看上去存儲區域網(SAN)所處的是一個安全的環境,用戶往往沒有對其安全性問題投入太多精力。然而,種種跡象都表明SAN的安全問題越來越突出,用戶需要采取更多的有效措施。毫無疑問,SAN是一個相對封閉的存儲網絡,在多數情況下,它在物理上就是一個獨立的網絡。因此,許多用戶都不太在意SAN中的安全問題。
但是,當我們仔細探討SAN中的安全問題時就會發現,其實在SAN中仍然存在許多的安全隱患:由于默認光纖通道協議的使用環境是安全的,因此該協議設計之初在安全方面并沒有進行太多考慮;在存儲區域網中進行的訪問控制也幾乎沒有;在SAN中發生的一些人為操作錯誤會給關鍵業務應用帶來極大危害。
McDATA中國區技術經理雷濤在談到SAN安全話題時介紹說,隨著存儲區域網的日益普及,SAN的安全問題日益受到人們的關注,為了保證SAN的高度安全性,企業必需對SAN的常見風險和攻擊有通盤的了解,然后才能對癥下藥,最大程度抵御這些威脅,盡可能避免系統停頓及經濟損失。
SAN的安全威脅
SAN中最典型的安全威脅有未經授權的訪問、欺騙(Spoofing)和數據盜竊(Sniffing)。
未經授權的訪問是最為常見的安全威脅,它的成因可以是簡單地接上了錯誤的連接線,也可以是將一臺已被入侵的服務器連接到光纖網絡上。未被授權的訪問將導致其他形式的攻擊。
欺騙是與未經授權訪問有關的一種威脅。欺騙有多種形式和名稱:仿冒、身份竊取、搶劫、偽裝和WWN(全球名字)欺騙。其中一種形式是假冒用戶,而另一種是偽裝成一個已被授權的WWN。
數據會通過很多種途徑被竊取,其中一種途徑就是在數據還在傳輸的過程中進行盜竊,它對數據線進行窺探,例如“光纖通道分析器”就是一種可以完全監控數據傳輸的數據盜竊方法。如果數據盜竊做得巧妙,不會影響設備的操作。
嚴格的訪問控制
示意圖顯示了攻擊威脅對存儲網絡的各個可能切入點,每一個攻擊點都有可能成為后續攻擊的墊腳石。為了保證高度的安全保護,SAN系統管理員必須在入侵者和數據之間設置多個監測點。認識各個攻擊點有助制定相應的防護對策。系統管理員可在下列攻擊點控制未經授權訪問的入侵。
1. 帶外管理應用程序:交換機有非光纖通道端口,例如以太網端口和串行端口,以滿足管理工作的需要。通過建立一個獨立于公司內部網的專用網絡來管理SAN,便可以限制對以太網端口的訪問。如果交換機是與企業內部網絡連接的,可以使用防火墻和VPN限制對以太網端口的訪問。通過控制物理訪問和對使用者授權以鑒別,可以限制對串行端口(RS 232)的訪問。物理訪問連接以太網端口后,交換機還可以根據訪問控制列表,限制訪問交換機的程序,交換機也可以限制通過3號攻擊點進行訪問的程序或個別用戶。
2. 帶內管理應用程序:未經授權訪問也可通過帶內管理應用程序入侵交換機。帶內管理程序將訪問諸如命名服務器和光纖網絡配置服務器等光纖網絡服務。管理訪問控制列表(MACL)控制對光纖網絡的訪問。
3. 用戶到應用程序:一旦用戶獲得一個管理程序的物理訪問權,他們需要登錄到這個應用程序上。管理應用程序是根據用戶的工作性質來給予不同級別的訪問授權。管理應用程序需要支持訪問控制列表和每個用戶的角色。
4. 設備到設備:當兩個Nx_端口在光纖網絡登錄之后,一個Nx_端口可以端口登錄到另一個Nx_端口,分區及邏輯單元屏蔽可以在這個環節限制設備的訪問。每一個交換機上的活動區域設置會在光纖網絡上執行分區限制。存儲設備將維持有關邏輯單元屏蔽的信息。
5. 設備對光纖網絡:當一個設備(Nx_端口)連接到光纖網絡(Fx_端口),設備將發送一個F端口登錄指令,這一指令包括了各種端口全球名字的參數。交換機可以批準端口在光纖網絡登錄或拒絕F端口登錄并中止連接。交換機需要維持一個準許連接WWN的訪問控制列表。真正的數據威脅發生在設備登錄至光纖網絡和進入攻擊點4或5之后。
6. 交換機對交換機:當兩臺交換機連接時,交換鏈接參數(ELP)和內部鏈接服務(ILS)將發送類似交換機WWN的相關信息。一臺交換機可以批準其他交換機組成一個更大的光纖網絡,如果另一臺交換機不被允許加入的話,則可以隔離鏈接。每個交換機都需維持一個授權交換機的訪問控制列表。
7. 存儲數據:存儲的數據易于受到內部攻擊、來自光纖網絡的未經授權訪問的攻擊和基于主機的攻擊。例如存儲協議全都是明文,因此存儲、備份及主機管理員能在沒有訪問限制及登錄的情況下訪問未經處理的原始存儲數據。存儲加密碼設備為存儲數據提供一層保護,在有些情況下提供附加的應用層身份鑒別和訪問控制。
應對欺騙與數據盜竊
通過訪問控制列表控制訪問只可以防止意外事故,但它不能防御那些假偽身份的攻擊者。不幸的是,大多數網絡盜賊能很容易地取得假冒身份。為了阻止詐騙者(盜用他人身份者)滲透網絡,那些獲得授權的個體也必須經過身份鑒定。
抗擊欺騙的方法就是讓竊取者提供一些只有被授權的用戶才知曉的特殊信息。對于用戶來說,需要知道和提供的只是一個密碼。對于設備而言,Nx_端口或交換機的WWN是與這個機密信息相連的。管理話路也可以進行身份鑒別,確保入侵者不能管理光纖網絡或設備。
對于每一點的身份鑒別,以下是四種可能的方法:用戶身份鑒別、以太網CHAP實體身份鑒別、CT訊息鑒別以及光纖通道DH-CHAP實體身份鑒別。
當實體及用戶的身份被鑒別后,傳輸就可以在授權設備之間安全地流動,但在連接中流動的數據仍然會受到數據盜竊的威脅。
防止數據盜竊的方法是加密(encryption)。“封裝安全凈載”(ESP)可以對光纖傳輸數據進行加密,以確保安全性。以太網傳輸能通過SSL或者類似的協議來加密。這些加密技術可以使用不同的加密程度使得被竊數據沒有可乘之機。目前,已經有一些廠商提供在SAN中進行加密的方案。由于光纖通道SAN尤其關注高性能,因此加密方案應該盡量不影響SAN的性能,所以多數方案都是基于硬件的加密。
防范意識有待提高
在國外,有些大型存儲用戶對安全問題已經足夠重視,特殊用戶甚至投入了與SAN硬件成本相當的資金來解決安全問題。與之相比,國內的用戶則落后很多,雷濤說,目前幾乎還沒有看到國內用戶在安全方面提出任何要求。但是,隨著SAN的發展與演進,尤其是IP存儲的廣泛應用,用戶會遇到更多安全挑戰,這些都要求用戶在安全方法意識方面亟待提高。
沈陽數據恢復 
