存储杂志：存储安全介绍及实现存储安全的方法

    现在必须保障存储设备的安全性，因此，现在必须要做到的是：保护机密的数据；保证数据的完整性；防止数据被破坏或丢失。

    通常，保护数据安全的方法有： 

    身份认证（管理员必须登陆之后才能进行管理操作，发展中的技术：设备在加入存储网络之前必须登陆注册）
    授权（每个管理员只能执行某些特定的操作，存储设备对每个IO操作进行检查，防止非法的数据源写入数据）、
    审计跟踪（存储系统通过日志记录管理员的操作和发生的事件，这样可以有效追踪问题的原因）、加密（有效地保护数据的保密性和完整性）

    存储安全是数据中心安全和业务安全的一部分。因此，任何产品级的产品模式必须得到客户业务策略和执行的补充，包括网络安全和系统安全。

    实现存储安全首先要做的是：
  1. 确保交换机、阵列等的管理接口和管理端口的安全。
  -利用复杂的密码
  – 禁止设备上未用过的管理端口
  2. 确保LUN安全。
  3. 在特别的案例中，或者为了满足特定业务目标时，进行加密。

    最重要的是，首先要制定一个完整而周详的存储安全计划，内容包含具体实施人员、程序、设备。其次，这个存储安全计划还要符合整个数据中心和业务计划。再次，在情况允许和技术允许的情况下，不断修改完善计划。最后，测试计划。

    一、存储安全简介 

    在过去十年中，存储已经演变为多个系统共享的一种资源。很多案例都表明，只保护存储设备所在的系统的安全已经不能满足需要了。存储设备现在连接到很多系统上，因此，必须保护各个系统上的有价值的数据，防止其他系统未经授权访问数据，或者破坏数据。相应的，存储设备必须要防止未被授权的配置改变，对所有的更改都要做审计跟踪。

    存储安全是客户整个安全计划的一部分，也是数据中心安全和组织安全的一部分。如果只小心翼翼地保护存储的安全而将整个系统向互联网开放，那这样的存储安全是丝毫没有意义的。应该认识到，安全计划可能需要满足各种数据库和应用的不同层次的安全需求。

    当前主要有三种存储架构：DAS（直连存储）、NAS（网络附加存储）、SAN（存储区域网络）。DAS是直接连接到一个单一的系统。NAS是通过Ethernet LAN网络的方式来访问文件。SAN是通过一个存储网络来访问，现在典型的是FC（光纤通道）SAN。iSCSI SAN 基于Ethernet LAN，但是目前使用并不广泛。Object storage是一种新兴的技术，结合SAN和NAS。本文指的存储主要是SAN和NAS。

    存储安全不是附加在SAN上的一个设备。存储安全是一种属性，是每个系统，每个交换机，每个SAN中的设备的一种属性。存储安全意味着要应付多种威胁，不是所有的危险都能提前预知的。存储安全还包括一整套程序，即定义数据访问权力，授权管理设备，当安全问题出现时给予合适的回应。最后，或许也是最重要的是，被授权访问数据或管理设备的人必须是可靠的，经过精心挑选的。

    用一个组织的中心目录（比如Active Directory ，NDS）来进行认证有几种重要的好处。首先，个人只有被授予的权力去管理特定的设备，或者对很多设备进行有限访问（比如可以看到配置数据但是无法更改数据）。其次，审计跟踪（日志）会显示做了什么，是谁做的。这些日志会组织故意滥用权力并帮助纠正错误。第三，如果个人的责任有所改变，或者他（她）离职，那么就可以直接删除他（她）的身份或者改变授权。

    原则上，存储安全是很简单直接的。在线存储??磁盘存储??被指定为不同的部分。每个部分属于一个特殊的系统或用户。如果这个部分被访问，存储系统会查看访问请求发回的地址，如果这个地址不是所有者的，那么就拒绝请求。

    在实践中，建立存储安全要求专业的知识，留意细节，不断检查，确保存储解决方案继续满足业务不断改变的需要。必须减少诸如伪造回复地址这样的威胁。最重要的是，安全的本质是三方面达到平衡，即采取安全措施的成本，安全缺口带来的影响，入侵者要突破安全措施所需要的资源。

    二、大型数据中心的存储安全

    存储安全固然十分重要，但是存储安全只是数据中心整个安全解决方案的一个组成部分。安全是一个内涵很广泛的话题，存储在业务流程中扮演的并非是主角，但确实是关键角色，因为存储包含了公司绝大部分记录，如果没有存储，很多业务流程将没法继续。

    存储安全的重点不仅体现在企业的安全管理和危机意识，也体现在它集中式的授权模式和认证服务。当企业制定的存储安全策略没有和服务器和网络的安全策略集中考虑的时候，黑客就可以从这三个方面寻找突破口。为了防止这类事件，认证和审计就必须在这三个方面都要有实施。

    对于标准网络上的存储，包括NAS和iSCSI块级存储在内，安全取决于是怎样保护网络的以及存储系统自身。特别是当通过公司的中枢网络而不是独立存储网络或子网络访问存储时，安全更加取决于网络自身的安全。

    病毒以及类似蓄意破坏的行为都是必须考虑的重要问题。目前控制病毒的主要方法是网络级防火墙和独立客户机/服务器级的防火墙，电子邮件防火墙可以扫描邮件消息找出已知的病毒，单独的客户机/服务器级防火墙可以检测正在读写的文件，发现可疑的迹象。

    对于SAN和DAS存储来说，LUNs提供给系统，只有系统才能清楚某一文件是从何开始在哪结束的，因此，只有系统能检测出文件的病毒。

    对于NAS和对象存储来说，可以在存储子系统内检测病毒。最重要的是，要减少病毒威胁，需要以全局的眼光来计划并规划，然后在IT基础架构合适的地方来实施解决方案。

    存储安全的目的

    存储安全的目的是要保护：
    保护机密的数据；
    保证数据的完整性；
    防止数据被破坏或丢失。

    一旦发生数据丢失或被破坏，后果可想而知。敏感的业务数据或客户资料将被泄露，业务记录将被篡改或毁坏。所有最糟糕的情形都有可能发生。

    减少存储安全的危险

    通常用于减少危险的方法有：
   ?身份认证
    在管理员的行动得到许可以前，管理员必须登录
   ? 授权
    当特定存储管理员发送一个请求后，在执行请求行动之前存储设备必须验证管理员的请求是得到授权的。
    当特定系统发送I/O指令后，在执行I/O指令之前磁盘阵列必须验证这个指令是否得到许可。现在有一项新兴的技术是磁带库控制器可以验证I/O许可。
    ? 审计
     存储子系统记录管理员所有的举动以及任何重大事件。审计子系统提供了一种纪录系统安全方面信息的方法，同时可以为系统管理员在用户违反系统安全法则或存在违反的潜在可能时，提供及时的警告信息，这些审计子系统所搜集的信息包括：可被审计的事件名称，事件状态（成功或失败），别的安全相关的信息。
    ? 加密（目前还没有得到广泛应用）
    保护数据的机密性（没人可以看见）和完整性（没人可以更改）
    -给磁盘上的数据加密
    -给磁带和其他可移动的介质上的数据加密

    三、存储安全模式

    上文介绍了减少危险的几种方式。下面要介绍的是数据访问路径和管理访问路径方法。在大的方面，可以把这些降低威胁的方法分为数据安全和管理安全两个方面，进而将之分为更细的方法。其中有的方法已经非常普遍，也有许多仍在研究中，相信在几年后就会有应用。例如，在现在的SAN的安装中，选择性地选择设备和逻辑卷提供给用户使用，这种模式已经非常通用的技术，而存储加密则是前沿技术。
数据访问安全和管理安全将在下一部分进行详细讨论。

    数据访问安全

    怎样阻止未经授权的访问，修改数据，破坏数据？有三个广泛的技术领域涉及到这一点，即身份（认证）、授权（LUN安全）以及机密性/完整性（加密）。

    1、身份认证

    与存储有关的验证分为三个级别：不验证、FC WWN验证、询问/响应设备来证明自己的身份。原来根本不验证。最近FC WWN (World Wide Name)被用来验证设备的身份。将来，FC和iSCSI，以及更高级的询问/ 响应（challenge/response）协议将用于确认设备的身份。

    不认证

    早期的FC安装将SAN划分为几个区域。与某个区域连接的系统被假定属于那个区域。就像是SCSI缆线上的系统。由于互操作性或错误隔离等原因，分区仍然很重要。

    Fibre Channel WWN 

    现在FC验证的最好方法是在线存储识别发出请求的系统的唯一WWN，把WWN作为其身份。对于应付简单的管理员错误或偶然的攻击，这种方法足以应付了。在理论上，经验丰富的黑客可以伪造属于另一个系统的WWN。

    光纤安全协定

    在FC-SP规格下，FC设备利用最高级别的询问/响应协议互相之间进行认证。几年之后，支持FC-SP的设备才能得到普及，将非FC-SP设备锁定在预先存在的SAN之外。

    iSCSI 

    问询-握手身份验证协议（Challenge-Handshake Authentication Protocol，CHAP）通过匹配用户名和登陆密码，来识别用户的身份。密码不需要以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生，所以，该协议赢得了许多网络管理员的信任。不过，值得一提的是，这些密码必须存放在连接节点的终端，有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务（Remote Authentication Dial-In User Service，RADIUS）协议能够将密码从iSCSI目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计，即使如此，网络黑客仍然可以通过伪设置的办法，侵入客户端。

    由于iSCSI使用的是IP协议，所以它的安全依赖于IP安全协议。但基本的IP传输缺乏安全，这就使得任何精通该领域的人可以截获或者修改IP通信。 保护IP 通信的一个更为流行的方法是采用 IP安全协议（IP Security Protocol，简称IPSec）。IPSec是个基于IP的安全协议，不同于SSL安全协议，后者基于OSI模型的应用层。

    询问/响应协议

    虽然高级认证的细节非常复杂，但是其概念非常简单。服务器产生一个随机的询问。 然后将它发送给客户端。客户端对它加密后送回给服务器作为一个响应。服务器解密这个响应并与发出的询问对比。如果比较的结果是正确的那么服务器就允许访问。

    公共钥匙加密使用由公共和私有组件组成的两部分密钥（代码）。加密邮件使用的是收件人已经公布的公共密钥。收件人使用只有自己知道的未公布专用密钥来解密邮件。

    2、授权 

    授权的模式发生演变，从原来的DAS模式的“如果你看到它，你就拥有它”到更加复杂的机制，使共享SAN的资源变成可能。

    逻辑单元屏蔽(LUN Masking)??SAN结构中存储设备是被当作本地设备访问的，文件系统和数据的维护在主机端完成。所以，SAN中一般情况下，需要基于主机的数据隔离，即所谓的LUN Masking技术。这种技术主要保证多种操作系统平台不会互相破坏文件系统。

    LUN masking能使磁盘通过SAN分配给一台计算机，而其它计算机在此时则无法看到该磁盘。如果你应用LUN masking，那么一个单独的RAID将被分到多个逻辑磁盘上，这些磁盘都分配给了指定的计算机。

    iSCSI??iSCSI设备提供设备级的和per-LUN访问控制表( ACLs )。per-LUN访问控制表类似于FC LUN屏蔽。虚拟局域网(VLANs)类似于FC SANs中的区域。管理员需要检验某个阵列支持的功能是不是他们计划利用的功能。

    NAS??NAS数据访问通常是基于两种协议，NFS/CIFS。这两种协议对待文件访问许可的方式差不多是一样的。主流的NFS协议适用普遍，而且很有效。然而，NFS经常会遭到“伪装”攻击，所以应该用合适的防火墙来阻止恶意的用户。现在已经出现不少结合NAS和iSCSI的设备。当共享一个公共网络连接时，这两个协议有不同的访问权限机制，并且是单独管理的。

    3、加密

    加密获得越来越多关注。很久以来，加密通常被用于军事领域或间谍行动，但是现在加密技术突然找到了一片广阔的市场。互联网需要加密来确保数据传输的安全。VLSI（超大规模集成电路）使安全对很多人来说不会是很大的经济负担。另一方面，computer power的指数式增长使专家有可能“使用每一把钥匙”破译消息，这在几年前是根本无法想象的。

    虽然给存储系统上速度为几百兆每秒的数据加密要比给PC机上的几千字节加密困难得多，但是现在的加密技术仍然能保证每秒几百兆的速度。存储行业的很多人都在思考怎样利用这项技术，导致很多厂商纷纷推出自己的加密产品。厂商并没有针对某一设备推出加密产品，而是考虑到客户需要系统地解决加密问题。通常，不管是传输中的数据（在FC，以太网或WAN中传输的数据）还是静止的数据（磁盘或磁带上的数据）都能够加密。

    数据在数据中心之间传输

    当数据从一个数据中心复制到另一数据中心时，就不能再只是通过数据中心的物理安全来保护数据了。这样做存在危险。因为数据在自己的缆线通道里穿过几千公里的光纤比穿过租借的线缆要安全得多，而数据穿过租借的线缆又比穿过互联网要安全得多。

    在上述任何一种情形下，即使数据中心外的线缆缺乏物理安全，也可以用一个加密盒来减少安全隐患。只要数据在离开数据中心之前通过加密盒就可以了。当然，相应地在数据进入接受它的数据中心之前也要通过加密盒。目前市面上的加密盒可以支持FC和IP网，支持IP网的叫做IPsec网关。现在数据中心普遍安装了这样的加密设备，因为成本不高而且复杂性也比较低。

    数据在数据中心内部传输

    绝大多数数据中心的安全计划都建立了一个安全边界，人们觉得在数据中心内部受到窃听器的威胁的几率是很小的。但是，威胁依然存在。所以，在数据中心内部对数据进行加密也是非常有必要的。目前，数据中心内部的加密设备只能支持FC。

    光纤通道安全协议

    光纤通道安全协议标准不仅包括认证，还包括Encapsulating Security Payload (ESP)加密，Encapsulating Security Payload (ESP)加密，ESP加密为FC设备提供一种改变密码的方法，然后可以对FC设备间的数据进行加密。

    iSCSI 

    尽管iSCSI对很难满足存储的性能要求，但是现在取得了普遍的应用。随着以太网接口内置的数据加密越来越通用也比较经济，在数据中心对存储实现加密将有可能成为现实。不过，这至少还需几年的时间。

    磁盘上的数据（在线存储）

    近来，数据中心机密客户数据丢失事件屡见报端。现在的加密方法通常是利用一个密匙，以一种特殊的方法来转换数据。在数据被加密后，必须破译密匙，才能利用数据。目前业内有多种数据加密运算法则，比如数据加密标准（Data Encryption Standard，DES)、三重DES（Triple-DES）、高级加密标准（Advanced Encryption Standard，AES）

    加密很重要的一点是密码的长度。如果一个密码很短，假如只有10位，那就只有1024种可能性。利用一台PC机，可能只需要一秒钟的时间就能将1024种可能的密码全部试一遍，然后找到正确的密码。这就是所谓的“破解”密码。如果密码很长，比如说有1000位，那就有2^1000可能性，那么，用现有所有的计算机算一百万年也无法都试一遍。

    然而，以现在磁盘的I/O速度，用1000位的密码加密是完全不切实际的。从实际出发，加密算法和密码的长度必须根据现有的高速加密/破译VLSI设备来选择。这就是说，如果密码太复杂，一旦某个专业政府组织确实想要“破译”他们的磁盘上究竟有些什么东西，那没有一家商业机构可以破译，更不用提黑客了。

    目前密码的长度通常是100位至150位。密码必须是随机选择的，如果密码被猜到，那安全就受到威胁了。加密磁盘上的数据需要适当地密码管理，这就是说必须平衡更改密码的困难（所有数据必须重写）和丢失密码的危险。

    保存多份密码的副本意味着安全更有可能会受到威胁，只保留一份副本或几份副本则意味着密码更有可能因为一个系统故障或人为错误而被毁坏。

    目前市面上已经有密码管理软件，但是管理加密数据是否成功更多地取决于人而不是技术。

    磁带，光盘，其他媒介（近线存储）的数据

    备份磁带上的数据是很容易被窃取，不仅仅是从安全的数据中心，有些时候从不太安全的分支办公室窃取。而且备份磁带上的数据丢失相比磁盘更难被发现。这就需要为备份磁带上的数据进行加密。

    目前，这样的加密已经可以实现，利用上文讨论到的加密工具就可以了。钥匙管理成为了一个极具挑战性的问题，因为如果要获取磁带上的数据，就必须保留每个已知备份磁带的钥匙。

    管理安全

    存储设备的基本管理安全远没有加密技术这样花哨，管理安全是现在必须重视的重要领域。这个领域目前处于过渡期。

    以前，存储只是属于某个系统，存储管理软件运行在那个系统上，唯一的存储安全是（存储管理安全）是由系统提供。

    随着存储被多个系统共享，特别是一个管理实体被安装在一个或多个系统上，存储管理员就需要通过密码来管理某一特别的阵列。这是当前业界普遍采用的方法，而且在只有一个管理员管理适当数量的存储时，这个方法效果很好。

    然而，在过去几年中，存储需求快速增加，需要多个管理员来管理存储，关于允许哪个管理员在哪台存储设备上可以执行怎样的行动有更加详细的规定。

    单一登陆可以通过RADIUS（远程身份验证拨入用户服务）协议来实现，RADIUS发送给中央服务器一个确认请求。微软的Active Directory 要求在确认用户的标识之后，才允许访问网络，此过程称为身份验证。用户只需要提供对域（或受信任域）的单一登录即可访问网络。当 Active Directory 确认用户的身份之后，进行身份验证的域控制器上的 LSA 将生成一个访问令牌，确定用户可以对网络资源进行哪个级别的访问。

    审计跟踪和日志必须显示哪位管理员执行了操作。这对于基于每台设备的管理员来说是很难实现的，当所有设备上这样的数据可以看得见时，很多问题（攻击）才能显现出来。在大规模的安装中，展现日志全部内容并且可搜索内容的工具是很需要的。

    这几年来，已经有不少人开始在数据中心集中认证和安全。存储管理原来是利用能够管理同一类型的多个设备的工具，现在开始利用单一登录的一套工具，这些工具不仅能够管理不同类型的存储设备，甚至可以将多种服务器和存储一起管理。

    重要的是，要明白针对不同的产品有不同的变化，以避免中断现有安装和现有程序。安装规模比较小的客户仍然可以以传统的方法来使用产品。

    验证

    从技术上看，SSO使用户可以登录到一个主域上，但可以访问其他次级域。例如，Novell NetWare网络代表着一个域，Windows NT代表着一个域，IBM也代表着一个域，如此等等。在多登录环境中的正常环境下，用户必须分别登录到每个次级域。在使用SSO时，IT经理指定特定平台作为主认证域来控制对所有域的访问。当用户登录到这个SSO主域时，他提供在登录到任何次级域时所需要的所有证明。然后主域负责为次级域完成对用户的认证。 

    集中验证服务有几个优点。单一登录允许用户只登录到系统上一次，而后授权访问其他连接的系统，无需再进行登录。当用户只需要记忆一个口令时，管理和支持费用将会大大减少，并且总体环境将会更安全。

    授权

    除了单一登录，现有存储管理方法与传统方法的第二点不同是不再是一个管理员登录来管理一个设备，而是所有管理员共享权力。

   第三点，也可能是最重要的区别是管理员特权可以以一种特别精细的方式授权给管理员。举个例子，某管理员可以看到某一特定存储系统中的一切信息，但是没有权力更改信息，但是更高级的管理员可以更改信息。此外，客户仍然可以灵活地进行服务器和存储管理。一个小公司可以继续让一个管理员拥有所有的权利，而大公司可能继续分为独立的存储、服务器、网络管理部门，每个部门根据特殊个人的角色拥有不同的权力。

    审计

    所有配置上的改变和其他重大事件都应该被记录上，因此任何问题都可以追踪到原始状态。知道是哪位管理员在什么时候做出错误的配置改变，这样，要找出并更改错误就简单得多。

    对数据中心中不同设备的审计跟踪/日志有一个集中的了解是很重要的。在出现问题时，要辨别问题是由安全入侵引起的，还是管理员错误或其它问题，从日志的整体上考虑比从个别要素上考虑有效得多。还可以要求所有安全管理员根据日志定期提交详细报告。

    当在设备之间自动迁移数据的时候，执行数据迁移的软件必须得到授权，而且必须保留这样的迁移记录。这是一个新兴的领域，当前来说，这更多的是一个目标，而不是标准的执行方式。 

    四、建议

    存储安全是数据中心安全和业务安全的一部分。因此，任何产品级的产品模式必须得到客户业务策略和执行的补充，包括网络安全和系统安全。在未来几年中，保护所有设备的管理接口的安全是最重要的。

    首先，中止所有不用的交换机和其他设备中的管理端口。更改设备管理密码，用更复杂的密码，必须包含字母和数字。通常要避免使用常规的字典里的词汇或其他术语，因为这样很容易被入侵者猜到。必须要用至少一层防火墙将存储设备上的LAN管理端口与广为访问的网络隔离开来。由于存储设备以及可以在数据中心利用集中认证，数据中心的存储设备还可以进行基于角色的授权，因此存储安全计划也应该不断完善，利用这些技术。

    最重要的是，首先要制定一个完整而周详的存储安全计划，内容包含具体实施人员，程序，设备。其次，这个存储安全计划还要符合整个数据中心和业务计划。再次，在情况允许和技术允许的情况下，不断修改完善计划。最后，测试计划。

    本文节选自《信息存储》杂志2006年度特刊，点击此处浏览全部文章。
    想要免费申请订阅《信息存储》杂志，请点击此处。
  

未经允许不得转载：DOIT » 存储杂志：存储安全介绍及实现存储安全的方法