確保存儲基礎設施安全-PowerPointPresen

1、信息存儲與管理國家天文臺（科技處）信息與計算中心確保存儲基礎設施安全下一講：管理存儲基礎設施上一講：遠程復制確保存儲基礎設施安全主講人：滕一民第十五講網(wǎng)絡安全與存儲安全一個沒有連接到存儲網(wǎng)絡的存儲設備不是那么脆弱,因為它們沒有通過網(wǎng)絡暴露在安全威脅之下.許多存放個人信息,金融交易等重要信息的存儲陣列,由于業(yè)務需要也被連接在互聯(lián)網(wǎng)上,以便用戶通過網(wǎng)絡進行訪問 象google,網(wǎng)上購物,網(wǎng)上訂票,網(wǎng)上銀行等網(wǎng)站,用戶都可以通過網(wǎng)絡訪問網(wǎng)站,搜索信息,購物,辦理業(yè)務,這些網(wǎng)站的存儲陣列就被以某種方式連接在互聯(lián)網(wǎng)上了.互聯(lián)網(wǎng)連接著個人計算機,服務器,網(wǎng)絡和存儲設備,這使得互聯(lián)網(wǎng)容易受到各種攻擊.對于互

2、聯(lián)網(wǎng)的安全問題我們大家都會有一些感受和體驗,計算機中病毒的情況大家可能都遇到過.網(wǎng)絡安全與存儲安全存儲設備連到互聯(lián)網(wǎng)上,就使存儲設備暴露于多種安全威脅之下,如病毒,木馬,黑客攻擊等這些威脅有可能破壞關鍵業(yè)務數(shù)據(jù),中斷關鍵服務.比如一個購物網(wǎng)站的業(yè)務數(shù)據(jù)被破壞,該給用戶送貨,也無法送貨,比如網(wǎng)上訂票網(wǎng)站的業(yè)務數(shù)據(jù)被破壞,該給用戶送票卻沒有送,會給用戶帶來很大不便,也會損害網(wǎng)站的信譽.如果金融服務網(wǎng)站由于業(yè)務數(shù)據(jù)被破壞而出現(xiàn)問題,可能會給用戶或銀行造成更大損失確保存儲網(wǎng)絡安全已成為存儲管理過程中不可缺少的組成部分網(wǎng)絡安全與存儲安全網(wǎng)絡安全是相對的,存儲網(wǎng)絡安全作為網(wǎng)絡安全的一部分也是相對的.網(wǎng)絡上

3、沒有絕對的安全.Google這樣的大公司都會受到攻擊就說明了這一點.在考慮存儲網(wǎng)絡安全時也需要根據(jù)數(shù)據(jù)的重要性考慮成本.對于象銀行這類非常重要的部門的存儲系統(tǒng)就需要采取盡可能充分的安全措施來保證系統(tǒng)安全,對于一般的單位就要根據(jù)實際情況以及經(jīng)濟上的承受能力來考慮存儲系統(tǒng)的安全解決方案網(wǎng)絡安全與存儲安全這次講座介紹一些存儲安全的概念和各種技術措施,在實際應用中需要根據(jù)情況有選擇的采用這些技術措施存儲安全是一個綜合性的問題，涉及相關的每一個設備，需要采取綜合措施，因此會涉及到前面幾章講的各種技術和內(nèi)容，如RAID，F(xiàn)C交換機的分區(qū)，存儲的LUN屏蔽，存儲虛擬化,備份等本講主要內(nèi)容存儲安全框架風險三要

4、素存儲安全域安全措施的實施存儲安全框架基礎的安全框架是構建在四個主要的安全服務上的:可稽核性,保密性,完整性和可用性.可稽核性服務: 發(fā)生在數(shù)據(jù)中心基礎設施的所有事件和操作都可核查.主要指建立事件日志,可以審計和追溯發(fā)生的事件.保密性服務: 提供信息所要求的保密性,保證只有被授權的用戶才能訪問數(shù)據(jù). 如用戶認證,對傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)加密等. 存儲安全框架完整性服務:保證信息不被篡改,探測和防御對信息的未授權的更改和刪除.用戶認證(既是保密性服務的一部分,也是完整性服務的一部分,防止未被授權的用戶訪問和篡改信息).完整性服務對傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)都要采取保護措施.傳輸中的數(shù)據(jù)如果不加密也有

5、被篡改的危險.可用性服務: 保證已授權用戶能夠可靠和及時地訪問計算機系統(tǒng)和這些系統(tǒng)上的數(shù)據(jù)、應用程序存儲安全框架可稽核性,保密性,完整性和可用性是存儲安全措施所要實現(xiàn)的目的這四方面是相互關聯(lián)的,比如如果數(shù)據(jù)被非法用戶刪除或篡改了,其可用性顯然就談不上了,這說明數(shù)據(jù)的可用性依賴于數(shù)據(jù)的完整性.如果數(shù)據(jù)的保密性喪失,比如超級用戶口令被非法用戶掌握,那么數(shù)據(jù)以及日志就有被非法訪問和刪除篡改的危險,可見數(shù)據(jù)的完整性和可稽核性也依賴于數(shù)據(jù)的保密性風險三要素風險的定義 風險發(fā)生在一個威脅方(攻擊者)試圖利用一個存在的漏洞來訪問資產(chǎn)的時侯. 威脅,漏洞和資產(chǎn)構成了風險三要素.資產(chǎn)信息是任何組織最重要的一項資

6、產(chǎn),其他的資產(chǎn)包括硬件,軟件以及網(wǎng)絡基礎設施實施安全措施的兩個目標:保證已授權用戶能夠可靠和及時地訪問數(shù)據(jù).(即前面講的可用性)使攻擊者訪問和危害系統(tǒng)變得非常困難.增加攻擊的難度,成本和代價.資產(chǎn)安全措施提供保護,阻止未授權訪問阻止病毒、蠕蟲、木馬和其他惡意程序攻擊加密關鍵數(shù)據(jù)停止所有不用的服務,盡量減少潛在的安全漏洞定期安裝對操作系統(tǒng)和其他軟件的更新復制和備份數(shù)據(jù),提供冗余度,防止意外故障導致數(shù)據(jù)損失資產(chǎn)衡量存儲安全方案的標準花費只占被保護數(shù)據(jù)價值的一小部分使?jié)撛诘墓粽叩貌粌斒{威脅是對IT基礎設施可能實施的潛在攻擊未授權訪問篡改 未授權用戶篡改數(shù)據(jù),包括靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)拒絕服務

7、對一個網(wǎng)絡或網(wǎng)站發(fā)送洪水般的垃圾數(shù)據(jù)阻止授權用戶的合法訪問抵賴 針對信息可稽核性的攻擊，如篡改日志文件與前面講的病毒,蠕蟲,木馬等相比,這里講的是更有針對性的威脅威脅漏洞對于潛在的攻擊來說,提供信息訪問的路徑是最脆弱的環(huán)節(jié)縱深防御 盡可能保護一個環(huán)境內(nèi)的所有訪問點評估網(wǎng)絡環(huán)境對安全的威脅度 攻擊面 攻擊者可以發(fā)起攻擊的各種入口點,如硬件接口,各種協(xié)議,管理接口,各種網(wǎng)絡服務如等 攻擊向量 完成一次攻擊所必需的一個或一系列步驟 功系數(shù) 開發(fā)一個攻擊向量需要投入的時間和精力 漏洞計劃和部署控制措施減少安全漏洞 最小化攻擊面 最大化功系數(shù)技術性措施通過計算機系統(tǒng)實施非技術措施通過管理和物理控制實施

8、物理控制 保安人員,防盜門,監(jiān)控系統(tǒng),天文臺的中心機房就安裝了防盜門和監(jiān)控系統(tǒng) 管理控制 規(guī)則制度,如進出機房要登記 漏洞控制措施又可分為 防御性的:部署系統(tǒng)時所能預想到并實現(xiàn)的控制措施 偵測性的:入侵檢測系統(tǒng) 矯正性的:攻擊被發(fā)現(xiàn)后采取矯正措施 存儲安全域對于潛在的攻擊來說,提供信息訪問的路徑是最脆弱的環(huán)節(jié),因此需要對存儲資源的訪問路徑有一個清晰的理解,通往數(shù)據(jù)存儲的訪問路徑可以分為三個安全域:應用程序訪問 涉及應用程序通過存儲網(wǎng)絡對存儲數(shù)據(jù)的訪問,用戶訪問路徑管理訪問 包括對存儲,互聯(lián)設備以及存儲數(shù)據(jù)的管理訪問,管理人員 的訪問路徑BURA(備份,恢復和歸檔) 備份也需要安全保護存儲安全域

9、保證應用程序訪問域的安全控制用戶對數(shù)據(jù)的訪問保護存儲基礎設施數(shù)據(jù)加密控制用戶對數(shù)據(jù)的訪問主機A可以訪問所有V1卷，主機B可以訪問所有V2卷，一種可能的威脅是主機A偽造身份或提升特權訪問主機B的資源，另一個威脅可能是一個未授權的主機獲得訪問權限，訪問或篡改數(shù)據(jù)，另外存儲介質失竊也會危害安全控制用戶對數(shù)據(jù)的訪問用戶認證用戶授權 如訪問控制表,NAS設備和一些服務器的操作系統(tǒng),如Windows和Linux都支持訪問控制的功能,管理和控制用戶對文件和目錄的訪問權限主機級別的限制訪問 主機認證,不同的存儲網(wǎng)絡技術使用不同的認證協(xié)議來認證主機的訪問,如挑戰(zhàn)握手認證協(xié)議(CHAP),光纖通道安全協(xié)議(FC-

10、SP)和IPSec. 交換機上的分區(qū)將網(wǎng)絡劃分為多個路徑,在不同的路徑上傳輸不同的數(shù)據(jù) 邏輯單元屏蔽(LUN masking)決定哪些主機可以訪問哪些存儲設備 主機的WWN與物理端口綁定,從該端口連接到一個特定的邏輯單元(LUN)控制用戶對數(shù)據(jù)的訪問定期審計核查日志記錄防止對日志記錄的未授權訪問,如果日志記錄被攻擊者篡改,就會喪失審計、稽核的功能保護存儲基礎設施防止未經(jīng)認證的主機添加到存儲局域網(wǎng)(SAN)存儲網(wǎng)絡加密: 用IPSec保護基于IP的存儲網(wǎng)絡 用FC-SP保護FC網(wǎng)絡基于角色的訪問控制，賦予用戶必要的權限，行使角色網(wǎng)絡分段: 存儲系統(tǒng)的管理網(wǎng)絡應在邏輯上與其他的企業(yè)網(wǎng)絡隔離,只允許

11、訪問同一區(qū)域內(nèi)的組件，增強了安全性保護存儲基礎設施IP網(wǎng)絡分段的實現(xiàn) 路由器或防火墻的基于IP地址的包過濾功能 交換機的基于MAC地址的VLAN 端口級的安全措施必須控制對設備的物理訪問和FC開關的布線,如果一個設備被未授權用戶進行物理訪問,那么所有其他安全措施都會失效,導致設備不可靠數(shù)據(jù)加密數(shù)據(jù)應在生成后盡快被加密如果在主機不能加密,可以在進入存儲網(wǎng)絡的節(jié)點處使用加密設備來加密數(shù)據(jù)數(shù)據(jù)在其生命周期結束時應從硬盤上徹底清除保證管理訪問域的安全管理訪問包括監(jiān)視,配置,管理存儲資源絕大多數(shù)管理軟件支持一定形式的命令行界面,系統(tǒng)管理控制臺或Web界面,這些是管理訪問的基本路徑如果管理訪問路徑出現(xiàn)漏洞

12、,會比服務器的漏洞造成更大危害,因為管理員比普通用戶的權限更高保證管理訪問域的安全主機B有一個存儲管理平臺,遠程管理增加了攻擊面，為減少遠程管理訪問帶來的風險,應使用安全的通信通道,如SSH,SSL,TLS,加密管理數(shù)據(jù)流,避免使用telnet,ftp等不安全的服務控制管理權限安全常識：不應該有一個用戶對系統(tǒng)的所有方面都有控制權,因為一旦非法用戶掌握了這一權限,整個系統(tǒng)就被非法用戶控制了應使用基于角色的訪問控制,將各種不同的管理功能分配給不同的管理用戶, 例如ARP系統(tǒng)就有多個管理帳號,不同的管理功能由不同的管理用戶負責審計日志記錄控制和保護日志記錄，防止篡改部署同步時間的網(wǎng)絡時間協(xié)議,保證各

13、個設備的日志記錄在時間上的一致性保護管理網(wǎng)絡基礎設施加強管理訪問控制 如一些存儲設備和交換機可以規(guī)定幾臺主機有管理權,并規(guī)定每臺主機能使用的管理命令為管理數(shù)據(jù)流與其他生產(chǎn)數(shù)據(jù)流分開,如在交換機上為管理主機劃分單獨的VLAN不用的服務必須在存儲網(wǎng)絡的每個設備中禁用,使每個設備可訪問的接口最小化,減小攻擊面保證備份,恢復和存檔的安全(BURA)防止攻擊者假冒備份服務器的身份,這可能使遠程備份在未授權的主機上實施防止備份磁帶,磁盤丟失存儲網(wǎng)絡中安全措施的實施(SAN) FC-SP(Fiber Channel Security Protocol,光纖通道安全協(xié)議) 將IP和FC互連的安全機制和算法標準

14、化了SAN安全架構安全戰(zhàn)略是基于縱深防御理念，推薦多層安全綜合層，在網(wǎng)絡存儲環(huán)境的各種區(qū)域和設備上部署安全措施，如服務器，交換機，防火墻，存儲陣列上都要部署安全措施表152提供了可以在各種安全區(qū)域實施的保護策略的一個列表，表中列出的一些安全機制并不是只針對SAN，如二因素認證已被廣泛應用:使用用戶名、密碼和一個另外的安全組件（如一張智能卡）進行認證。SAN的安全機制邏輯單元屏蔽(LUN masking) 決定一個主機可以訪問哪些LUN分區(qū) 保證只有已授權的區(qū)域成員才能進行通信端口綁定 主機與交換機端口綁定,從該端口連接到一個特定的邏輯單元(LUN)SAN的安全機制全面的交換機控制和全面的網(wǎng)絡訪

15、問控制 FC交換機上的訪問控制表 確定哪些HBA和存儲器端口可以作為網(wǎng)絡的一部分,防止未授權的設備訪問 確定哪些交換機可以作為網(wǎng)絡的一部分,防止未授權的交換機加入 SAN的安全機制虛擬SAN(VSAN) VSAN可以在一個物理SAN創(chuàng)建多個邏輯的SAN,可以把不同VSAN看作獨立運行的網(wǎng)絡, VSAN通過隔離網(wǎng)絡事件，并提供更高級別的認證控制，增強了信息的可用性和安全表156描述了一個VSAN中的邏輯分區(qū)，三個部門共享交換機設備，但都有自己的邏輯網(wǎng)絡，可以當作獨立運行的網(wǎng)絡.存儲網(wǎng)絡中安全措施的實施(NAS)許可證明和訪問控制列表通過限制存取和共享構成了NAS資源的第一層保護 Windows訪

16、問控制列表 自主訪問控制列表-決定訪問控制 系統(tǒng)訪問控制列表-決定哪些訪問應該被審計 UNIX權限 所有者、組、全部 rwxr-xr-x 存儲網(wǎng)絡中安全措施的實施(NAS)認證和授權 NAS設備使用標準的文件共享協(xié)議：NFS和CIFS， NAS設備上實施和支持的認證和授權與UINX系統(tǒng)或Windows系統(tǒng)文件共享環(huán)境下的方法相同，對UINX系統(tǒng)用網(wǎng)絡信息系統(tǒng)（NIS）服務器驗證網(wǎng)絡用戶，對Windows系統(tǒng)用戶通過一個擁有活動目錄的Windows域控制器進行驗證存儲網(wǎng)絡中安全措施的實施(NAS)圖157描述了NAS環(huán)境下的認證過程KerberosKerberos是一個網(wǎng)絡認證協(xié)議,為客戶/服務器應用程序提供強認證技術，使用密鑰加密的方法實現(xiàn)，先進行身份認證，再進行權限認證存儲網(wǎng)絡中安全措施的實施(NAS)網(wǎng)絡層防火墻保護NAS設備不受公共IP網(wǎng)絡的各種攻擊的侵害檢查網(wǎng)絡數(shù)據(jù)包,與設定的安全規(guī)則比較,沒有通過安全規(guī)則的數(shù)據(jù)包被丟棄寬松的規(guī)則會降低安全性如下圖服務器被放在兩套防火墻之間,特定端口的