存储网络安全性论证
存储网络安全吗?
存储设备在当初设计时没有考虑到安全性问题。最开始的时候,存储是作为直接连接的产品出现的,因此大家认为,如果主机安全的话,存储也就同样是安全的。
但这种情况已经完全改变了。光纤存储网络常常有多台交换机和IP网关,允许从多个点接入网络,增加了安全隐患;管理员在工作中也存在疏忽。对改进存储安全的需求成为当务之急。
但是,如果系统管理人员不能遵循网络存储安全的基本步骤,再好的工具可能也无济于事。这正是为何加密技术成为最广泛采用的解决安全问题方案的部分原因。
安全问题突出
分析员指出,错误配置逻辑设备号(LUN)分区和没有维护网络访问列表是造成对存储网络非授权接入的两个主要原因。管理人员所犯的另一个常见错误是不愿去改变设备的缺省密码。
除了管理员的工作疏忽之外,光纤通道本身也并不是一个安全的协议。应用服务器通过光纤通道可以看到存储区域网(SAN)上的每一台设备。交换机分区和存储阵列上的LUN屏蔽可以限制对SAN上的设备的访问。分区技术利用交换机端口上的连接或根据设备的全球名称(WWN)建立访问列表来分隔网络节点。屏蔽技术通过每台设备上的软件代码或通过只允许某些LUN可被主机的操作系统看到的智能存储控制器来隐藏SAN上的设备,使它们不被应用服务器所看到。
利用LUN屏蔽技术管理接入对于较小的SAN十分有效,但由于大量的配置与维护工作而在大型SAN上难于实现。
采用加密技术
鉴于上述人员错误和技术缺陷,一些用户将目光转向了加密技术。
伊利诺斯州立大学的国家超级计算应用中心(NCSA)技术计划经理Michelle Butler管理着三个SAN:两条拥有60TB的容量,一条拥有40TB容量。对于她来说,安全意味着数据必须在传送过程中和保存在磁盘上时被加密。
NCSA计划购买博科公司新推出的安全光纤操作系统和光纤管理器软件。Butler说,这些产品将使存储管理人员可以创建使用公钥基础设施(PKI)技术的网络管理访问控制列表和基于WWN的设备访问控制列表。光纤管理器软件还为SAN设备上的控制信息或管理数据提供了认证和加密。
证明加密技术必要性的例子有很多。例如,今年1月,一块保存着17.6万张保单的硬盘从Co-operators人寿保险公司被偷走。
今年4月,Chase Applied Research公司宣布推出Assurency Secure Networked Storage平台,一种为网络存储设备提供简化的基于PKI的认证与加密的基于代理的软件。这家公司估计一个完整的加密系统的费用一般占SAN费用的7%到10%。
另一家值得注意的公司是新兴专用设备厂商Decru公司。该公司使用专有软件来加密存储阵列上保存的数据,同时在应用服务器上使用IPSec协议来加密传输过程中的数据。其DataFort安全专用设备可用于SAN和网络附加存储(NAS)。
Vormetric公司销售一款专用设备,这种设备支持SAN以及NAS和直接连接存储设备并且可用于在文件系统级上高速加密数据。NeoScale Systems公司销售一种叫做CryptoStor FC的产品,这种产品可对SAN和NAS数据进行线速的、基于策略的加密。
尽管目前市场上的多数存储安全技术都提供加密功能,但是分析员说,重要的是用户要确保数据在存储时和在网络上传输过程中都得到加密。
SAN安全要点
存储中心5.4:Compellent的企业级反击