网接口内置的数据加密越来越通用也比较经济,在数据中心对存储实现加密将有可能成为现实。不过,这至少还需几年的时间。
磁盘上的数据(在线存储)
近来,数据中心机密客户数据丢失事件屡见报端。现在的加密方法通常是利用一个密匙,以一种特殊的方法来转换数据。在数据被加密后,必须破译密匙,才能利用数据。目前业内有多种数据加密运算法则,比如数据加密标准(Data Encryption Standard,DES)、三重DES(Triple-DES)、高级加密标准(Advanced Encryption Standard,AES)
加密很重要的一点是密码的长度。如果一个密码很短,假如只有10位,那就只有1024种可能性。利用一台PC机,可能只需要一秒钟的时间就能将1024种可能的密码全部试一遍,然后找到正确的密码。这就是所谓的“破解”密码。如果密码很长,比如说有1000位,那就有2^1000可能性,那么,用现有所有的计算机算一百万年也无法都试一遍。
然而,以现在磁盘的I/O速度,用1000位的密码加密是完全不切实际的。从实际出发,加密算法和密码的长度必须根据现有的高速加密/破译VLSI设备来选择。这就是说,如果密码太复杂,一旦某个专业政府组织确实想要“破译”他们的磁盘上究竟有些什么东西,那没有一家商业机构可以破译,更不用提黑客了。
目前密码的长度通常是100位至150位。密码必须是随机选择的,如果密码被猜到,那安全就受到威胁了。加密磁盘上的数据需要适当地密码管理,这就是说必须平衡更改密码的困难(所有数据必须重写)和丢失密码的危险。
保存多份密码的副本意味着安全更有可能会受到威胁,只保留一份副本或几份副本则意味着密码更有可能因为一个系统故障或人为错误而被毁坏。
目前市面上已经有密码管理软件,但是管理加密数据是否成功更多地取决于人而不是技术。
磁带,光盘,其他媒介(近线存储)的数据
备份磁带上的数据是很容易被窃取,不仅仅是从安全的数据中心,有些时候从不太安全的分支办公室窃取。而且备份磁带上的数据丢失相比磁盘更难被发现。这就需要为备份磁带上的数据进行加密。
目前,这样的加密已经可以实现,利用上文讨论到的加密工具就可以了。钥匙管理成为了一个极具挑战性的问题,因为如果要获取磁带上的数据,就必须保留每个已知备份磁带的钥匙。
管理安全
存储设备的基本管理安全远没有加密技术这样花哨,管理安全是现在必须重视的重要领域。这个领域目前处于过渡期。
以前,存储只是属于某个系统,存储管理软件运行在那个系统上,唯一的存储安全是(存储管理安全)是由系统提供。
随着存储被多个系统共享,特别是一个管理实体被安装在一个或多个系统上,存储管理员就需要通过密码来管理某一特别的阵列。这是当前业界普遍采用的方法,而且在只有一个管理员管理适当数量的存储时,这个方法效果很好。
然而,在过去几年中,存储需求快速增加,需要多个管理员来管理存储,关于允许哪个管理员在哪台存储设备上可以执行怎样的行动有更加详细的规定。
单一登陆可以通过RADIUS(远程身份验证拨入用户服务)协议来实现,RADIUS发送给中央服务器一个确认请求。微软的Active Directory 要求在确认用户的标识之后,才允许访问网络,此过程称为身份验证。用户只需要提供对域(或受信任域)的单一登录即可访问网络。当 Active Directory 确认用户的身份之后,进行身份验证的域控制器上的 LSA 将生成一个访问令牌,确定用户可以对网络资源进行哪个级别的访问。
审计跟踪和日志必须显示哪位管理员执行了操作。这对于基于每台设备的管理员来说是很难实现的,当所有设备上这样的数据可以看得见时,很多问题(攻击)才能显现出来。在大规模的安装中,展现日志全部内容并且可搜索内容的工具是很需要的。
这几年来,已经有不少人开始在数据中心集中认证和安全。存储管理原来是利用能够管理同一类型的多个设备的工具,现在开始利用单一登录的一套工具,这些工具不仅能够管理不同类型的存储设备,甚至可以将多种服务器和存储一起管理。
重要的是,要明白针对不同的产品有不同的变化,以避免中断现有安装和现有程序。安装规模比较小的客户仍然可以以传统的方法来使用产品。
验证
从技术上看,SSO使用户可以登录到一个主域上,但可以访问其他次级域。例如,Novell NetWare网络代表着一个域,Windows NT代表着一个域,IBM也代表着一个域,如此等等。在多登录环境中的正常环境下,用户必须分别登录到每个次级域。在使用SSO时,IT经理指定特定平台作为主认证域来控制对所有域的访问。当用户登录到这个SSO主域时,他提供在登录到任何次级域时所需要的所有证明。然后主域负责为次级域完成对用户的认证。
集中验证服务有几个优点。单一登录允许用户只登录到系统上一次,而后授权访问其他连接的系统,无需再进行登录。当用户只需要记忆一个口令时,管理和支持费用将会大大减少,并且总体环境将会更安全。
授权
除了单一登录,现有存储管理方法与传统方法的第二点不同是不再是一个管理员登录来管理一个设备,而是所有管理员共享权力。
第三点,也可能是最重要的区别是管理员特权可以以一种特别精细的方式授权给管理员。举个例子,某管理员可以看到某一特定存储系统中的一切信息,但是没有权力更改信息,但是更高级的管理员可以更改信息。此外,客户仍然可以灵活地进行服务器和存储管理。一个小公司可以继续让一个管理员拥有所有的权利,而大公司可能继续分为独立的存储、服务器、网络管理部门,每个部门根据特殊个人的角色拥有不同的权力。
审计
所有配置上的改变和其他重大事件都应该被记录上,因此任何问题都可以追踪到原始状态。知道是哪位管理员在什么时候做出错误的配置改变,这样,要找出并更改错误就简单得多。
对数据中心中不同设备的审计跟踪/日志有一个集中的了解是很重要的。在出现问题时,要辨别问题是由安全入侵引起的,还是管理员错误或其它问题,从日志的整体上考虑比从个别要素上考虑有效得多。还可以要求所有安全管理员根据日志定期提交详细报告。
当在设备之间自动迁移数据的时候,执行数据迁移的软件必须得到授权,而且必须保留这样的迁移记录。这是一个新兴的领域,当前来说,这更多的是一个目标,而不是标准的执行方式。
四、建议
存储安全是数据中心安全和业务安全的一部分。因此,任何产品级的产品模式必须得到客户业务策略和执行的补充,包括网络安全和系统安全。在未来几年中,保护所有设备的管理接口的安全是最重要的。
首先,中止所有不用的交换机和其他设备中的管理端口。更改设备管理密码,用更复杂的密码,必须包含字母和数字。通常要避免使用常规的字典里的词汇或其他术语,因为这样很容易被入侵者猜到。必须要用至少一层防火墙将存储设备上的LAN管理端口与广为访问的网络隔离开来。由于存储设备以及可以在数据中心利用集中认证,数据中心的存储设备还可以进行基于角色的授权,因此存储安全计划也应该不断完善,利用这些技术。
最重要的是,首先要制定一个完整而周详的存储安全计划,内容包含具体实施人员,程序,设备。其次,这个存储安全计划还要符合整个数据中心和业务计划。再次,在情况允许和技术允许的情况下,不断修改完善计划。最后,测试计划。
阅读(537) | 评论(0) | 转发(0) |