確保存儲基礎(chǔ)設(shè)施安全

1、信息存儲與管理國家天文臺科技處信息與計算中心確保管儲根底設(shè)備平安下一講：管理存儲根底設(shè)備上一講：遠程復(fù)制確保管儲根底設(shè)備平安主講人：滕一民第十五講網(wǎng)絡(luò)平安與存儲平安一個沒有銜接到存儲網(wǎng)絡(luò)的存儲設(shè)備不是那么脆弱,由于它們沒有經(jīng)過網(wǎng)絡(luò)暴露在平安要挾之下.許多存放個人信息,金融買賣等重要信息的存儲陣列,由于業(yè)務(wù)需求也被銜接在互聯(lián)網(wǎng)上,以便用戶經(jīng)過網(wǎng)絡(luò)進展訪問 象google,網(wǎng)上購物,網(wǎng)上訂票,網(wǎng)上銀行等網(wǎng)站,用戶都可以經(jīng)過網(wǎng)絡(luò)訪問網(wǎng)站,搜索信息,購物,辦理業(yè)務(wù),這些網(wǎng)站的存儲陣列就被以某種方式銜接在互聯(lián)網(wǎng)上了.互聯(lián)網(wǎng)銜接著個人計算機,效力器,網(wǎng)絡(luò)和存儲設(shè)備,這使得互聯(lián)網(wǎng)容易遭到各種攻擊.對于互聯(lián)網(wǎng)

2、的平安問題我們大家都會有一些感受和體驗,計算機中病毒的情況大家能夠都遇到過.網(wǎng)絡(luò)平安與存儲平安存儲設(shè)備連到互聯(lián)網(wǎng)上,就使存儲設(shè)備暴露于多種平安要挾之下,如病毒,木馬,黑客攻擊等這些要挾有能夠破壞關(guān)鍵業(yè)務(wù)數(shù)據(jù),中斷關(guān)鍵效力.比如一個購物網(wǎng)站的業(yè)務(wù)數(shù)據(jù)被破壞,該給用戶送貨,也無法送貨,比如網(wǎng)上訂票網(wǎng)站的業(yè)務(wù)數(shù)據(jù)被破壞,該給用戶送票卻沒有送,會給用戶帶來很大不便,也會損害網(wǎng)站的信譽.假設(shè)金融效力網(wǎng)站由于業(yè)務(wù)數(shù)據(jù)被破壞而出現(xiàn)問題,能夠會給用戶或銀行呵斥更大損失確保管儲網(wǎng)絡(luò)平安已成為存儲管理過程中不可短少的組成部分網(wǎng)絡(luò)平安與存儲平安網(wǎng)絡(luò)平安是相對的,存儲網(wǎng)絡(luò)平安作為網(wǎng)絡(luò)平安的一部分也是相對的.網(wǎng)絡(luò)上沒有

3、絕對的平安.Google這樣的大公司都會遭到攻擊就闡明了這一點.在思索存儲網(wǎng)絡(luò)平安時也需求根據(jù)數(shù)據(jù)的重要性思索本錢.對于象銀行這類非常重要的部門的存儲系統(tǒng)就需求采取盡能夠充分的平安措施來保證系統(tǒng)平安,對于普通的單位就要根據(jù)實踐情況以及經(jīng)濟上的接受才干來思索存儲系統(tǒng)的平安處理方案網(wǎng)絡(luò)平安與存儲平安這次講座引見一些存儲平安的概念和各種技術(shù)措施,在實踐運用中需求根據(jù)情況有選擇的采用這些技術(shù)措施存儲平安是一個綜合性的問題，涉及相關(guān)的每一個設(shè)備，需求采取綜合措施，因此會涉及到前面幾章講的各種技術(shù)和內(nèi)容，如RAID，F(xiàn)C交換機的分區(qū)，存儲的LUN屏蔽，存儲虛擬化,備份等本講主要內(nèi)容存儲平安框架風(fēng)險三要素存

4、儲平安域平安措施的實施存儲平安框架根底的平安框架是構(gòu)建在四個主要的平安效力上的:可稽核性,嚴密性,完好性和可用性.可稽核性效力: 發(fā)生在數(shù)據(jù)中心根底設(shè)備的一切事件和操作都可核對.主要指建立事件日志,可以審計和追溯發(fā)生的事件.嚴密性效力: 提供信息所要求的嚴密性,保證只需被授權(quán)的用戶才干訪問數(shù)據(jù). 如用戶認證,對傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)加密等. 存儲平安框架完好性效力:保證信息不被篡改,探測和防御對信息的未授權(quán)的更改和刪除.用戶認證(既是嚴密性效力的一部分,也是完好性效力的一部分,防止未被授權(quán)的用戶訪問和篡改信息).完好性效力對傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)都要采取維護措施.傳輸中的數(shù)據(jù)假設(shè)不加密也有被篡

5、改的危險.可用性效力: 保證已授權(quán)用戶可以可靠和及時地訪問計算機系統(tǒng)和這些系統(tǒng)上的數(shù)據(jù)、運用程序存儲平安框架可稽核性,嚴密性,完好性和可用性是存儲平安措施所要實現(xiàn)的目的這四方面是相互關(guān)聯(lián)的,比如假設(shè)數(shù)據(jù)被非法用戶刪除或篡改了,其可用性顯然就談不上了,這闡明數(shù)據(jù)的可用性依賴于數(shù)據(jù)的完好性.假設(shè)數(shù)據(jù)的嚴密性喪失,比如超級用戶口令被非法用戶掌握,那么數(shù)據(jù)以及日志就有被非法訪問和刪除篡改的危險,可見數(shù)據(jù)的完好性和可稽核性也依賴于數(shù)據(jù)的嚴密性風(fēng)險三要素風(fēng)險的定義 風(fēng)險發(fā)生在一個要挾方(攻擊者)試圖利用一個存在的破綻來訪問資產(chǎn)的時侯. 要挾,破綻和資產(chǎn)構(gòu)成了風(fēng)險三要素.資產(chǎn)信息是任何組織最重要的一項資產(chǎn),

6、其他的資產(chǎn)包括硬件,軟件以及網(wǎng)絡(luò)根底設(shè)備實施平安措施的兩個目的:保證已授權(quán)用戶可以可靠和及時地訪問數(shù)據(jù).(即前面講的可用性)使攻擊者訪問和危害系統(tǒng)變得非常困難.添加攻擊的難度,本錢和代價.資產(chǎn)平安措施提供維護,阻止未授權(quán)訪問阻止病毒、蠕蟲、木馬和其他惡意程序攻擊加密關(guān)鍵數(shù)據(jù)停頓一切不用的效力,盡量減少潛在的平安破綻定期安裝對操作系統(tǒng)和其他軟件的更新復(fù)制和備份數(shù)據(jù),提供冗余度,防止不測缺點導(dǎo)致數(shù)據(jù)損失資產(chǎn)衡量存儲平安方案的規(guī)范破費只占被維護數(shù)據(jù)價值的一小部分使?jié)撛诘墓粽叩貌粌斒б獟兑獟妒菍T根底設(shè)備能夠?qū)嵤┑臐撛诠粑词跈?quán)訪問篡改 未授權(quán)用戶篡改數(shù)據(jù),包括靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)回絕效力 對一

7、個網(wǎng)絡(luò)或網(wǎng)站發(fā)送洪水般的渣滓數(shù)據(jù)阻止授權(quán)用戶的合法訪問抵賴 針對信息可稽核性的攻擊，如篡改日志文件與前面講的病毒,蠕蟲,木馬等相比,這里講的是更有針對性的要挾要挾破綻對于潛在的攻擊來說,提供信息訪問的途徑是最脆弱的環(huán)節(jié)縱深防御 盡能夠維護一個環(huán)境內(nèi)的一切訪問點評價網(wǎng)絡(luò)環(huán)境對平安的要挾度 攻擊面 攻擊者可以發(fā)起攻擊的各種入口點,如硬件接口,各種協(xié)議,管理接口,各種網(wǎng)絡(luò)效力如ftp,telnet等 攻擊向量 完成一次攻擊所必需的一個或一系列步驟 功系數(shù) 開發(fā)一個攻擊向量需求投入的時間和精神 破綻方案和部署控制措施減少平安破綻 最小化攻擊面 最大化功系數(shù)技術(shù)性措施經(jīng)過計算機系統(tǒng)實施非技術(shù)措施經(jīng)過管理

8、和物理控制實施 物理控制 保安人員,防盜門,監(jiān)控系統(tǒng),天文臺的中心機房就安裝了防盜門和監(jiān)控系統(tǒng) 管理控制 規(guī)那么制度,如進出機房要登記 破綻控制措施又可分為 防御性的:部署系統(tǒng)時所能料想到并實現(xiàn)的控制措施 偵測性的:入侵檢測系統(tǒng) 矯正性的:攻擊被發(fā)現(xiàn)后采取矯正措施 存儲平安域?qū)τ跐撛诘墓魜碚f,提供信息訪問的途徑是最脆弱的環(huán)節(jié),因此需求對存儲資源的訪問途徑有一個明晰的了解,通往數(shù)據(jù)存儲的訪問途徑可以分為三個平安域:運用程序訪問 涉及運用程序經(jīng)過存儲網(wǎng)絡(luò)對存儲數(shù)據(jù)的訪問,用戶訪問途徑管理訪問 包括對存儲,互聯(lián)設(shè)備以及存儲數(shù)據(jù)的管理訪問,管理人員 的訪問途徑BURA(備份,恢復(fù)和歸檔) 備份也需求

9、平安維護存儲平安域保證運用程序訪問域的平安控制用戶對數(shù)據(jù)的訪問維護存儲根底設(shè)備數(shù)據(jù)加密控制用戶對數(shù)據(jù)的訪問主機A可以訪問一切V1卷，主機B可以訪問一切V2卷，一種能夠的要挾是主機A偽造身份或提升特權(quán)訪問主機B的資源，另一個要挾能夠是一個未授權(quán)的主機獲得訪問權(quán)限，訪問或篡改數(shù)據(jù)，另外存儲介質(zhì)失竊也會危害平安控制用戶對數(shù)據(jù)的訪問用戶認證用戶授權(quán) 如訪問控制表,NAS設(shè)備和一些效力器的操作系統(tǒng),如Windows和Linux都支持訪問控制的功能,管理和控制用戶對文件和目錄的訪問權(quán)限主機級別的限制訪問 主機認證,不同的存儲網(wǎng)絡(luò)技術(shù)運用不同的認證協(xié)議來認證主機的訪問,如挑戰(zhàn)握手認證協(xié)議(CHAP),光纖通

10、道平安協(xié)議(FC-SP)和IPSec. 交換機上的分區(qū)將網(wǎng)絡(luò)劃分為多個途徑,在不同的途徑上傳輸不同的數(shù)據(jù) 邏輯單元屏蔽(LUN masking)決議哪些主機可以訪問哪些存儲設(shè)備 主機的WWN與物理端口綁定,從該端口銜接到一個特定的邏輯單元(LUN)控制用戶對數(shù)據(jù)的訪問定期審計核對日志記錄防止對日志記錄的未授權(quán)訪問,假設(shè)日志記錄被攻擊者篡改,就會喪失審計、稽核的功能維護存儲根底設(shè)備防止未經(jīng)認證的主機添加到存儲局域網(wǎng)(SAN)存儲網(wǎng)絡(luò)加密: 用IPSec維護基于IP的存儲網(wǎng)絡(luò) 用FC-SP維護FC網(wǎng)絡(luò)基于角色的訪問控制，賦予用戶必要的權(quán)限，行使角色網(wǎng)絡(luò)分段: 存儲系統(tǒng)的管理網(wǎng)絡(luò)應(yīng)在邏輯上與其他的企

11、業(yè)網(wǎng)絡(luò)隔離,只允許訪問同一區(qū)域內(nèi)的組件，加強了平安性維護存儲根底設(shè)備IP網(wǎng)絡(luò)分段的實現(xiàn) 路由器或防火墻的基于IP地址的包過濾功能 交換機的基于MAC地址的VLAN 端口級的平安措施必需控制對設(shè)備的物理訪問和FC開關(guān)的布線,假設(shè)一個設(shè)備被未授權(quán)用戶進展物理訪問,那么一切其他平安措施都會失效,導(dǎo)致設(shè)備不可靠數(shù)據(jù)加密數(shù)據(jù)應(yīng)在生成后盡快被加密假設(shè)在主機不能加密,可以在進入存儲網(wǎng)絡(luò)的節(jié)點處運用加密設(shè)備來加密數(shù)據(jù)數(shù)據(jù)在其生命周期終了時應(yīng)從硬盤上徹底去除保證管理訪問域的平安管理訪問包括監(jiān)視,配置,管理存儲資源絕大多數(shù)管理軟件支持一定方式的命令行界面,系統(tǒng)管理控制臺或Web界面,這些是管理訪問的根本途徑假設(shè)管

12、理訪問途徑出現(xiàn)破綻,會比效力器的破綻呵斥更大危害,由于管理員比普通用戶的權(quán)限更高保證管理訪問域的平安主機B有一個存儲管理平臺,遠程管理添加了攻擊面，為減少遠程管理訪問帶來的風(fēng)險,應(yīng)運用平安的通訊通道,如SSH,SSL,TLS,加密管理數(shù)據(jù)流,防止運用telnet,ftp等不平安的效力控制管理權(quán)限平安常識：不應(yīng)該有一個用戶對系統(tǒng)的一切方面都有控制權(quán),由于一旦非法用戶掌握了這一權(quán)限,整個系統(tǒng)就被非法用戶控制了應(yīng)運用基于角色的訪問控制,將各種不同的管理功能分配給不同的管理用戶, 例如ARP系統(tǒng)就有多個管理帳號,不同的管理功能由不同的管理用戶擔任審計日志記錄控制和維護日志記錄，防止篡改部署同步時間的網(wǎng)

13、絡(luò)時間協(xié)議,保證各個設(shè)備的日志記錄在時間上的一致性維護管理網(wǎng)絡(luò)根底設(shè)備加強管理訪問控制 如一些存儲設(shè)備和交換機可以規(guī)定幾臺主機有管理權(quán),并規(guī)定每臺主機能運用的管理命令為管理數(shù)據(jù)流與其他消費數(shù)據(jù)流分開,如在交換機上為管理主機劃分單獨的VLAN不用的效力必需在存儲網(wǎng)絡(luò)的每個設(shè)備中禁用,使每個設(shè)備可訪問的接口最小化,減小攻擊面保證備份,恢復(fù)和存檔的平安(BURA)防止攻擊者冒充備份效力器的身份,這能夠使遠程備份在未授權(quán)的主機上實施防止備份磁帶,磁盤喪失存儲網(wǎng)絡(luò)中平安措施的實施(SAN) FC-SP(Fiber Channel Security Protocol,光纖通道平安協(xié)議) 將IP和FC互連的

14、平安機制和算法規(guī)范化了SAN平安架構(gòu)平安戰(zhàn)略是基于縱深防御理念，引薦多層平安綜合層，在網(wǎng)絡(luò)存儲環(huán)境的各種區(qū)域和設(shè)備上部署平安措施，如效力器，交換機，防火墻，存儲陣列上都要部署平安措施表152提供了可以在各種平安區(qū)域?qū)嵤┑木S護戰(zhàn)略的一個列表，表中列出的一些平安機制并不是只針對SAN，如二要素認證已被廣泛運用:運用用戶名、密碼和一個另外的平安組件如一張智能卡進展認證。SAN的平安機制邏輯單元屏蔽(LUN masking) 決議一個主機可以訪問哪些LUN分區(qū) 保證只需已授權(quán)的區(qū)域成員才干進展通訊端口綁定 主機與交換機端口綁定,從該端口銜接到一個特定的邏輯單元(LUN)SAN的平安機制全面的交換機控制

15、和全面的網(wǎng)絡(luò)訪問控制 FC交換機上的訪問控制表 確定哪些HBA和存儲器端口可以作為網(wǎng)絡(luò)的一部分,防止未授權(quán)的設(shè)備訪問 確定哪些交換機可以作為網(wǎng)絡(luò)的一部分,防止未授權(quán)的交換機參與 SAN的平安機制虛擬SAN(VSAN) VSAN可以在一個物理SAN創(chuàng)建多個邏輯的SAN,可以把不同VSAN看作獨立運轉(zhuǎn)的網(wǎng)絡(luò), VSAN經(jīng)過隔離網(wǎng)絡(luò)事件，并提供更高級別的認證控制，加強了信息的可用性和平安表156描畫了一個VSAN中的邏輯分區(qū)，三個部門共享交換機設(shè)備，但都有本人的邏輯網(wǎng)絡(luò)，可以當作獨立運轉(zhuǎn)的網(wǎng)絡(luò).存儲網(wǎng)絡(luò)中平安措施的實施(NAS)答應(yīng)證明和訪問控制列表經(jīng)過限制存取和共享構(gòu)成了NAS資源的第一層維護 W

16、indows訪問控制列表 自主訪問控制列表-決議訪問控制 系統(tǒng)訪問控制列表-決議哪些訪問應(yīng)該被審計 UNIX權(quán)限 一切者、組、全部 rwxr-xr-x 存儲網(wǎng)絡(luò)中平安措施的實施(NAS)認證和授權(quán) NAS設(shè)備運用規(guī)范的文件共享協(xié)議：NFS和CIFS， NAS設(shè)備上實施和支持的認證和授權(quán)與UINX系統(tǒng)或Windows系統(tǒng)文件共享環(huán)境下的方法一樣，對UINX系統(tǒng)用網(wǎng)絡(luò)信息系統(tǒng)NIS效力器驗證網(wǎng)絡(luò)用戶，對Windows系統(tǒng)用戶經(jīng)過一個擁有活動目錄的Windows域控制器進展驗證存儲網(wǎng)絡(luò)中平安措施的實施(NAS)圖157描畫了NAS環(huán)境下的認證過程KerberosKerberos是一個網(wǎng)絡(luò)認證協(xié)議,為客戶/效力器運用程序提供強認證技術(shù)，運用密鑰加密的方法實現(xiàn)，先進展身份認證，再進展權(quán)限認證存儲網(wǎng)絡(luò)中平安措施的實施(NAS)網(wǎng)絡(luò)層防火墻維護NAS設(shè)備不受公共IP網(wǎng)絡(luò)的各種攻擊的損害檢查網(wǎng)絡(luò)數(shù)據(jù)包,與設(shè)定的平安規(guī)那么比較,沒有經(jīng)過平安規(guī)那么的數(shù)據(jù)包被丟棄寬松的規(guī)那么會降低平安性如以下圖效力器被放在兩套防火墻之間,特定端口的