圖1 校園網(wǎng)存儲基礎(chǔ)設(shè)施示意圖
針對數(shù)據(jù)中心基礎(chǔ)設(shè)施的訪問安全���,常用的訪問安全防護(hù)技術(shù)包括:
(1)控制管理權(quán)限����??刂乒芾頇?quán)限目的在于防止攻擊者假冒管理員身份或提升用戶身份和使用權(quán)限,來非法獲得數(shù)據(jù)閉�。訪問控制防護(hù)技術(shù)的使用通常包括3個(gè)方面:一是合理設(shè)置管理員使用權(quán)限,不要把存儲系統(tǒng)所有控制權(quán)授權(quán)給一個(gè)用戶:二是將存儲系統(tǒng)的身份管理與第三方的認(rèn)證系統(tǒng)相結(jié)合��,可以使用基于角色的訪問控制(RBAC)策略分配不同的管理權(quán)限;三是使用審計(jì)系統(tǒng)來加強(qiáng)安全管理。
(2)保護(hù)管理網(wǎng)絡(luò)���。防護(hù)方法主要有3種:一是加密管理數(shù)據(jù)流����,采用安全的通信通道SSH或SSI/TLS來傳送管理數(shù)據(jù)流;二是通過存儲設(shè)備和交換機(jī)的配置�����。只允許某些特定的主機(jī)擁有管理權(quán)限��,并且對主機(jī)能夠發(fā)出什么命令操作做出限制�,將訪問控制措施制定到存儲陣列級別,明確哪臺主機(jī)擁有對那個(gè)陣列的管理權(quán)限;三是增強(qiáng)IP網(wǎng)絡(luò)的安全措施����,針對特定設(shè)備的數(shù)據(jù)流以及管理性協(xié)議的數(shù)據(jù)流,使用IP路由器和交換機(jī)在IP網(wǎng)絡(luò)層進(jìn)行限制�����,從而將未授權(quán)設(shè)備的威脅降到最低�����。
2應(yīng)用程序訪問安全域
應(yīng)用程序通常是通過文件系統(tǒng)或數(shù)據(jù)庫接口來訪問存儲陣列中的數(shù)據(jù),通過應(yīng)用程序訪問數(shù)據(jù)稱為應(yīng)用程序訪問域�。該域遇到的安全威脅主要包括2個(gè)方面:一是在訪問應(yīng)用程序過程中偽造用戶身份或提升訪問權(quán)限來非法獲取數(shù)據(jù);二是未授權(quán)的主機(jī)偽造合法主機(jī)的身份,訪問應(yīng)用程序篡改數(shù)據(jù)����,窺探網(wǎng)絡(luò)或執(zhí)行DOS攻擊等。其常用的安全防護(hù)技術(shù)包括以下幾個(gè)方面�����。
2.1 控制用戶對數(shù)據(jù)的訪問
首先���,進(jìn)行主機(jī)認(rèn)證。使用用戶身份認(rèn)證授權(quán)系統(tǒng)實(shí)現(xiàn)應(yīng)用程序的訪問控制��,確保用戶身份不被假冒��,也可以使用挑戰(zhàn)握手認(rèn)證協(xié)議(challenge-handshake authentication protocol)�����、光纖通道安全協(xié)議(fibre channel security protocol)和IPsec來認(rèn)證主機(jī)�����。其次。為數(shù)據(jù)資源指定安全控制措施����。通過在交換機(jī)上將網(wǎng)絡(luò)劃分分區(qū)來控制存儲資源的訪問,分區(qū)可將網(wǎng)絡(luò)劃分為多個(gè)路徑�,以便于在不同的路徑上傳輸不同的數(shù)據(jù):也可以通過邏輯單元屏蔽決定哪些主機(jī)可以訪問哪些存儲設(shè)備。一些設(shè)備支持將一臺主機(jī)的WWN映射到一個(gè)特定的FC端口���。從該端口連接到一個(gè)特定的邏輯單元����,最安全的方法是將WWN和物理端口綁定����。最后,通過在所有參與設(shè)備上記錄重要的日志來實(shí)現(xiàn)審計(jì)核查控制管理工作��。
2.2保護(hù)存儲基礎(chǔ)設(shè)施
保護(hù)存儲基礎(chǔ)設(shè)備的安全控制措施要能夠應(yīng)對以下威脅:一是對傳輸中的數(shù)據(jù)人為授權(quán)篡改�。破壞數(shù)據(jù)完整性;二是對應(yīng)用系統(tǒng)進(jìn)行攻擊,實(shí)施降低可用性的拒絕服務(wù);三是對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)窺探�,造成數(shù)據(jù)保密性受損。
保護(hù)存儲網(wǎng)絡(luò)的安全控制分為網(wǎng)絡(luò)連接設(shè)施的完整性和存儲網(wǎng)絡(luò)加密性�����。網(wǎng)絡(luò)連接完整性通過認(rèn)證系統(tǒng),防止未經(jīng)過適當(dāng)認(rèn)證的主機(jī)添加到存儲區(qū)域網(wǎng)中;存儲網(wǎng)絡(luò)加密方法使用IPsec來保護(hù)基于IP的存儲網(wǎng)絡(luò)以及FC-SP來保護(hù)FC網(wǎng)絡(luò)���。
首先��,在定義數(shù)據(jù)中心職責(zé)時(shí)���,可通過基于角色的訪問控制來賦予用戶使用權(quán)限,使他們能夠行使他們的角色�����。其次�,存儲系統(tǒng)的管理網(wǎng)絡(luò)應(yīng)當(dāng)在邏輯上與其他網(wǎng)絡(luò)隔離�,這樣降低了管理難度,增強(qiáng)了安全性�����。IP網(wǎng)絡(luò)分段可以通過路由器或防火墻的基于IP地址的包過濾功能��、交換機(jī)的基于MAC地址的VLAN和端口級的安全措施來實(shí)現(xiàn)�����。最后,控制對設(shè)備的訪問和FC開關(guān)的布線����,以保證存儲設(shè)施得到保護(hù)。如果一個(gè)設(shè)備被一個(gè)未授權(quán)的用戶進(jìn)行了物理訪問�����。那么所有其他已制定的安全措施就會失效�。
2.3數(shù)據(jù)加密
保護(hù)數(shù)據(jù)安全的最重要的一方面是保護(hù)存儲陣列中的數(shù)據(jù),這方面的主要威脅是數(shù)據(jù)被篡改和存儲介質(zhì)丟失��。防范措施是加密存儲在存儲介質(zhì)上的數(shù)據(jù)或加密即將傳送的數(shù)據(jù);在數(shù)據(jù)生命周期結(jié)束時(shí)將數(shù)據(jù)徹底從硬盤上清除����,使其不能恢復(fù)。數(shù)據(jù)應(yīng)當(dāng)在生成時(shí)盡快加密���,如果在主機(jī)上不能實(shí)施加密����,可以在主機(jī)和存儲介質(zhì)之間部署加密設(shè)備加密數(shù)據(jù)��,這樣可以保護(hù)目標(biāo)設(shè)備中靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)。
3備份����、恢復(fù)和存儲安全域
備份涉及到將數(shù)據(jù)從一個(gè)存儲陣列復(fù)制到備份介質(zhì),該安全域的威脅有假冒備份恢復(fù)站點(diǎn)的合法身份進(jìn)行篡改數(shù)據(jù)����、網(wǎng)絡(luò)窺探和DOS攻擊。防范方法主要是提高備份軟件安全性��,制定好存儲備份環(huán)境的安全配置����,嚴(yán)格控制遠(yuǎn)程備份軟件的使用。
