思科SAN磁盘网路安全架构解决方案-copyking-ChinaUnix博客

存储知识库mssxw.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

copyking

博客访问： 11512601
博文数量： 8065
博客积分： 10002
博客等级：中将
技术积分： 96708
用户组：普通用户
注册时间： 2008-04-16 17:06

文章分类

全部博文（8065）

存储学院（0）
归档/备份/容灾（238）
虚拟存储（324）
SAS/NAS（104）
磁盘（224）
RAID（62）
ISCSI（75）
存储管理（158）
存储网络（252）
未分类文章（1305）
未分配的博文（5323）

文章存档

2008年（8065）

我的朋友

相关博文

思科SAN磁盘网路安全架构解决方案

分类：服务器与存储

2008-08-22 13:18:09

　对于传统储存区域网路(FC SAN)而言，由于多半走较封闭的光纤网路环境架构，所以比较没有安全上的问题。但随着储存IP化的趋势推展下，不论是原本的光纤SAN或SCSI储存配备，也开始通过IP网路来传递资料。IP网路虽然方便，但却有安全上的顾虑，有鉴于此，思科系统特别主张应该建立磁盘网路安全架构以杜绝资料曝露、资料窃取、身份冒认与资料篡改等危险的发生。

目前业界谈到网路安全，不外强调资料机密性(Confidential)、资料完整性(Integration)与身份认证(Authentication)等基本要求，如此才能因应网路监听、重播、篡改与身份冒用等安全威胁。同样地，谈到磁盘网路架构的安全，也一样是以上述3项基本要求为建置的目标与方向。

　　台湾思科系统认为，若以光纤储存区域网路的安全来说，光强调SAN本身的安全性是不够的，还必须扩大到主机端与磁盘端等所有应用层的安全才行。对于SAN的全面性安全提升，思科强调其中有6个最关键的环节需要特别关注，首先是SAN管理上的安全，如此才可提供安全的存取管理服务;再来则为光纤存取上的安全，主要目的在于提供主机端到光纤服务的安全存取。

　　第三个则为储存装置端的存取安全，也就是提供光纤器到储存装置端(Targets)与逻辑单元号(LUNs)的安全存取;第四个关键点则为SAN Fabric协定上的安全，此为关系到光纤器与交换器间安全协定沟通的部分;再来则为IP Storage存取上的安全，也就是提供安全的FCIP与iSCSI服务;最后则通过加密机制来达到资料的完整性及机密性要求。

　　基于上述的安全架构，思科主张必须通过光纤分区(FC Zoning)、通讯埠模式安全(Port Mode Security)、通讯埠安全(Port Security)、虚拟储存区网(Virtual SANs)与光纤安全协定(FC Security Protocol)等技术方式来确保光纤通道(Fibre Channel)的安全性。其中，FC Zoning可在储存装置间划分不同分割区，而通过FC Security Protocol，则可提供装置间的认证、每笔信息安全性与完整性保证，同时提供政策管理机制。

　　图:磁盘网路安全架构6大关键环节架构图。

　　

阅读(554) | 评论(0) | 转发(0) |

上一篇：iSCSI与光纤通道形成互补逐步迈向SAN

下一篇：IP-SAN存储解决方案

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6