2008年(8065)
分类: 服务器与存储
2008-09-05 12:36:37
IP SAN快速扩张的现状 在SAN出现的第一天起,眼光深远的存储业专家,已经从SAN的各项优良特性中感到了NAS的末日。事实证明,在很短的时间内,NAS就被大企业用户仅仅当作文件存储系统存在。 不过,在占据市场绝对主流的中小企业用户来说,虽然FC SAN存储高速、稳定、安全的优良特性让人看着眼谗,但是它高高在上的采购成本却成为大家望而却步的第一阻力。 那可怎么办?SAN与NAS之间的差距也太大了,SAN无论是在实际使用效果还是心理上,都让用户在关键存储应用上无法向NAS再伸出手去。 其实也容易解决,寻找两者之间的平衡点!大量市场需求的出现,往往成为新技术面市的动力,也就是在这个基础上,协调了相对高速、稳定、安全等特性与相对较低成本的iSCSI标准出现了(大众意义的IP SAN概念)。 IP SAN产品的多方平衡,让中小企业主找到了部署关键存储的希望,而中小企业占据市场绝大多数的量,也成为IP SAN快速扩张市场分额的关键。 IP SAN替代FC SAN的观点愚不可及 自2003年iSCSI标准面世以来,不少存储业内专家甚至部分存储厂商都预言,IP SAN将完全取代FC SAN,成为下一代存储技术发展的方向,而随着万兆以态网与IP SAN的结合,附庸者更是日增。 难道IP SAN真的要将FC SAN这曾经被所有人认为不可动摇的存储贵族清理出市场吗? 个人认为,这是一种愚不可及的想法! 我们可以这样假设,一个白领和一个普通的职员同时需要买一部车改善现有的工作与生活交通状况,有两个方案供选择: 一辆价值10万人民币的轿车,极限速度是160迈,其本身在性能、稳定性、安全性等各方面综合参数都相对优越;一辆价值5千人民币的摩托车,其极限速度是80迈,要将其改装到180迈的水平,并同时满足摩托车性能、稳定性等各参数要求,需要再投入2万人民币,再考虑到车手的安全防护,需继续投入5千人民币。 3万对10万,两车的初次购置成本相差够大了,再加上摩托车的保养费用相对轿车更是少了一大截。 可结果我们可以预见,白领会毫不犹豫地选择轿车,而普通职员也会选择更适合他的摩托车。 为什么?轿车与摩托车两类产品的市场定位不同! 这就仿佛是FC SAN与IP SAN的存储系统差异,大型企业考虑到的是存储系统在性能、稳定、安全性、整体可管理性等综合的更高级别,而中小企业却更加侧重考虑成本。 持有IP SAN将取代FC SAN这一观念的出发点,是看到IP SAN对于主流中小企业关键存储市场分额的大面积蚕食,却没看到高端FC SAN本身所定位的就是那一小撮大型企业关键存储应用。 |
IP SAN存储的安全隐患 话说回来,要谈到IP SAN存储的安全性,难免要提到大家对于所有SAN存储安全性的认识。 IP SAN对于FC SAN中诸多优良特性延续的事实,加上FC SAN小范围应用带来的安全威胁信息相对不透明性,麻痹了不少中小企业用户。结果可想而知,越来越多IP SAN存储用户被黑客攻击的个案开始浮现在大众面前。 答案非常肯定:不! 其实就像前文所说,即便高端如FC SAN,也存在同样的安全威胁,IP SAN的大量应用,只是将安全个案的量增加了而已,而采用不同通道与不同协议、简化软体的存储方案,对于黑客攻击来说,在手段上几乎是没有区别的。 那么,IP SAN的安全威胁都存在于哪些方面? 许多存储业的专家都将IP SAN存储的安全性定格在管理软体漏洞、数据本身的安全、来自内外网的访问授权与授权欺骗等方面,而事实上,我们可以看到,以上几方面的安全隐患更侧重于企业内网范围内,对于来自企业外网的二层安全威胁,却并未更全面的考虑。 这样一来,从全局的方向看,我们可以确定IP SAN存储安全隐患所在:区域网络存储与企业内网之间、企业内网与外网之间这两层安全隐患的叠加。 |
IP SAN安全解决方案思路 前文提到,IP SAN存储要从内外网的全局考虑其安全性。那么内外网的安全解决方案应该从哪些方面入手呢? 企业内网的安全部署 关于企业内网的安全部署,涉及的面很广,不过很多地方都有关于企业内网安全设置比较详细的介绍,相信大家已经非常明了,这里不再赘述,只是提醒大家:这是区域网络存储系统的第一道安全屏障! 区域网络存储专项安全部署 区域网络存储与企业内网之间的安全部署,也是IP SAN的第二道安全屏障,需要从以下几个方面考虑; 1)完善IT部门日常工作管理机制,定时检查区域网络连线状况以保障基础网络线路的正确性,不定时检查IP SAN存储系统的访问记录,以确认存储系统访问者都经过授权许可; 2)限制管理区域网络存储系统的终端与内外网的互访,设置高保密级别的管理员密码并不定时更换,以确认对管理终端的控制; 3)将区域网络存储系统内的重要数据划分不同的区块并进行屏蔽,将不同区块与对应部门相关授权人员不同级别的访问权限对应,不定时更换访问密码以避免黑客的授权欺骗攻击; 5)在拥有高速交换设备的区域网络存储系统中,要在区域网络存储与企业内网间的路由节点上设置对各交换设备的高保密级别的完全控制权限密码,并不定时确认该节点对各交换设备完全控制权限的有效性; 6)在存储系统访问控制表上进行二次访问控制,并使用非标准的用户身份验证机制,两者结合以增加对非法授权者访问控制的安全系数; 7)对内网与区域网络存储之间传输的所有数据本身进行加密解密控制,以避开黑客通过常规基于IP传输技术的数据侦听。 |