|
编者按:当灾难备份被当做应对信息安全事件的主要手段时,存储技术变得日趋重要,因此,存储安全问题也日渐成为业界关注的焦点。那么,存储技术面临哪些威胁?保护存储安全有哪些新对策?针对具体的存储应用,我们需
要考虑哪些安全因素?该采取哪些措施保护存储基础设施?归根结底,如何才能为网络存储保驾护航? CSI/FBI 的2002年企业计算机安全报告经常被引用,它证实全球安全漏洞总数在增加:全球因漏洞导致的经济损失总额已超过了4000亿美元,损失最惨重的是专利数据失窃。但是,这一数据并不十分准确,很多被调查的公司不愿意公布被攻击事件,它们几乎无一例外地利用因特网访问控制和防御机制。如果算上这类漏洞造成的系统停机和紧急响应成本,经济损失恐怕更大。 由于企业数据的重要性及集中性,网络存储资源成了黑客主要的攻击目标之一。与IP网络一样,存储设备也容易受到已公布的各类安全威胁的攻击,如系统漏洞、欺骗、拒绝服务、未授权访问、内部攻击、数据失窃和破坏等。众多行业联盟和标准机构正在探讨这类威胁及相应的解决方案,其中包括存储网络行业协会(SNIA)、因特网工程任务组(IETF)和T11。 SAN的三大危险区 SAN(存储区域网)一般存在三个危险区,它们是系统/连接、存储结构、子系统/介质。 系统/连接的危险来自于计算机系统(因特网服务器和内部服务器)和与存储基础设施相连的网关设备,它们常常与IP网络联系在一起。一旦管理员或应用发生了对系统设备的访问,存储网络就面临着同样的未授权的数据访问、拒绝服务和服务丢失的威胁。怎么会这样呢?因为除了管理访问权外,系统访问权往往是通过简单的系统配置管理、不可用的服务或默认配置而得到的。一旦发生访问,系统就可能为数据偷窃、破坏或服务拒绝等目的向存储子系统发出请求。能堵住系统漏洞的面向IP和光纤网的防御机制包括:应用/设备访问控制、配置策略评估及系统/设备监控。然而,由于缺少支持经过验证的存储访问设备功能协议,攻击者有可能通过新的光纤通道接入系统。 光纤通常传输距离较短,因此网关设备往往用于远程备份、复制及灾难恢复等情况。这些网关设备通过专用的、共享的或公用的网络把远程的SAN互相连接起来。企业一般采用物理安全措施:通过租赁或者自己拥有昂贵的光纤等方式来实现上述功能。成本较低的解决方案通常基于信元、帧中继、分组交换或路由实现,但通过ping扫描和端口扫描往往可以发现它们有很多漏洞。访问配置不当和简单的管理控制常常是导致漏洞发生的根源。比如说,设备的默认设置或开放式端口管理很容易成为将来的攻击目标。另外,也有可能骗过基于光纤或IP的连接,物理传输同样容易被搭线窃听(这当然很难,但仍有可能)。 目前,基于光纤协议的纯数据传输并不支持本地隧道/VPN服务,用这类光纤传输数据和路由信息,数据会暴露无遗。另一种选择方法是采用VPN服务(如采用IPSec安全协议),并结合可以把光纤协议转换成IP协议的存储路由器,这样能保护基于IP的SAN网关之间的数据和路由信息。 SAN的第二个危险区由存储结构带来。存储结构通常与光纤通道联在一起,本文所讨论的结构包括集线器、路由器、交换机和应用系统,它们通过存储阵列连接和管理系统数据,而不考虑采用的是什么传输协议。多数存储设备都一样,厂商已部署了安全访问功能,以减小设备或应用被劫持的危险。这通常表现为,在Telnet中用SSH或在Web中用SSL实现连接,并结合双因素验证技术进行保护,如用户名和口令。这些防御机制同样被SAN管理采用,如虚拟化和端口分区,因为这些设备和应用大多支持远程管理,所以物理安全措施无法防御远程边界之外的攻击。万一交换机或管理被攻破,就会严重危害存储网络的服务和流量,并有可能造成数据的严重破坏,即使采用了强大的访问控制机制,配置不当或刚初始化的交换机仍有可能导致数据或服务丢失。 一些未授权的设备也会对存储结构造成严重危险。例如,有人利用被劫持的网站(WWN),把配有光纤主机总线卡(HBA)的服务器连接到存储结构中。因为HBA和交换机之间没有验证协议,所以光纤通道的这个漏洞是敞开的;如果配有网卡的服务器骗过了验证过的IP地址,从而连接到存储隔离网中,IP存储就会出现类似的情况。在这两种情况下,存储结构中的节点上可能会看到所传输的数据,这会带来数据失窃、破坏及拒绝服务等风险。为了尽量降低这类风险,存储管理员可采取分区措施,以引导特定的存储流量通过隔离的交换机端口,这样可以减小与存储结构漏洞有关的风险。 SAN的第三个危险区是存储子系统和介质。这种风险常常比数据传输中的危险更持久。通常,存储子系统和便携式介质(如开放系统磁带上的数据存储)是透明的。管理及支持这些子系统的存储管理员和供应商能够访问这些数据。倘若这种访问权被滥用,就存在未授权访问、偷窃及破坏数据等直接而严重的危险。为了尽量减小这种危险,可以实施逻辑单元屏蔽(LUN masking)的方式屏蔽物理地址。因为内部和第三方支持人员也许拥有较大的物理访问权,并且通常较了解系统配置和数据,这就需尽量减小这类内部危险。在许多情况下,借助于间接手段也能访问到存储数据,如暂存磁带、磁带轮换及磁带保管等均提供了访问存储数据的机会,因而,我们需要严格的介质管理。就连系统出现故障也会提供数据被窃的机会——想想RAID生产商或代理商收到内含可恢复数据的故障磁盘的机率有多大? 除了数据安全外,许多组织还应采取有效措施,更妥善地加强数据的保密性。金融、医疗和商业领域的立法改革已经要求那些未能在所有存储级别上确保数据保密性的企业承担相应责任,这包括遵守《健康保险便携与责任法案》(HIPAA)、《金融服务现代化法案》(GLBA)、食品与药物管理局(FDA)和《EC指令》(EC Directives)。应用、系统、传输以及/或者介质等层面的数据加密可以提供一道坚固屏障,防御未授权用户泄露存储数据。 制订存储安全策略和实施步骤 确保存储安全,自然需要投入,还要根据业务需求权衡种种影响。一般单位很少有多余的存储资源和资金来满足备份、复制、镜像、保管及分布式存储等方面不断增长的需求。为了解决这个难题,单位应该认真制订策略和实施步骤。可操作性存储策略应该根据存储功能和业务的必要性,对安全风险进行评估。没有哪个安全系统是万无一失的,所以不妨采用多层防御策略。这类策略包括: 系统和设备配置、测试、审查和监控、访问验证、LUN屏蔽、端口分区、物理访问控制以及传输期间的存储数据保护。 人们在不断改变存储的安全性。如上所述,交换机、集线器和路由器早已支持访问验证和端口隔离/分区的功能。大多数存储子系统和存储管理应用也支持LUN屏蔽。和IP网络一样,通过验证的VPN可以用来保护传输中的数据。光纤领域的厂商正在想方设法确保光纤通道交换机到交换机的验证。此外,IETF正在起草可以实施在iSCSI SAN解决方案内部的IPSec协议。光纤加密/隧道协议方面的标准也在制订当中,到那时,就能获得更安全的实体结构验证和数据传输隧道。与现有的IPSec VPN一样,供应商遵守标准的情况有所不同。企业的SAN架构、发展战略及业务需求将最终决定:这类隧道功能应实施在交换机层面还是实施在类似IP网络的网关设备层面? 当然,隧道方案只能保护传输中的数据,因为离开隧道后,终端的存储信息通常是明文的。数据加密可以根除未授权访问传输中及介质上的存储数据的风险,这就允许授权用户/系统只能读取通过始发应用及其验证方法的加密数据。遗憾的是,加密往往会影响性能、增加部署难度,从而阻碍了它的广泛应用。另外,存储供应商正在考虑以经济可行的方式,在分布式存储基础设施里面提供数据保密性。数据加密可以实施在应用层,或作为存储应用(如备份或复制)的一部分,也可以作为结构交换机的一部分,或作为在线存储安全设备加以引入。 应用层采用加密会带来这一难题:要协调可能影响数据恢复和还原的不同保护方案。文件系统或存储应用层实施加密之所以困难,一方面就在于如何交换、存放及验证密钥。比如,管理员决定利用支持数据加密的备份软件程序,却把密钥放在系统上,仅仅采用单重 DES(而不是更强的加密算法),这样就会耗用处理资源。 交换机和子系统层实施数据加密还需要令人满意的性能、密钥交换及管理功能。但要考虑的另一个因素是价格。如果增强数据保护需要更换交换机、路由器和存储阵列,成本恐怕会过高。这类方案还可能需要改动架构,这就会进一步增加部署成本。 存储安全设备具有高性能、集中管理及操作透明的优点。只要为专用的网络设备赋予加密功能,就可以为服务器或应用系统解脱处理任务。这类设备能够分析存储流量、动态地对数据进行合理加密、并把流量重新转发到线路上。数据加密和解密的应用基于令人满意的用户自定义规则上。因此,加密密钥和过程由设备分开来加以维护及管理。因为这种线内设备放在应用和协议之外,存储安全设备就可以提供更灵活、更经济的部署方案——包括部署在存储结构里面、网关连接端前后以及存储子系统前面。 网络存储安全的优点 如果企业得到了存储安全的保证,就能够降低风险、遵守保密规则,进而促进SAN更快地发展。此外,通过路由及保护存储数据,公司可以建立起对等数据中心,获得成本较低的灾难恢复方案。 网络存储安全策略还有助于存储服务提供商。无论是为《财富》1000家大公司服务的大型基础设施供应商,还是为大型区域公司服务的中型主机托管提供商,存储服务提供商都因缺乏稳健的存储数据安全而处处受制。如果实施安全数据传输、存储和管理程序及工具,存储服务提供商就可以向客户保证更高的数据可用性和保密性。
|
