Chinaunix首页 | 论坛 | 博客
  • 博客访问: 11633030
  • 博文数量: 8065
  • 博客积分: 10002
  • 博客等级: 中将
  • 技术积分: 96708
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-16 17:06
文章分类

全部博文(8065)

文章存档

2008年(8065)

分类: 服务器与存储

2008-08-22 13:18:09

   对于传统储存区域网路(FC SAN)而言,由于多半走较封闭的光纤网路环境架构,所以比较没有安全上的问题。但随着储存IP化的趋势推展下,不论是原本的光纤SAN或SCSI储存配备,也开始通过IP网路来传递资料。IP网路虽然方便,但却有安全上的顾虑,有鉴于此,思科系统特别主张应该建立磁盘网路安全架构以杜绝资料曝露、资料窃取、身份冒认与资料篡改等危险的发生。

    目前业界谈到网路安全,不外强调资料机密性(Confidential)、资料完整性(Integration)与身份认证(Authentication)等基本要求,如此才能因应网路监听、重播、篡改与身份冒用等安全威胁。同样地,谈到磁盘网路架构的安全,也一样是以上述3项基本要求为建置的目标与方向。

  台湾思科系统认为,若以光纤储存区域网路的安全来说,光强调SAN本身的安全性是不够的,还必须扩大到主机端与磁盘端等所有应用层的安全才行。对于SAN的全面性安全提升,思科强调其中有6个最关键的环节需要特别关注,首先是SAN管理上的安全,如此才可提供安全的存取管理服务;再来则为光纤存取上的安全,主要目的在于提供主机端到光纤服务的安全存取。

  第三个则为储存装置端的存取安全,也就是提供光纤
器到储存装置端(Targets)与逻辑单元号(LUNs)的安全存取;第四个关键点则为SAN Fabric协定上的安全,此为关系到光纤器与交换器间安全协定沟通的部分;再来则为IP Storage存取上的安全,也就是提供安全的FCIP与iSCSI服务;最后则通过加密机制来达到资料的完整性及机密性要求。

  基于上述的安全架构,思科主张必须通过光纤分区(FC Zoning)、通讯埠模式安全(Port Mode Security)、通讯埠安全(Port Security)、虚拟储存区网(Virtual SANs)与光纤安全协定(FC Security Protocol)等技术方式来确保光纤通道(Fibre Channel)的安全性。其中,FC Zoning可在储存装置间划分不同分割区,而通过FC Security Protocol,则可提供装置间的认证、每笔信息安全性与完整性保证,同时提供政策管理机制。

  图:磁盘网路安全架构6大关键环节架构图。

  
阅读(565) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~