|
来源:《思科技术透视》
如何建立一个综合的安全系统,为您的企业网络提供了进行安全可靠的数据处理所需的架构。
1、您的SAN是否安全?
目前,企业普遍都要求能够随时随地访问数据。此外,数据访问已不再仅限于内部用户。通常,供应链合作伙伴、外包服务供应商和客户也希望能够按需访问数据。因此,直接连接的存储设备和专属于某个特定服务器(因此易于保证安全性)的存储设备逐渐被一种共享的网络存储拓扑所代替,这种拓扑带来了新的安全隐患。
SAN 迅速得到企业的认可,因为与管理几百个或几千个与单个服务器相连的磁盘子系统相比,管理由许多服务器共享的一个存储设备网络不但更简单,而且成本极低。但是, SAN 的低成本优势和易管理性也令其更易于遭受安全攻击。与传统的直接连接存储设备不同, SAN 通常供许多服务器访问,而且运行着不同的操作系统。这就意味着 SAN 很难依赖于任何一个主机的操作系统来实现安全性。此外, SAN 中还包含许多其它的设备,如存储阵列、交换机、导向器、主机总线适配器和管理控制器等。通常,访问网络上的共享资源的设备越多,遭到安全攻击的几率也会更高。
随着企业开始通过网关或 ISCSI 接口(一种基于 IP 的存储协议)将其光纤通道 SAN 与容易访问的 IP 网络集成,这种存储安全易损点将不断增加。例如,转移到 iSCSI 的 SAN 能够大幅度降低成本并简化 IT 和存储之间的交互。但是,这也会产生大量新的安全易损点。 IP 存储网络带来的最严重的安全威胁是它开放了大量新的接入点,将访问控制、存储资源的验证和授权状态完全暴露在存储安全威胁之下。
外部压力也使得安全保护变成一种必备功能,它甚至已成为股东、行政管理机构和审计官员核查的内容之一。安全受损导致的成本越来越高,而且是现在政府管理机构正在制定旨在保护保密消费者信息的新法律。除了为保护公司机密创建一个可靠的环境并保护知识产权之外,根据各种法规的要求,如 HIPPA 或 Gramm-Leach Bliley 法案,医疗和合并的金融与保险服务机构还必须受到法规部门的监察。
分布式存储网络中的安全挑战
真正的安全威胁源于无知或恶意,但针对外部攻击的光纤通道安全防御并不像消息传输网络的安全性那样成熟。但是,随着越来越多的人学会如何攻击存储网络,易损点将在互联网上公开,使其他的黑客很容易加以利用。
多数针对存储网络的外部黑客攻击可分为以下几类:拒绝服务攻击( DoS )、中间人、电子欺骗和拦截。 DOS 攻击可阻止授权用户访问他们的数据,可能包括以下活动:发出重复的登录请求、通过更改网络拓扑损毁或破坏网络路径、使资源图过载。黑客还会利用中间人攻击提交一个地址,令其冒充现有的合法交换机地址。一旦数据开始流向这一“交换机”,攻击者就可以读取、下载或更改传输的数据。然后他再将数据发送到真正的交换机。电子欺骗攻击是利用一个合法的登录程序向存储网络请求服务和数据。
黑客可以通过以前的未授权登录、自动的登录搜索功能或利用惯有的用户懒惰习气获取登录密码。甚至许多网络管理员都从不更改其登录密码并且还随意将其共享。拦截是电子欺骗的另外一个版本,指的是黑客操作并控制一个现有的真实会话进程。
据专家称,以上的攻击是当今 SAN 基础设施内在的缺陷和漏洞导致的;包括:
不安全的管理界面 -存储网络设备厂商正在为他们的网络构建更强大的验证技术,但是,通常软件管理工具和控制台使用的界面并不能获得同等水平的保护。令问题更为复杂的是,许多存储网络管理工具允许通过 SAN 或 IP 连接,而不是隔离的 SAN 光纤通道连接访问 SAN 存储设备。
这将为存储网络带来最大的风险,因为这对于一个分区或整个 SAN 来说是致命的。管理界面攻击会中断网络连接、增加非法帐户、将数据复制到非法接收者,最糟糕的是会毁坏数据。除非已经安装了强大的验证程序,否则已接入 SAN 的攻击者会安装非法的管理界面。
在过去两年中, SANS 研究机构一直在开发通用的、向管理端口添加加密与验证程序的业界标准方法。思科系统公司在其 SAN 管理工具中内嵌了 SSL 加密或 Secure Shell 加密功能。最重要的是,思科还利用 56 位 DES 加密验证对其设备的管理接入,并仅将访问权给予特定的 IP 地址,同时利用集成的 RADIUS/TACACS+ 验证和 Secure Shell 服务保护控制台会话的安全。
但是,最近 SAN 安全管理领域最重要的进展之一是思科的虚拟 SAN ( VSAN )技术已被认定为部署虚拟网络的业界标准。在 ANSI T-11 委员会(领先的存储安全标准机构)的批准下,虚拟网络将一个物理存储局域网( SAN )分成许多完全独立的逻辑 SAN ,每个都有自己隔离的安全策略和管理功能。(见“改进 VSAN 的网络分区”一文)。
存储中的易损数据 -虽然许多应用会在数据在网络中传输时对其进行加密与压缩,但保存在存储网络设备上的数据得不到加密,因此,一旦入侵者或内部员工获得对网络存储设备的未授权访问,他们通常就会为所欲为。但是,许多 SAN 基础设施专家和厂商也颇为担心加密会对 SAN 的性能产生不利影响,并最终使企业客户难以实施管理。
但这并未阻止一部分小型厂商(许多是新兴企业)进入市场并提供与光纤通道 SAN 交换机连接的设备或置于服务器和存储设备之间的 LAN 上的设备 ( 在 IP 存储中 ) 。这些设备有些共同的特点:它们通常在数据向网络存储设备传输的过程中捕获数据并利用 256 位数据高级加密标准( AES )或 192 位三重 DES 对其进行加密,使数据能够在保存在网络存储设备上时得到加密。
虽然并非很普遍,但专家预测存储加密将最终在某些行业得到采用,例如医疗、金融服务和其它一些需要长期为客户服务和保存患者病历的管制程度较高的行业。但是,目前的许多加密解决方案都是专有性的。除了将 IPSec 作为一种加密标准用于基于 iSCSI 的网络存储的 IETF 之外,与加密有关的用于光纤通道 SAN 标准的开发工作还刚刚开始。
验证不严格 -由于 SAN 机构通常由多种类型的设备组成,具有较高的灵活性(主机总线适配器,交换机,存储阵列等),因此,企业必须能够快速一致地验证各个存储要素。思科通过在其产品中集成强大的验证功能并通过集成基于标准的 AAA 以支持多种用途(从 IPsec VPN 到 iSCSI 主机验证)提高了安全性。(见白皮书“ Cisco MDS 9000 系列多协议服务模块)
总体来说,存储网络环境中的安全性是一个复杂的问题。多数企业使用各种不同的存储厂商提供的存储网络组件,而且每个厂商均为其设备提供了不同的技术支持选项。存储网络业界联盟预计存储容量将每年翻一番,这就意味着安全领域的现状在近期内不会改观。存储网络已经迫使许多公司开始审视其信息访问战略,以期在不牺牲性能的前提下提高安全性和连续性要求。
为了能够安全地提高资源利用率以及从磁盘阵列到应用的数据可访问性,企业必须解决已知的网络存储安全问题。令人乐观的是,现在已经出现了可提供通用跨平台存储安全工具的存储安全标准。我们的下一篇文章将介绍 SAN 管理员面对最紧迫的问题时可以采用的一些基本策略。
有效的 SAN 安全计划不但要能保护用户、客户机、应用、数据、数据存储设备、服务器和网络,还必须保证这些元素中没有任何漏洞。由于 SAN 中包含了多种多样的元素,因此,本文将从功能角度讨论 SAN 的安全性,即先讨论需要实现的安全功能,然后将这些功能应用到所有元素中,而不是独立保护每种元素。
功能 1— 身份验证
验证的目的是保证只让授权用户访问 SAN ,该功能通常通过问题响应协议实现,最常用的是用户 ID 和密码。验证会引发许多问题,例如,如果使用了用户 ID 和密码,则应该使用基本的密码控制最佳实践,包括使用不易猜测的密码,经常修改密码等。除了“社会工程”即让用户履行适当的密码程序之外,还必须解决很多技术问题,例如不通过网络传输未加密的密码,尤其是带外通道。尽管如此,个人验证问题可能是各种 SAN 安全问题中人们理解最透彻的问题,因为它是最常见的计算机安全问题。
思科系统公司提倡将 CHAP 验证作为从 IPSec VPN 到 iSCSI 主机验证的各种用途的标准 AAA ,整个 CMDS 9000 多层交换机系列都支持 CHAP 。 CHAP 即将被 ANSI T-11 委员会推选为最佳验证方法。目前该委员会已经将 CHAP 作为 SAN 必须使用的第一个验证方法。(参见白皮书“思科 MDS 系列多协议服务模块”)
功能 2— 访问
只允许相关人员接入 SAN 并根据相应等级访问信息的概念相对容易理解。虽然存储管理员的控制力正在不断加强,但与验证相比,提供访问功能遇到的技术问题更难解决。最基本的访问概念是确定和控制谁拥有对数据和 SAN 本身的哪种权限才能访问哪些信息。由于不同 SAN 的访问控制功能和实施方式各不相同,因此,第一步是确定管理员可以使用哪些工具和设备管理访问,一般包括设置数据的读 / 写 / 删除权限,限制谁可以访问配置等 SAN 管理功能,以及分区和 LUN 掩膜等特性。
分区 ?C 这个功能能够超越不同设备使用不同操作的障碍。由于它允许为某个用户组设置访问权限,将该组的设备与网络中的其它设备隔离开,因而能有效保护机密数据。利用这种方法,存储管理员可以在不影响其它分区的情况下安装、测试和升级某些设备。
思科矩阵交换机同时提供基于硬件和软件的分区,并能够按照地址、物理端口或名称等不同条件划分节点。这样既能为分区成员提供任意点之间的连接,又能有效隔离非该分区的成员。基于硬件的分区包括端口类型控制和软分区。在基于硬件的分区中,当接收到启用命令时,端口类型控制能够保证交换机将自动感应连接类型。这个步骤能够区分通用交换机端口( G 端口)、矩阵端口( F 端口)或者同时与两台交换机相连的 E 端口。利用端口类型配置,存储管理员可以限制某交换机只能使用某类端口,从而防止存储端口受到攻击或者被误用。当光纤通道设备在不同端口之间移动时,软分区可以跟踪该设备。基于软件的分区可以使用基于交换机的简单名称服务器( SNS ),即利用全球节点名称和全球端口名称确定分区成员。在这种情况下,当主机访问 SAN ,并请求可用的存储设备时, SNS 将只返回分区表中允许的设备。
另外,分区还能防止存储网络在新设备部署和测试过程中出现故障。管理员可以利用交换机将其分成多个区域,例如管理流量或测试网段,以便保护网络。这个功能对系统集成商尤其有用,因为在安装新网络组件时,他们可以锁定客户的网络,以防出现意外更改。利用这种方法,可以更简单、更安全地支持集成商在工作 SAN 上安装和测试新设备。但是,分区并非没有限制。思科建议,矩阵分区应该与 VSAN 配合使用(参见“利用 VSAN 增强分区”)。
LUN 掩膜 - LUN (逻辑单元号)掩膜能够进一步遏制非法主机绕过 SNS 的企图。 LUN 掩膜能够在组件水平上控制对 SAN 上每台存储设备的访问。 LUN 掩膜可以让主机无法看到阵列上的某组磁盘或磁带库中的某个磁盘驱动器。与分区相似, LUN 掩膜也可以同时使用硬件和软件方法,即通过路由器和控制器等硬件设备实现,或者通过主机上的程序实现。由于 LUN 掩膜需要耗费大量人力,因而最适合小型 SAN 。
组合使用分区和 LUN 掩膜时,一般需要花费很多时间和人力进行设置和维护,因为其中包含很多变量,必须细致、认真地设置。事实上,为每个用户独立设置将需要耗费大量的时间。另外,还必须定期检查访问权限,并根据职责的变化不断修改。
功能 3— 审查和监控
审查访问、配置变更和用户行为不但对安全至关重要,还直接影响到能否持续跟踪网络变化并可能会影响网络性能的各种趋势。有效的审查计划应该包括 SAN 访问、配置修改和用户行为的连续记录。目前,这些记录都可以由 Cisco MDS 9000 多层交换机系列提供。根据这些信息,审查系统应该能够同时识别正常和异常行为,并制订各种响应措施。与访问控制相似,审查也需要编制可用工具目录,并有效利用这些工具。但是,如果希望制订出有效的 SAN 审查计划,需要经过一定的思考和研究。
确定基线后,应严格执行监控,这样才能及时发现偏差并予以更正。为了将不太严重的小事故与严重威胁区分开,存储管理员应该注重计划和研究。制订有效的监控战略时,第一步是确定 SAN 上的“正常”行为模式。除流量数据外,还包括管理工具的使用情况以及对 SAN 作的各种修改。确定基线之后,下一步是确定在 SAN 行为偏离正常值多大比例之后触发警报。除明确分析 SAN 行为参数变化外,还应包括商业行为模式和可能出现的外部事件。
利用 VSAN 增强安全性
为增强网络的可扩展性和可用性,并进一步增加矩阵分区提供的安全服务,思科系统公司在其 MDS 9000 系列多层导向器和矩阵交换机内提供了一种称为虚拟 SAN ( VSAN )的新技术。最近, VSAN 已经被 ANSI T-11 委员会定为标准,如果与硬件分区配合使用,将能够为 SAN 设计者提供更加先进的工具,同时在可扩展性、安全和管理方面大大优化 SAN 部署。
网络分区是当今光纤通道交换产品的基本特性。
利用分区,可以限制与同一光纤通道 SAN 相连的各设备的可视性和连通性(参见“解决基本 SAN 安全漏洞问题”一文)。虽然开始时,分区只是作为一种分段机制,但现在,它已经能够(与 LUN 掩膜一起)有效保证存储的安全性。
但是,虽然分区能够为网络提供基本的安全功能,但仍然无法满足不断扩展的 SAN 网络对可扩展性和安全性的要求。为增强网络的扩展能力,进一步增加网络分区提供的安全服务,思科系统公司在 Cisco MDS 9000 系列多层导向器和矩阵交换机内提供了一种称为虚拟 SAN ( VSAN )的新技术。 VSAN 能够克服当今存在的许多网络分区限制,目前已经被 ANSI T-11 委员会定为行业标准。利用 VSAN ,企业能够创建完全隔离的网络拓扑,并让每个网段分别使用自己的一套网络服务。
分区限制
与典型的 IP 网络相比,当今光纤通道网络的规模相对较小,存储网络的增长最终将达到网络分区设置的扩展极限。光纤通道不但要求网段内拥有一定数量的域(一般每个域一台交换机),还要求域内拥有一定数量的端口。另外,不同分区中的设备还必须遵守网段内的定址限制和路由扩展能力限制。不仅如此,随着网段的扩大,分区数量以及管理大量分区所需要的控制层面带宽也会增加。
遗憾的是,分区无法在网段内提供增强的可用性。同一服务器或 FSPF 路由等级的任何功能故障都将波及到整个存储网络,因为网段内的所有分区都使用同一套网络服务。另外,分区的分布式特性还意味着对有效分区集中的任何分区集的修改都将对整个网段带来影响甚至停运风险。
虽然许多机构都在将多种应用整合到更少、更大的 SAN 网络上,但分区仍然属于通用的分布式服务。遗憾的是,分区的初衷并非独立管理各个网段。因此,如果某机构试图将 A 部门的应用基础设施与 B 部门的应用基础设施合并到同一个 SAN 网段内,那么,应用所有者之间必须经过广泛、深入的协作,才能保证由两个应用组共享的通用分区集运行顺利。
最后,分区并不能通过跨区设备间的存储网络,来控制数据帧的路径选择和传输。只要分区配置中允许两台设备通信,流量就可以根据网段内路由协议的规定、通过 SAN 内的任何路径传输。随着存储联网环境的增长,对流量规划的要求将越来越高。
VSAN 的作用
虚拟 SAN 能够以灵活、经济、有效和可管理的方式进一步扩展和保护 SAN 。简言之, VSAN 是一种能够分成多个逻辑部分或分区的特殊 SAN 。利用 VSAN ,可以将流量隔离在存储网络中的某个分区之内。如果某个 VSAN 发生故障,其影响将只局限在这个 VSAN 之中,而不会波及到其它网段。
VSAN 能够将基于硬件的虚拟网络环境重叠置于一个物理网络基础设施上。每个 VSAN 都包含独立(专用)的网络服务,以便增强扩展能力,提高永续性,并降低存储资源域之间的依赖性。在实现服务运作分离以及在分配给不同 VSAN 的高可用性资源域之间执行故障恢复时,这个特性尤其有用。每个 VSAN 都包含自己的硬件分区、专用网络服务和管理功能,就好像 VSAN 是多个独立的物理网段一样。由于用户无需修改物理布局就能添加或移动设备,因而能简化系统配置,增强扩展能力。另外, VSAN 还能提高 SAN 利用率和灵活性, 因为它不但允许多个用户共享资源,还能安全分割流量,并独立控制每个 VSAN 的资源域。
另外, VSAN 不但能提供硬件隔离,还能为每个 VSAN 完整地复制光纤通道服务。因此,在建立 VSAN 的同时,就在该 VSAN 内创建了一整套网络服务、配置管理功能和安全策略。建立的网络服务包括名称服务器、分区服务器、域控制器、别名服务器和登录服务器。利用这些服务复制品提供的隔离环境,不需要牺牲安全性就能实现高可用性要求。例如,在某个 VSAN 内的某个有效分区安装设备不会对其它 VSAN 中的网段构成任何影响。
与分区不同, VSAN 服务不属于网络内的分布式服务:每个 VSAN 配置都只适应于特定的交换机,即一台交换机上的 VSAN 配置不会影响网络内任何其它交换机的配置。利用 Cisco MDS 9000 产品系列中基于角色的配置安全性, VSAN 配置还可以进一步局限到特定交换机上的某些用户。不仅如此,不同的 VSAN 还可以设定不同的优先级,并以应用为单位申请对网络内特定路径的访问权。例如,可以有选择地允许或拒绝某 VSAN 穿越某些通用 VSAN 干线,从而为该 VSAN 创建限定性拓扑。另一种方法是对每个 VSAN 实施独立的路由配置。总之,利用 VSAN 提供的流量整合功能,不但能提高网络安全性,增强对流量的控制,还能提高网络资源的利用率。
先 VSAN 后分区
利用 VSAN ,存储管理员可以实现鱼与熊掌兼得:既能通过 SAN 网段的隔离提高安全性,又能通过协作提高 SAN 网段的运作效率。网络内的备用端口可以快速、顺利地分配给现有 VSAN ,使应用 SAN 实现几乎无限的扩展。
总之, VSAN 能够将冗余物理 SAN 基础设施划分成多个虚拟 SAN ,并让每个 VSAN 拥有自己的一套光纤通道网络服务。由于每个 VSAN 都支持独立的一套光纤通道服务,因此, VSAN 型基础设施可以支持大量应用,而不用担心这些虚拟环境之间会出现网络资源或事件冲突。但物理网络分段之后,可利用分区在每个 VSAN 内实施进一步的安全隔离,满足每个 VSAN 内不同应用的要求。
|
点击排行
