论文部分内容阅读
鉴于数据与业务的紧密关系,用户关注网络安全已成为不争的事实。但是,同为数据保护,安全与存储在他们心中被完全割裂开来,譬如,IT管理员常常认为:保护了网络中存储端的资源,关键业务数据就安然无恙了。然而,在病毒与黑客风暴愈演愈烈之时,网络存储中的安全危机一触即发,再抱有这种想法就大错特错了。因此,您现在必须考虑把存储系统中的数据再用安全技术上一层“保险”,尽可能保证数据安然无损。
目前,存储资源的使用方式正在发生新的变化——趋向网络化的存储和数据的地区性分散(这源于企业对业务连续性和数据共享的需要),要合并联网环境中的存储资源,原有的、基于某个层面的数据保护措施(像防火墙、网络防毒等)就难以应对了。怎么办呢?最近,我们采访了HDS公司首席安全官Art Edmonds,他指出,必须将存储与安全技术有机融合。
安全必备3利器
在过去,存储设备几乎无一例外地通过SCSI连接技术直接连接到服务器上。进入数据存储库只有一个途径:通过应用服务器。如果该服务器是安全的,那么数据也是安全的。但通过网络把存储资源连接起来改变了这种简单模式,它为访问共享资源上的数据提供了多条传输途径,进而带来多方面的安全隐患。用户应用时特别要小心。这里有3种方法可助您一臂之力。
利器1:慎重授权
为了方便管理,大多数网络单元(如交换机和阵列)都为用户提供了带外访问功能,管理员在更改网络配置及许可权时要分外小心,慎重授权,否则数据会丢失或被盗用。
利器2:专线传输
无论是为了数据共享、业务连续性,还是保护数据,用户应该考虑与数据地区分布有关的问题。出于客户支持和产品设计的目的,许多企业需要共享数据,于是通过网关连接SAN的概念日渐盛行。虽然某些安全措施内置在网关当中,但用户仍要注意:如果不使用专线,传输网络将不在自己保护范围之内。
由于提供相对廉价的数据复制功能,特别是美国9.11事件之后,远程复制技术开始流行。需要提醒用户的是,一定要保证传输期间所复制数据的安全。
利器3:加密数据
不管用哪种存储基础设施保护数据,因多半静态数据没有经过加密,故易受到攻击。虽然用户可以把数据备份到磁带上用于恢复,或者找个安全地方保管起来,但只要有人拿走了这盘磁带,或读取到磁带信息,他就等于拥有了数据。
有的备份方案提供了加密,但不是所有企业都在用这项功能。这归因于一系列问题:性能衰退、应用响应延时,还有数据备份、恢复和管理的高复杂度。
硬盘上的数据同样岌岌可危。许多用户认为:硬盘上的数据是安全的,因为应用程序在与客户机通信时会对数据进行加密,网络在传输期间也会对数据进行加密。但如果数据存放到网络应用的后端(存储端),这些几乎是相当原始的数据(除非企业像有些政府部门那样,采用程序对静态数据进行加密)很容易被别人获取(如撤走硬盘),并用合适工具就能读取硬盘上的数据。用户千万要注意静态数据问题,不管用哪种存储基础设施。
细数存储3隐患
1.SAN隐患
光纤通道SAN(Fabric SAN,又称FC SAN)主要部署在数据中心,在FC SAN上的存储资源往往是关键任务数据。也因此,安全一直是FC SAN关注的一个重要方面。通常,人们采用分区和LUN屏蔽技术,保护对存储资源的安全访问。问题是,这2种技术无法提供介质安全,也无法提供加密静态数据的功能。
(1)分区技术的安全漏洞
FC SAN结构包括磁盘阵列、交换机和主机总线适配器(HBA)等多个单元,这些单元允许主机通过光纤通道网络进行通信。分区能够把这些单元配置成几个逻辑组,确保只有该组成员才能通信及访问特定的存储资源。
常用的分区方法有2种:硬分区(Hard Zoning)和软分区(Soft Zoning)。硬分区能够按照端口级别来进行分组,譬如只有连接到某端口的主机适配器才能与连接到该端口的阵列进行通信。这种方法非常有效,但如果网络结构发生变化,需要重新配置时缺乏灵活性。
软分区通常叫做全局名(WWN)分区。光纤通道结构里面的每个单元都由WWN加以标识。WWN分区用交换机里面的简单名字服务器(SNS)来确定某个区中的哪个WWN可以进行通信。这种分区法比较灵活,因为如果重新配置网络,不必改变分区。不过,WWN容易被欺骗,所以安全性不如硬分区。
(2)LUN屏蔽的不足
光纤通道设备以逻辑单元号(LUN)的形式提供数据资源。LUN屏蔽是把某存储资源上的多个LUN分给特定服务器。当众多服务器共享同一存储资源(比如某磁盘阵列)、却因某种原因不允许用户访问该阵列上的同一磁盘时,需要用到屏蔽技术。举例说,网络上有一容量为1TB的磁盘阵列,由Unix和Windows NT服务器共享。因为Windows NT服务器会为它看到的任何LUN分配识别标号,所以就要屏蔽Unix LUN,让Windows NT服务器看不到。有了屏蔽机制,管理员就可以决定每台服务器可以访问哪些LUN。
屏蔽可通过主机、HBA、交换机或磁盘阵列来实现,具体取决于软件支持以及用户如何来管理屏蔽方法。HBA和基于控制器的屏蔽技术相结合,使用WWN和LUN信息,以确保安全访问(譬如说,只可以访问该阵列上带有该WWN名的某个LUN)。
从限定哪个节点可以访问哪些资源的角度来看,分区和LUN屏蔽技术确实提供了一层安全保护。然而,您应该看到:它们没有采用验证或授权措施。虽然许多交换机厂商提供有如口令控制、访问控制列表(ACL)及基于验证的公钥基础设施(PKI)的保护技术。但是,每家厂商的安全级别各不相同,如果同一结构里面的交换机来自多家厂商,实施安全的方法互不兼容,交换机设备的安全控制难以发挥作用。
2.iSCSI隐患
iSCSI的安全防范主要是通过利用IP网络安全技术来实现,尤其是IPSec。IPSec标准为IP网络上传输数据定义了多个级别的安全。iSCSI将会利用IPSec的重要标准,包括验证报头(AH),用来验证初始连接;因特网密钥交换(IKE),用于在连接期间可以不断进行相互验证;封装安全协议(ESP),用于对第4层及更高层的数据进行加密(iSCSI协议位于第4层)。但这一层保护只针对传输中的数据,加密功能并不作用于静态数据。
此外,IP网络上传输iSCSI数据包能够利用其他各种网络安全措施,譬如VPN和防火墙。不过,IP网络上传输的iSCSI数据包是重要信息,因为它里面有数据块的实际位置,所以应当考虑采用另外的安全措施。
3.NAS隐患
NAS方案和充当文件服务器的通用服务器之间有两大区别。首先,NAS设备是经过优化的文件服务器,性能高得多,数据存储容量也大得多,又不会带来任何传输瓶颈问题;其次,NAS能够实现不同文件的共享,这样Unix和Windows等就能共享同一数据。所以,虽然部署NAS根本不会改变网络基础设施,但大规模数据共享和各种访问机制更有可能将数据置于危险境地。
NAS方案的默认设置允许所有用户都可以访问各种资源。所以,管理员应当赶紧设置许可权、ACL及管理权限。管理员要注意一个重要方面:NAS服务器上的安全特性可能会由NAS设备上的操作系统来确定。譬如说,如果NAS方案使用基于Windows NT版本之一的软件,那么其安全类似于Windows NT服务器的安全。这些NAS设备允许Unix服务器访问数据。不过,管理员可能也需要使用本地Unix命令为Unix文件设置安全。另一方面,有些NAS方案能在本地同时支持NFS和CIFS文件许可权,所以要注意NAS方案将提供什么以及每台服务器上需要完成什么。
唾手可得3方案
在美国等市场,已经开始涌现相关存储安全技术,通过利用多种手段来保护数据。不过,这些方法有待改善,特别是在标准方面,只有产品标准化,用户应用才更方便。据悉,现在有多家标准组织和行业协会(如SNIA)在致力于加强存储安全。
近来,一些专注存储技术的公司开始推广存储安全解决方案,比如HDS,它的解决方案涉及从HBA到光纤交换机再到存储设备的端到端整体安全保护,并且作为SINA成员,其方案将率先遵循各种新推标准协议。另外,在存储安全市场,新增诸多新兴企业,并已开始交付各种存储安全方案,主要是加密方案。它们能够分析数据流量,加密数据,并把加密数据传送到存储资源上。由于其加密功能被集成在专用设备上,所以加密起来不会像基于软件的加密技术那样占用宝贵的CPU时间。此外,这类方案还提供了集中管理及实施保密策略的功能,可同时保护主/辅助存储资源上的数据(如下所示)。国内在这方面还没有成熟的方案推出。
方案1:NeoScale解决方案
NeoScale Systems公司提供面向磁盘主存储和磁带辅助存储2种加密方案:CryptoStor FC和CryptoStor for Tape。两者均符合FIPS 140-2(联邦信息保护标准)、基于加密/压缩、状态存储处理、智能卡验证实现基于角色的管理、密钥管理(密钥生成、保护、代管及恢复)及群集操作。与完全采用软件进行加密的方案不同,此2种方案不占用主机CPU资源。
(1)CryptoStor FC
基本功能:用于加密光纤存储设备(如图1所示),可以达到千兆位吞吐量,端口到端口的时延不超过100ms。
特色:基于策略的安全和数据通路透明。
部署位置:部署在主机端、光纤通道结构内部、磁盘阵列前面或者存储网关后面。
售价:3.5万美元以上
网址:http://www.cryptostor.com
(2)CryptoStor for Tape
基本功能:用于加密、验证和数据压缩磁带库和虚拟磁带系统中的数据,兼容主流备份应用软件,配备光纤通道和SCSI两种接口模式。如图2所示。
售价:1.5万美元以上
网址:http://www.neoscale.com
方案2:Decru解决方案
Decru公司的解决方案包括 DataFort E和DataFort FC两个系列,如图3所示。
基本功能:用于加密NAS、SAN、DAS和磁带备份等环境中的数据,速率达千兆位。
特色:(1)以透明方式加密及解密在网络存储设备来回传送的数据,主要是因为采用随机数生成器(TRNG)创建密钥,多密钥加密方法确保了密钥不会以明文形式传输。
(2)采用集成智能卡,提供另一层验证。智能卡确保只有授权的管理员才能配置及管理DataFort、授予数据访问权限。
(3)采用独特的分层方案,隔离开管理存储数据和读取存储数据。
部署:DataFort FC部署如图4所示。
特色:面向NAS环境的DataFort E440为3万美元;面向SAN环境的DataFort FC440售价为3.5万美元。
网址:http://www.decru.com
方案3:Vormetric解决方案
Vormetric的解决方案是CoreGuard Core Security。
基本功能:CoreGuard Core Security集成多种安全技术。首先,CoreGuard保护了主机的完整性,通过认证、授权技术,防止未经授权的应用、软件工具及操作/文件系统以及蠕虫、特洛伊木马、未授权补丁和被篡改代码运行及访问受保护数据;其次,使用行业标准算法AES和3DES,在文件—系统层面提供基于策略的高速数据加密功能。
部署:安装在被保护主机内。
售价:未知
网址:http://www.vormetric.com
上述方案都属于加密方案,由于它们主要针对网络存储中可能存在的众多安全漏洞,所以不需要等待标准机构批准。但是,性能、时延、透明度及与现有存储方法的集成度将是用户采用这类方案的决定性问题。
随着存储领域趋向更集中的环境,光靠前端安全再也不足以保护重要数据。因此,用户需要从多个层面来考虑安全,以有效保护网络、服务器和存储系统。我们建议从业务的角度考虑分析存储安全——确定哪些数据对业务的日常运转绝对重要,然后采取相应的解决方案。
目前,存储资源的使用方式正在发生新的变化——趋向网络化的存储和数据的地区性分散(这源于企业对业务连续性和数据共享的需要),要合并联网环境中的存储资源,原有的、基于某个层面的数据保护措施(像防火墙、网络防毒等)就难以应对了。怎么办呢?最近,我们采访了HDS公司首席安全官Art Edmonds,他指出,必须将存储与安全技术有机融合。
安全必备3利器
在过去,存储设备几乎无一例外地通过SCSI连接技术直接连接到服务器上。进入数据存储库只有一个途径:通过应用服务器。如果该服务器是安全的,那么数据也是安全的。但通过网络把存储资源连接起来改变了这种简单模式,它为访问共享资源上的数据提供了多条传输途径,进而带来多方面的安全隐患。用户应用时特别要小心。这里有3种方法可助您一臂之力。
利器1:慎重授权
为了方便管理,大多数网络单元(如交换机和阵列)都为用户提供了带外访问功能,管理员在更改网络配置及许可权时要分外小心,慎重授权,否则数据会丢失或被盗用。
利器2:专线传输
无论是为了数据共享、业务连续性,还是保护数据,用户应该考虑与数据地区分布有关的问题。出于客户支持和产品设计的目的,许多企业需要共享数据,于是通过网关连接SAN的概念日渐盛行。虽然某些安全措施内置在网关当中,但用户仍要注意:如果不使用专线,传输网络将不在自己保护范围之内。
由于提供相对廉价的数据复制功能,特别是美国9.11事件之后,远程复制技术开始流行。需要提醒用户的是,一定要保证传输期间所复制数据的安全。
利器3:加密数据
不管用哪种存储基础设施保护数据,因多半静态数据没有经过加密,故易受到攻击。虽然用户可以把数据备份到磁带上用于恢复,或者找个安全地方保管起来,但只要有人拿走了这盘磁带,或读取到磁带信息,他就等于拥有了数据。
有的备份方案提供了加密,但不是所有企业都在用这项功能。这归因于一系列问题:性能衰退、应用响应延时,还有数据备份、恢复和管理的高复杂度。
硬盘上的数据同样岌岌可危。许多用户认为:硬盘上的数据是安全的,因为应用程序在与客户机通信时会对数据进行加密,网络在传输期间也会对数据进行加密。但如果数据存放到网络应用的后端(存储端),这些几乎是相当原始的数据(除非企业像有些政府部门那样,采用程序对静态数据进行加密)很容易被别人获取(如撤走硬盘),并用合适工具就能读取硬盘上的数据。用户千万要注意静态数据问题,不管用哪种存储基础设施。
细数存储3隐患
1.SAN隐患
光纤通道SAN(Fabric SAN,又称FC SAN)主要部署在数据中心,在FC SAN上的存储资源往往是关键任务数据。也因此,安全一直是FC SAN关注的一个重要方面。通常,人们采用分区和LUN屏蔽技术,保护对存储资源的安全访问。问题是,这2种技术无法提供介质安全,也无法提供加密静态数据的功能。
(1)分区技术的安全漏洞
FC SAN结构包括磁盘阵列、交换机和主机总线适配器(HBA)等多个单元,这些单元允许主机通过光纤通道网络进行通信。分区能够把这些单元配置成几个逻辑组,确保只有该组成员才能通信及访问特定的存储资源。
常用的分区方法有2种:硬分区(Hard Zoning)和软分区(Soft Zoning)。硬分区能够按照端口级别来进行分组,譬如只有连接到某端口的主机适配器才能与连接到该端口的阵列进行通信。这种方法非常有效,但如果网络结构发生变化,需要重新配置时缺乏灵活性。
软分区通常叫做全局名(WWN)分区。光纤通道结构里面的每个单元都由WWN加以标识。WWN分区用交换机里面的简单名字服务器(SNS)来确定某个区中的哪个WWN可以进行通信。这种分区法比较灵活,因为如果重新配置网络,不必改变分区。不过,WWN容易被欺骗,所以安全性不如硬分区。
(2)LUN屏蔽的不足
光纤通道设备以逻辑单元号(LUN)的形式提供数据资源。LUN屏蔽是把某存储资源上的多个LUN分给特定服务器。当众多服务器共享同一存储资源(比如某磁盘阵列)、却因某种原因不允许用户访问该阵列上的同一磁盘时,需要用到屏蔽技术。举例说,网络上有一容量为1TB的磁盘阵列,由Unix和Windows NT服务器共享。因为Windows NT服务器会为它看到的任何LUN分配识别标号,所以就要屏蔽Unix LUN,让Windows NT服务器看不到。有了屏蔽机制,管理员就可以决定每台服务器可以访问哪些LUN。
屏蔽可通过主机、HBA、交换机或磁盘阵列来实现,具体取决于软件支持以及用户如何来管理屏蔽方法。HBA和基于控制器的屏蔽技术相结合,使用WWN和LUN信息,以确保安全访问(譬如说,只可以访问该阵列上带有该WWN名的某个LUN)。
从限定哪个节点可以访问哪些资源的角度来看,分区和LUN屏蔽技术确实提供了一层安全保护。然而,您应该看到:它们没有采用验证或授权措施。虽然许多交换机厂商提供有如口令控制、访问控制列表(ACL)及基于验证的公钥基础设施(PKI)的保护技术。但是,每家厂商的安全级别各不相同,如果同一结构里面的交换机来自多家厂商,实施安全的方法互不兼容,交换机设备的安全控制难以发挥作用。
2.iSCSI隐患
iSCSI的安全防范主要是通过利用IP网络安全技术来实现,尤其是IPSec。IPSec标准为IP网络上传输数据定义了多个级别的安全。iSCSI将会利用IPSec的重要标准,包括验证报头(AH),用来验证初始连接;因特网密钥交换(IKE),用于在连接期间可以不断进行相互验证;封装安全协议(ESP),用于对第4层及更高层的数据进行加密(iSCSI协议位于第4层)。但这一层保护只针对传输中的数据,加密功能并不作用于静态数据。
此外,IP网络上传输iSCSI数据包能够利用其他各种网络安全措施,譬如VPN和防火墙。不过,IP网络上传输的iSCSI数据包是重要信息,因为它里面有数据块的实际位置,所以应当考虑采用另外的安全措施。
3.NAS隐患
NAS方案和充当文件服务器的通用服务器之间有两大区别。首先,NAS设备是经过优化的文件服务器,性能高得多,数据存储容量也大得多,又不会带来任何传输瓶颈问题;其次,NAS能够实现不同文件的共享,这样Unix和Windows等就能共享同一数据。所以,虽然部署NAS根本不会改变网络基础设施,但大规模数据共享和各种访问机制更有可能将数据置于危险境地。
NAS方案的默认设置允许所有用户都可以访问各种资源。所以,管理员应当赶紧设置许可权、ACL及管理权限。管理员要注意一个重要方面:NAS服务器上的安全特性可能会由NAS设备上的操作系统来确定。譬如说,如果NAS方案使用基于Windows NT版本之一的软件,那么其安全类似于Windows NT服务器的安全。这些NAS设备允许Unix服务器访问数据。不过,管理员可能也需要使用本地Unix命令为Unix文件设置安全。另一方面,有些NAS方案能在本地同时支持NFS和CIFS文件许可权,所以要注意NAS方案将提供什么以及每台服务器上需要完成什么。
唾手可得3方案
在美国等市场,已经开始涌现相关存储安全技术,通过利用多种手段来保护数据。不过,这些方法有待改善,特别是在标准方面,只有产品标准化,用户应用才更方便。据悉,现在有多家标准组织和行业协会(如SNIA)在致力于加强存储安全。
近来,一些专注存储技术的公司开始推广存储安全解决方案,比如HDS,它的解决方案涉及从HBA到光纤交换机再到存储设备的端到端整体安全保护,并且作为SINA成员,其方案将率先遵循各种新推标准协议。另外,在存储安全市场,新增诸多新兴企业,并已开始交付各种存储安全方案,主要是加密方案。它们能够分析数据流量,加密数据,并把加密数据传送到存储资源上。由于其加密功能被集成在专用设备上,所以加密起来不会像基于软件的加密技术那样占用宝贵的CPU时间。此外,这类方案还提供了集中管理及实施保密策略的功能,可同时保护主/辅助存储资源上的数据(如下所示)。国内在这方面还没有成熟的方案推出。
方案1:NeoScale解决方案
NeoScale Systems公司提供面向磁盘主存储和磁带辅助存储2种加密方案:CryptoStor FC和CryptoStor for Tape。两者均符合FIPS 140-2(联邦信息保护标准)、基于加密/压缩、状态存储处理、智能卡验证实现基于角色的管理、密钥管理(密钥生成、保护、代管及恢复)及群集操作。与完全采用软件进行加密的方案不同,此2种方案不占用主机CPU资源。
(1)CryptoStor FC
基本功能:用于加密光纤存储设备(如图1所示),可以达到千兆位吞吐量,端口到端口的时延不超过100ms。
特色:基于策略的安全和数据通路透明。
部署位置:部署在主机端、光纤通道结构内部、磁盘阵列前面或者存储网关后面。
售价:3.5万美元以上
网址:http://www.cryptostor.com
(2)CryptoStor for Tape
基本功能:用于加密、验证和数据压缩磁带库和虚拟磁带系统中的数据,兼容主流备份应用软件,配备光纤通道和SCSI两种接口模式。如图2所示。
售价:1.5万美元以上
网址:http://www.neoscale.com
方案2:Decru解决方案
Decru公司的解决方案包括 DataFort E和DataFort FC两个系列,如图3所示。
基本功能:用于加密NAS、SAN、DAS和磁带备份等环境中的数据,速率达千兆位。
特色:(1)以透明方式加密及解密在网络存储设备来回传送的数据,主要是因为采用随机数生成器(TRNG)创建密钥,多密钥加密方法确保了密钥不会以明文形式传输。
(2)采用集成智能卡,提供另一层验证。智能卡确保只有授权的管理员才能配置及管理DataFort、授予数据访问权限。
(3)采用独特的分层方案,隔离开管理存储数据和读取存储数据。
部署:DataFort FC部署如图4所示。
特色:面向NAS环境的DataFort E440为3万美元;面向SAN环境的DataFort FC440售价为3.5万美元。
网址:http://www.decru.com
方案3:Vormetric解决方案
Vormetric的解决方案是CoreGuard Core Security。
基本功能:CoreGuard Core Security集成多种安全技术。首先,CoreGuard保护了主机的完整性,通过认证、授权技术,防止未经授权的应用、软件工具及操作/文件系统以及蠕虫、特洛伊木马、未授权补丁和被篡改代码运行及访问受保护数据;其次,使用行业标准算法AES和3DES,在文件—系统层面提供基于策略的高速数据加密功能。
部署:安装在被保护主机内。
售价:未知
网址:http://www.vormetric.com
上述方案都属于加密方案,由于它们主要针对网络存储中可能存在的众多安全漏洞,所以不需要等待标准机构批准。但是,性能、时延、透明度及与现有存储方法的集成度将是用户采用这类方案的决定性问题。
随着存储领域趋向更集中的环境,光靠前端安全再也不足以保护重要数据。因此,用户需要从多个层面来考虑安全,以有效保护网络、服务器和存储系统。我们建议从业务的角度考虑分析存储安全——确定哪些数据对业务的日常运转绝对重要,然后采取相应的解决方案。