數(shù)據(jù)雙保險――加強存儲系統(tǒng)中數(shù)據(jù)的安全保護措施

1、數(shù)據(jù)“雙保險”加強存儲系統(tǒng)中數(shù)據(jù)的安全保護措施鑒于數(shù)據(jù)與業(yè)務(wù)的緊密關(guān)系，用戶關(guān)注網(wǎng)絡(luò)安全已成 為不爭的事實。但是，同為數(shù)據(jù)保護，安全與存儲在他們心 中被完全割裂開來，譬如，IT管理員常常認為：保護了網(wǎng)絡(luò) 中存儲端的資源，關(guān)鍵業(yè)務(wù)數(shù)據(jù)就安然無恙了。然而，在病 毒與黑客風(fēng)暴愈演愈烈之時，網(wǎng)絡(luò)存儲中的安全危機一觸即 發(fā)，再抱有這種想法就大錯特錯了。因此，您現(xiàn)在必須考慮 把存儲系統(tǒng)中的數(shù)據(jù)再用安全技術(shù)上一層“保險”，盡可能保證數(shù)據(jù)安然無損。目前，存儲資源的使用方式正在發(fā)生新的變化一一趨向 網(wǎng)絡(luò)化的存儲和數(shù)據(jù)的地區(qū)性分散（這源于企業(yè)對業(yè)務(wù)連續(xù) 性和數(shù)據(jù)共享的需要），要合并聯(lián)網(wǎng)環(huán)境中的存儲資源，原 有的、

2、基于莫個層面的數(shù)據(jù)保護措施（像防火墻、網(wǎng)絡(luò)防毒 等）就難以應(yīng)對了。怎么辦呢？最近，我們采訪了HDS公司首席安全官Art Edmonds,他指由，必須將存儲與安全技術(shù) 有機融合。安全必備3利器在過去，存儲設(shè)備幾乎無一例外地通過 SCSI連接技術(shù)直 接連接到服務(wù)器上。進入數(shù)據(jù)存儲庫只有一個途徑：通過應(yīng) 用服務(wù)器。如果該服務(wù)器是安全的，那么數(shù)據(jù)也是安全的。但通過網(wǎng)絡(luò)把存儲資源連接起來改變了這種簡單模式，它為 訪問共享資源上的數(shù)據(jù)提供了多條傳輸途徑，進而帶來多方 面的安全隱患。用戶應(yīng)用時特別要小心。這里有 3種方法可 助您一臂之力。利器1 :慎重授權(quán)為了方便管理，大多數(shù)網(wǎng)絡(luò)單元（如交換機和陣列）都 為

3、用戶提供了帶外訪問功能，管理員在更改網(wǎng)絡(luò)配置及許可 權(quán)時要分外小心，慎重授權(quán)，否則數(shù)據(jù)會丟失或被盜用。利器2:專線傳輸無論是為了數(shù)據(jù)共享、業(yè)務(wù)連續(xù)性，還是保護數(shù)據(jù)，用 戶應(yīng)該考慮與數(shù)據(jù)地區(qū)分布有關(guān)的問題。由于客戶支持和產(chǎn) 品設(shè)計的目的，許多企業(yè)需要共享數(shù)據(jù)，于是通過網(wǎng)關(guān)連接 SAN的概念日漸盛行。雖然莫些安全措施內(nèi)置在網(wǎng)關(guān)當(dāng)中， 但用戶仍要注意：如果不使用專線，傳輸網(wǎng)絡(luò)將不在自己保 護范圍之內(nèi)。由于提供相對廉價的數(shù)據(jù)復(fù)制功能，特別是美國9.11事件之后，遠程復(fù)制技術(shù)開始流行。需要提醒用戶的是，一定 要保證傳輸期間所復(fù)制數(shù)據(jù)的安全。利器3:加密數(shù)據(jù)不管用哪種存儲基礎(chǔ)設(shè)施保護數(shù)據(jù)，因多半靜態(tài)數(shù)據(jù)沒

4、 有經(jīng)過加密，故易受到攻擊。雖然用戶可以把數(shù)據(jù)備份到磁 帶上用于恢復(fù)，或者找個安全地方保管起來，但只要有人拿走了這盤磁帶，或讀取到磁帶信息，他就等于擁有了數(shù)據(jù)有的備份方案提供了加密，但不是所有企業(yè)都在用這項 功能。這歸因于一系列問題：性能衰退、應(yīng)用響應(yīng)延時，還 有數(shù)據(jù)備份、恢復(fù)和管理的高復(fù)雜度。硬盤上的數(shù)據(jù)同樣岌岌可危。許多用戶認為：硬盤上的 數(shù)據(jù)是安全的，因為應(yīng)用程序在與客戶機通信時會對數(shù)據(jù)進 行加密，網(wǎng)絡(luò)在傳輸期間也會對數(shù)據(jù)進行加密。但如果數(shù)據(jù) 存放到網(wǎng)絡(luò)應(yīng)用的后端（存儲端），這些幾乎是相當(dāng)原始的 數(shù)據(jù)（除非企業(yè)像有些政府部門那樣，采用程序?qū)o態(tài)數(shù)據(jù) 進行加密）很容易被別人獲?。ㄈ绯纷哂脖P

5、），并用合適工具就能讀取硬盤上的數(shù)據(jù)。用戶千萬要注意靜態(tài)數(shù)據(jù)問題， 不管用哪種存儲基礎(chǔ)設(shè)施。細數(shù)存儲3隱患. SAN隱患光纖通道SAN （ Fabric SAN,又稱FC SAN主要部署在數(shù) 據(jù)中心，在FC SAN上的存儲資源往往是關(guān)鍵任務(wù)數(shù)據(jù)。也因此，安全一直是FC SAN注的一個重要方面。 通常，人們采 用分區(qū)和LUN屏蔽技術(shù)，保護對存儲資源的安全訪問。問題 是，這2種技術(shù)無法提供介質(zhì)安全，也無法提供加密靜態(tài)數(shù) 據(jù)的功能。（1）分區(qū)技術(shù)的安全漏洞FC SAN吉構(gòu)包括磁盤陣列、交換機和主機總線適配器(HBA)等多個單元，這些單元允許主機通過光纖通道網(wǎng)絡(luò) 進行通信。分區(qū)能夠把這些單元配置成幾個

6、邏輯組，確保只 有該組成員才能通信及訪問特定的存儲資源。常用的分區(qū)方法有 2種：硬分區(qū)(Hard Zoning)和軟分 區(qū)(Soft Zoning) o硬分區(qū)能夠按照端口級別來進行分組，譬 如只有連接到莫端口的主機適配器才能與連接到該端口的 陣列進行通信。這種方法非常有效，但如果網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變 化，需要重新配置時缺乏靈活性。軟分區(qū)通常叫做全局名(WWN)分區(qū)。光纖通道結(jié)構(gòu)里面的每個單元都由 WWN加以標識。WWN分區(qū)用交換機里 面的簡單名字服務(wù)器(SN9來確定莫個區(qū)中的哪個 WWN 可以進行通信。這種分區(qū)法比較靈活，因為如果重新配置網(wǎng) 絡(luò)，不必改變分區(qū)。不過，WWN容易被欺騙，所以安全性不如硬

7、分區(qū)。LUN屏蔽的不足光纖通道設(shè)備以邏輯單元號(LUN)的形式提供數(shù)據(jù)資 源。LUN屏蔽是把莫存儲資源上的多個LUN分給特定服務(wù)器。當(dāng)眾多服務(wù)器共享同一存儲資源(比如莫磁盤陣列)、卻因莫種原因不允許用戶訪問該陣列上的同一磁盤時，需要用到 屏蔽技術(shù)。舉例說，網(wǎng)絡(luò)上有一容量為1TB的磁盤陣列，由Unix和 Windows NT服務(wù)器共享。因為 Windows NT服務(wù)器會 為它看到的任何LUN分配識別標號，所以就要屏蔽Unix LUN, 讓W(xué)indows NT服務(wù)器看不到。有了屏蔽機制，管理員就可以決定每臺服務(wù)器可以訪問哪些LUNo屏蔽可通過主機、HBA、交換機或磁盤陣列來實現(xiàn)，具 體取決于軟件支

8、持以及用戶如何來管理屏蔽方法。HBA和基于控制器的屏蔽技術(shù)相結(jié)合，使用WWN和LUN信息，以確保安全訪問（譬如說，只可以訪問該陣列上帶有該 WWN名 的莫個LUN）。從限定哪個節(jié)點可以訪問哪些資源的角度來看，分區(qū)和LUN屏蔽技術(shù)確實提供了一層安全保護。然而，您應(yīng)該看到：它們沒有采用驗證或授權(quán)措施。雖然許多交換機廠商提供有 如口令控制、訪問控制列表（ ACL）及基于驗證的公鑰基礎(chǔ) 設(shè)施（PKI）的保護技術(shù)。但是，每家廠商的安全級別各不相 同，如果同一結(jié)構(gòu)里面的交換機來自多家廠商，實施安全的 方法互不兼容，交換機設(shè)備的安全控制難以發(fā)揮作用。iSCSI隱患iSCSI的安全防范主要是通過利用IP網(wǎng)絡(luò)安

9、全技術(shù)來實現(xiàn)，尤其是IPSeco IPSec標準為IP網(wǎng)絡(luò)上傳輸數(shù)據(jù)定義了多 個級別的安全。iSCSI將會利用IPSec的重要標準，包括驗證 報頭（AH）,用來驗證初始連接；因特網(wǎng)密鑰交換（IKE）,用于在連接期間可以不斷進行相互驗證；封裝安全協(xié)議（ESP ,用于對第4層及更高層的數(shù)據(jù)進行加密（iSCSI協(xié)議位于第4 層）。但這一層保護只針對傳輸中的數(shù)據(jù)，加密功能并不作用于靜態(tài)數(shù)據(jù)此外，IP網(wǎng)絡(luò)上傳輸iSCSlB據(jù)包能夠利用其他各種網(wǎng)絡(luò) 安全措施，譬如VPN和防火墻。不過，IP網(wǎng)絡(luò)上傳輸?shù)膇SCSI 數(shù)據(jù)包是重要信息，因為它里面有數(shù)據(jù)塊的實際位置，所以 應(yīng)當(dāng)考慮采用另外的安全措施。NAS隱患N

10、AS方案和充當(dāng)文件服務(wù)器的通用服務(wù)器之間有兩大區(qū)別。首先，NAS設(shè)備是經(jīng)過優(yōu)化的文件服務(wù)器，性能高得多，數(shù)據(jù)存儲容量也大得多，又不會帶來任何傳輸瓶頸問題；其 次，NAS能夠?qū)崿F(xiàn)不同文件的共享，這樣 Unix和Windows 等就能共享同一數(shù)據(jù)。所以，雖然部署NAS根本不會改變網(wǎng)絡(luò)基礎(chǔ)設(shè)施，但大規(guī)模數(shù)據(jù)共享和各種訪問機制更有可能將 數(shù)據(jù)置于危險境地。NAS方案的默認設(shè)置允許所有用戶都可以訪問各種資源。 所以，管理員應(yīng)當(dāng)趕緊設(shè)置許可權(quán)、ACL及管理權(quán)限。管理員要注意一個重要方面：NAS服務(wù)器上的安全特性可能會由NAS設(shè)備上的操作系統(tǒng)來確定。譬如說，如果 NAS方案使用 基于Windows NT版本

11、之一的軟件，那么其安全類似于 Windows NT服務(wù)器的安全。這些 NAS設(shè)備允許Unix服務(wù)器 訪問數(shù)據(jù)。不過，管理員可能也需要使用本地Unix命令為Unix文件設(shè)置安全。另一方面，有些NAS方案能在本地同時 支持NFS和CIF玳件許可權(quán)，所以要注意NAS方案將提供什么以及每臺服務(wù)器上需要完成什么唾手可得3方案在美國等市場，已經(jīng)開始涌現(xiàn)相關(guān)存儲安全技術(shù)，通過 利用多種手段來保護數(shù)據(jù)。不過，這些方法有待改善，特別 是在標準方面，只有產(chǎn)品標準化，用戶應(yīng)用才更方便。據(jù)悉， 現(xiàn)在有多家標準組織和行業(yè)協(xié)會（如SNIA）在致力于加強存儲安全。近來，一些專注存儲技術(shù)的公司開始推廣存儲安全解決 方案，比如

12、HDS,它的解決方案涉及從 HBA到光纖交換機再 到存儲設(shè)備的端到端整體安全保護，并且作為SINA成員，其方案將率先遵循各種新推標準協(xié)議。另外，在存儲安全市場，新增諸多新興企業(yè)，并已開始交付各種存儲安全方案，主要 是加密方案。它們能夠分析數(shù)據(jù)流量，加密數(shù)據(jù)，并把加密 數(shù)據(jù)傳送到存儲資源上。由于其加密功能被集成在專用設(shè)備 上，所以加密起來不會像基于軟件的加密技術(shù)那樣占用寶貴 的CPU時間。此外，這類方案還提供了集中管理及實施保密 策略的功能，可同時保護主/輔助存儲資源上的數(shù)據(jù) （如下所 示）。國內(nèi)在這方面還沒有成熟的方案推由。方案1 : NeoScale解決方案NeoScale Systems公

13、司提供面向磁盤主存儲和磁帶輔助 存儲 2 種加密方案：CryptoStor FC和 CryptoStor for Tape。兩 者均符合FIPS 14（-2 （聯(lián)邦信息保護標準）、基于加密/壓縮、狀態(tài)存儲處理、智能卡驗證實現(xiàn)基于角色的管理、密鑰管理 (密鑰生成、保護、代管及恢復(fù))及群集操作。與完全采用軟件進行加密的方案不同，此2種方案不占用主機 CPU資源。CryptoStor FC基本功能：用于加密光纖存儲設(shè)備(如圖 1所示)，可 以達到千兆位吞吐量，端口到端口的時延不超過 100ms o特色：基于策略的安全和數(shù)據(jù)通路透明。部署位置：部署在主機端、光纖通道結(jié)構(gòu)內(nèi)部、磁盤陣 列前面或者存儲網(wǎng)關(guān)

14、后面。售價：3.5萬美元以上網(wǎng)址： HYPERLINK CryptoStor for Tape基本功能：用于加密、驗證和數(shù)據(jù)壓縮磁帶庫和虛擬磁 帶系統(tǒng)中的數(shù)據(jù)，兼容主流備份應(yīng)用軟件，配備光纖通道和 SCSI兩種接口模式。如圖 2所示。售價：1.5萬美元以上網(wǎng)址：方案2: Decru解決方案Decru公司的解決方案包括 DataFort E和DataFort FC兩 個系列，如圖3所示?；竟δ埽河糜诩用?NAS、SAM DAS和磁帶備份等環(huán) 境中的數(shù)據(jù)，速率達千兆位。特色：(1)以透明方式加密及解密在網(wǎng)絡(luò)存儲設(shè)備來回傳送的數(shù)據(jù)，主要是因為采用隨機數(shù)生成器(TRNG創(chuàng)建密鑰，多密鑰加密方法確保了

15、密鑰不會以明文形式傳輸。(2)采用集成智能卡，提供另一層驗證。智能卡確保 只有授權(quán)的管理員才能配置及管理DataFort、授予數(shù)據(jù)訪問權(quán)限。(3)采用獨特的分層方案，隔離開管理存儲數(shù)據(jù)和讀 取存儲數(shù)據(jù)。部署：DataFort FC部署如圖4所示。特色：面向 NAS環(huán)境的DataFort E440為3萬美元；面 向SAN環(huán)境的DataFort FC440售價為3.5萬美元。網(wǎng)址： HYPERLINK 方案3: Vormetric解決方案Vormetric 的解決方案是 CoreGuard Core Securityo基本功能：CoreGuard Core Security集成多種安全技術(shù)。 首先，CoreGuard保護了主機的完整性，通過認證、授權(quán)技 術(shù)，防止未經(jīng)授權(quán)的應(yīng)用、軟件工具及操作/文件系統(tǒng)以及蠕蟲、特洛伊木馬、未授權(quán)補丁和被篡改代碼運行及訪問受保 護數(shù)據(jù)；其次，使用行業(yè)標準算法AES和3DE在文件一系統(tǒng)層面提供基于策略的高速數(shù)據(jù)加