分區(qū)制是一種分區(qū)方法��。通過該方法��,一定的存儲資源只對于那些通過授權(quán)的用戶和部門是可見的��。一個分區(qū)可以由多個服務(wù)器��、存儲設(shè)備���、子系統(tǒng)、交換機���、HBA和其它計算機組成����。只有處于同一個分區(qū)的成員才可以互相通訊��。
分區(qū)制往往在交換級來實現(xiàn)。根據(jù)實現(xiàn)方式��,可以分為兩種模式���,一為硬分區(qū)�,一為軟分區(qū)�����。硬分區(qū)是指根據(jù)交換端口來制定分區(qū)策略���。所有試圖通過未授權(quán)端口進行的通訊均是被禁止的��。由于硬分區(qū)是在系統(tǒng)電路里來實現(xiàn)����,并在系統(tǒng)路由表中執(zhí)行�,因此���,較之軟分區(qū)���,具有更好的安全性�。
在光纖通道網(wǎng)絡(luò)中����,軟分區(qū)是基于廣域命名機制的(WWN)的。WWN是分配給網(wǎng)絡(luò)中光纖設(shè)備的唯一識別碼����。由于軟分區(qū)是通過軟件來保證在不同的分區(qū)中不會出現(xiàn)相同的WWNs,因此�,軟分區(qū)技術(shù)比硬分區(qū)具有更好的靈活性,特別是在網(wǎng)絡(luò)配置經(jīng)常變化的應(yīng)用中具有很好的可管理性����。
有些交換機具有端口綁定功能,從而可以限制網(wǎng)絡(luò)設(shè)備只能和通過預(yù)定義的交換端口進行通訊�����。利用這種技術(shù)���,可以實現(xiàn)對存儲池的訪問限制�����,從而保護SAN免受非授權(quán)用戶的訪問���。
另一種被廣泛采用的技術(shù)是LUN掩碼�。一個LUN就是對目標(biāo)設(shè)備(如磁帶和磁盤陣列)內(nèi)邏輯單元的SCSI識別標(biāo)志���。在光纖通道領(lǐng)域�����,LUN是基于系統(tǒng)的WWN實現(xiàn)的���。
LUN掩碼技術(shù)是將LUN分配給主機服務(wù)器,這些服務(wù)器只能看到分配給它們的LUN����。如果有許多服務(wù)器試圖訪問特定的設(shè)備,那么網(wǎng)絡(luò)管理者可以設(shè)定特定的LUN或LUN組可以訪問�,從而可以拒絕其它服務(wù)器的訪問,起到保護數(shù)據(jù)安全的目的����。不僅在主機上,而且在HBA���、存儲控制器�、磁盤陣列����、交換機上也可以實現(xiàn)各種形式的LUN屏蔽技術(shù)。
如果能夠?qū)⒎謪^(qū)制和LUN技術(shù)與其它的安全機制共同運用到網(wǎng)絡(luò)及其設(shè)備上的話�,對網(wǎng)絡(luò)安全數(shù)據(jù)安全將是非常有效的。
業(yè)界對存儲安全的做法
盡管目前對于在哪一級設(shè)備應(yīng)用存儲安全控制是最優(yōu)的還沒有一個明確的結(jié)論����,例如,IPSec能夠在ASIC��、VPN設(shè)備�、家電和軟件上實現(xiàn),但目前已有很多商家在他們的數(shù)據(jù)存儲產(chǎn)品中實現(xiàn)了加密和安全認(rèn)證功能���。
IPSec對于其它基于IP協(xié)議的安全問題���,比如互聯(lián)網(wǎng)小型計算機接口(iSCSI)、IP上的光纖通道 (FCIP)和互聯(lián)網(wǎng)上的光線通道 (IFCP)等���,也能起到一定的的作用���。
通常使用的安全認(rèn)證�����、授權(quán)訪問和加密機制包括輕量級的路徑訪問協(xié)議Lightweight Directory Access Protocol (LDAP)���、遠程認(rèn)證撥入用戶服務(wù)(RADIUS), 增強的終端訪問控制器訪問控制系統(tǒng)(TACACS+)、Kerberos���、 Triple DES����、高級加密標(biāo)準(zhǔn)(AES)��、安全套接層 (SSL)和安全Shell(SSH)���。
盡管SAN和NAS的安全機制有諸多相似之處����,其實它們之間也是有區(qū)別的��。很多NAS系統(tǒng)不僅支持SSH�、SSL、Kerberos、RADIUS和LDAP安全機制���,同時也支持訪問控制列表(ACL)以及多級許可���。這里面有一個很重要的因素是文件鎖定����,有很多產(chǎn)品商家和系統(tǒng)通過不同的方式來實現(xiàn)這一技術(shù)。例如�,微軟采用的為硬鎖定,而基于Unix的系統(tǒng)采用的是相對較為松弛的建議級鎖定��。由此可以看到����,如果在Windows-Unix混合環(huán)境下,將會帶來一定的問題�。
呼喚存儲安全標(biāo)準(zhǔn)化
SAN安全的實現(xiàn)基礎(chǔ)在交換機這一層。因此����,存儲交換機的標(biāo)準(zhǔn)對網(wǎng)絡(luò)產(chǎn)品制造商的技術(shù)提供方式的影響是至關(guān)重要的。
存儲安全標(biāo)準(zhǔn)化進程目前還處于萌芽階段�����。ANSI成立了T11光纖通信安全協(xié)議(FC-SP)工作組來設(shè)計存儲網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)的框架。目前已經(jīng)提交了多個協(xié)議草案�,包括FCSec協(xié)議,它實現(xiàn)了IPSec和光纖通訊的一體化�����;同時提交的還有針對光纖通訊的挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP)的一個版本����;交換聯(lián)結(jié)認(rèn)證協(xié)議(SLAP)使用了數(shù)字認(rèn)證使得多個交換機能夠互相認(rèn)證;光纖通信認(rèn)證協(xié)議(FCAP)是SLAP的一個擴展協(xié)議��。IEEE的存儲安全工作組正在準(zhǔn)備制定一個有關(guān)將加密算法和方法標(biāo)準(zhǔn)化的議案��。
存儲網(wǎng)絡(luò)工業(yè)協(xié)會(SNIA)于2002年建立了存儲安全工業(yè)論壇(SSIF)����,但是由于不同的產(chǎn)品商支持不同的協(xié)議,因此實現(xiàn)協(xié)議間的互操作性還有很長一段路要走���。
關(guān)注存儲交換安全
大家都已經(jīng)注意到了為了保證存儲安全�����,應(yīng)該在存儲交換機和企業(yè)網(wǎng)絡(luò)中的其它交換機上應(yīng)用相同的安全預(yù)警機制����,因此,對于存儲交換機也應(yīng)有一些特殊的要求���。
存儲交換安全最重要的一個方面是保護光纖管理接口�����,如果管理控制臺沒有很好的安全措施,則一個非授權(quán)用戶有可能有意或無意地入侵系統(tǒng)或改變系統(tǒng)配置��。有一種分布鎖管理器可以防止這類事情發(fā)生�。用戶需要輸入ID和加密密碼才能夠訪問交換機光纖的管理界面。為了將SAN設(shè)備的管理端口通過安全認(rèn)證機制保護起來�,最好是將SAN配置管理工作集中化,并且對管理控制臺和交換機之間的通訊進行加密��。另外一個方面�����,在將交換機接入到光纖網(wǎng)絡(luò)之前��,也應(yīng)該通過ACL和PKI機制實現(xiàn)授權(quán)訪問和安全認(rèn)證。因此�,交換機間鏈接應(yīng)當(dāng)建立在嚴(yán)密的安全防范措施下。那么���,僅有得到授權(quán)的主機才被允許鏈接到交換光纖����,利用端口級的ACL�����,網(wǎng)絡(luò)管理員可以將具體的每個端口分派給可以允許聯(lián)結(jié)的主機�。
