近年来,随着互联网及电子政务、电子商务以及其他相关应用的迅速发展,数据成为网络中最珍贵的资产,数据存储在容量上和性能上的要求越来越高,存储系统日益成为企业信息系统的核心。SAN是使用高速链路将存储设备和服务器连接在一起而形成的网络,SAN存储网络在存储规模、可扩展性、灵活性、存储速度、集成化管理等方面具有优势,已经被越来越多地使用在存储系统的构建中。有效解决SAN存储网络在数据使用、传输和存储中的安全问题,成为SAN存储系统建设的重要任务。
1 SAN架构存在的主要安全问题
(1)与传统单台服务器直接连接自己的专属存储设备不同,一个SAN存储阵列通常供多台运行着不同操作系统的服务器访问,这就意味着必须有严格的措施来控制数据访问的范围,同时影响SAN的安全因素扩大,不可能仅仅依赖于单台服务器操作系统的安全性。此外,SAN存储网络中还包含FC交换机、管理控制设备、备份服务器等许多其他设备,也大大增加了SAN存储网络遭到安全威胁的风险和被攻击的几率。
(2)任何网络主要的数据安全威胁来自非授权访问,尤其是管理接口。一旦恶意用户获得到与存储区域网络(SAN)相连接服务器管理员的权限,入侵者就可以访问任何一个和SAN连接的系统,从而造成严重的数据失窃。
(3)一些网络嗅探工具会拦截SAN中传输的数据,如果数据是以明文形式传输的,就很容易被黑客解析还原,从而导致敏感信息被窃。
(4)存储设备中以明文存储的数据,如果存储介质被窃取,将造成敏感数据失密事件。数据在静态存储下的安全问题是至关重要的,应避免数据以明文的形式存储。
(5)由于某种原因,存储系统遭到破坏时,损毁的部件可能导致整个存储系统瘫痪,因此必须保证存储系统拥有足够的冗余性,以确保数据安全和数据恢复。
(6)来自外部的存储网络安全威胁有:拒绝服务攻击、中间人、电子欺骗等。拒绝服务攻击使资源过载,从而阻止了合法用户访问资源;中间人攻击冒合法交换机地址,一旦数据流向该伪造交换机,传输的数据就被窃听和泄漏;电子欺骗攻击利用有漏洞的合法程序向存储网络发出请求,从而窃取数据。
2 SAN存储安全问题的主要应对技术介绍
2.1 SAN分区
SAN分区就是通过在SAN交换机上进行ZONE(区域)的划分,将连接在SAN网络中的设备,逻辑上划分为不同的区域。一个分区可以由多个服务器、存储设备、光纤交换机、HBA卡等组成。只有同一个分区的设备才可以互相通讯,不同分区的设备相互间不能访问,从而达到SAN中服务器和设备相互隔离的目的。区域的划分是在光纤交换机上进行的,对服务器或其他存储设备是完全透明的,在它们上面不需要进行任何的配置。SAN网络的区域划分通常有以下几种方法。
2.1.1 端口分区
使用光纤交换机物理端口的FC地址来定义分区,也称为硬分区。在端口分区里,是否可访问数据取决于节点连接到哪个物理交换端口。使用这种分区安全性比软分区高,但该方法要求在光纤通道的连接变更时,必须修改分区配置信息。
2.1.2 WWN分区
WWN分区使用设备的WWN(万维网名称,World Wide Name)名称来定义分区。WWN分区也被称为软分区。WWN分区的一个主要优点就是它的灵活性:它允许在SAN中变更连线但并不需要重新配置分区信息。
2.1.3 混合分区
混合分区结合了WWN分区和端口分区的优点。使用混合分区可以将光纤交换机的一个特定的端口绑定到一个节点的WWN上。
2.2 逻辑单元屏蔽(LUN masking)
LUN是SAN中磁盘逻辑单元的SCSI标志,在光纤通道领域,LUN是基于系统的WWN实现的。分区一般与LUN掩码结合,来加强控制服务器对存储器的访问。但是,两者在不同过程层面进行控制:分区工作在光纤通道层,而LUN掩码工作在阵列层。
在SAN存储网络中,任何一个服务器和所有存储系统在物理上是相通的。采用LUN掩码技术,可限制特定的服务器只能访问分配给它的特定的逻辑存储空间(LUN)。如果有多个服务器访问同一特定设备,可以通过设定特定的LUN组,并允许组内服务器可访问该特定设备。这样就可以拒绝其他服务器对该 LUN的访问,从而起到保护数据安全的目的。
2.3 保护存储管理网络
存储设备都设有专门的管理端口,可通过串口和以太网口进行管理。管理口通常只有用户名口令等基本安全校验,没有更多的安全防护措施,这使管理口本身容易招收攻击而成为安全的短板。应该采取措施使管理口不直接与数据网络进行连接。
2.4 数据加密
存储中存放的数据和在连接中流动的数据均会受到数据盗窃的威胁,包括传输时篡改数据(破坏数据完整性)、私密信息泄露和存储介质失窃(损害数据可用性和保密性)。为了阻止这些威胁,需要加密存储在存储介质上的数据或加密即将传送到磁盘上的数据。 常用的数据加密方法有:(1)文件系统加密。(2)采用加密设备加密。通常文件系统加密会略微降低系统性能;采用加密设备,则成本较高。
“封装安全净载”(ESP)可以对光纤传输数据进行加密,以确保安全性。以太网传输能通过SSL或者类似的协议来加密。这些加密技术可以使用不同的加密程度使得被窃数据没有可乘之机。目前,已经有一些厂商提供在SAN中进行加密的方案。由于光纤通道SAN尤其关注高性能,因此加密方案应该尽量不影响SAN的性能,所以多数方案都是基于硬件的加密。
2.5 镜像技术
镜像技术用于存储设备内部,或者主存储和备存储之间,或者主数据中心和备援数据中心之间的数据冗余备份。镜像是在两个或多个磁盘或磁盘子系统上产生同一个数据的镜像视图的信息存储过程,一个叫主镜像系统,另一个叫从镜像系统。按主从镜像存储系统所处的位置可分为本地镜像和远程镜像。远程镜像按请求镜像的主机是否需要远程镜像站点的确认信息,有可分为同步远程镜像和异步远程镜像。
同步远程镜像是指通过远程镜像软件,将本地数据以完全同步的方式复制到异地,本地的每一个I/O事物均需等待远程复制的内容完成确认信息,方予以释放。同步镜像使远程拷贝总能与本地机要求复制的内容相匹配。同步镜像使远程拷贝总能与本地机要求复制的内容相匹配,但它存在往返传播造成延时较长的缺点,只限于在相对较近的距离上的应用。
异步远程镜像保证在更新远程存储视图前完成向本地存储系统的基本I/O操作,而由本地存储系统提供给请求镜像主机的I/O操作完成确认信息。远程的数据复制是以后台同步的方式进行的,这使本地系统性能受到的影响很小,传输距离长,对网络带宽要求小。但是,如果出现传输失败,可能出现数据一致性问题。
2.6 快照技术
快照技术通过控制软件对要备份的磁盘子系统的数据快速扫描,建立一个要备份数据的快照逻辑单元号LUN和快照Cache,在快速扫描时,把备份过程中即将要修改的数据块同时快速拷贝到快照Cache中。快照LUN是一组指针,它指向快照Cache和磁盘子系统中不变的数据块。在正常业务进行的同时,利用快照LUN实现对原数据的一个完全且快速的备份。
2.7 基于磁带库的备份系统
基于磁带库的备份系统可以提供基本自动备份和数据恢复功能,且备份存储容量达到TB级。在专用备份软件管理下可进行集中式网络数据备份,实现连续备份、智能恢复、实时监控统计等功能,为保证数据完整性和安全性提供了保障。
3 SAN存储架构的全方位、多层次安全措施
3.1 划分SAN存储网络安全区域
通过前述的SAN存储风险要素分析,可以看出为保护信息资产安全,必须建立一个包含多层次安全措施的SAN安全架构。利用现有安全技术,通常将SAN网络化分为5个不同功能的区域,然后在各个切入点进行安全建设,分别为:主机连接交换机区域、管理机连接交换机区域、存储器连接交换机区域、远程主机区域和交换机连接交换机区域。针对5种功能区通常采用的安全防护手段如图1所示。
3.2 安全区域A(主机连接交换机区域)的安全措施
仅允许授权的服务器进行FC访问,防护措施如下。
(1)使用访问控制列表:使已知的HBA(光纤通道总线适配器)只可以连接到指定交换机的指定端口。
(2)使用端口分区和WWN分区等的安全分区方法,进行区域隔离,使只有指定端口之间可以访问存储资源。
(3)通过采用基于磁带库的数据存储备份系统,实现自动的完全备份、增量备份、快速数据恢复等功能,保证了数据的安全性。
3.3 安全区域B(交换机连接交换机区域)
重点保护网络中的数据信息流,防护措施有以下几种。
(1)使用E_Port绑定认证。E端口是专门用于连接交换机和交换机的端口,通过网络绑定可以防止未经授权的交换机加入网络中任何已存在的交换机。
(2)加密传输数据。采用SAN加密交换机实现基于光纤的加密,可在不影响性能的情况下,对传输数据进行加密。
(3)实施FC交换机端口控制。进行端口绑定可以:限制连接到交换机特定端口的设备数量;只允许相应交换机连接到一个节点进行网络访问;可以禁用暂时不用的端口,防止闲置端口被非法使用。
3.4 安全区域C(存储器连接交换机区域)
保护SAN上的存储阵列,措施如下。
(1)采用基于WWN的LUN掩码技术,使不同的主机只能访问指定的存储资源。
(2)利用SOURCE ID锁定,实现基于源FCID(光纤通道ID/地址)的屏蔽,使伪装的HBA WWN无法登入系统。
(3)采用SAN存储设备的镜像技术和快照技术,提高存储系统的可靠性。
(4)采用文件系统等加密方法对数据进行加密,以实现存储系统中静态数据的保密。
3.5 安全区域D(管理机连接交换机区域)
授权访问管理网段,措施如下。
(1)建立专用的管理网络。为管理数据流创建一个单独的私有的管理网络,将存储系统相关设备管理功能集中到该存储管理网络,从而将管理数据流与生产数据流隔离开。设立专门的存储管理服务器用于管理存储系统,限制管理网络中网络活动和访问只发生在一个有限的主机集合,从而防止未授权设备访问获取网络内各存储设备接口的访问权。
(2)建立基于角色的访问控制,使指定角色的管理员只能进行指定权限的访问及管理操作。认证FC交换机的管理员,使用双因素认证服务器对登录管理机的人员进行身份认证。
3.6 安全区域E(与远程主机或远程存储网络连接)
(1)与远程主机或存储网络连接需要通过第三方网络或设备,必须对传输中的数据进行加密。
(2)连接远程FC网络的,可采用专门的存储加密网关,实现统一的加密存储服务。
(3)连接远程IP网络的,可采用IP网络加密方法,通常使用IPSec协议实现传输中的数据进行加密。
4 结语
总体来说,SAN存储网络环境中的安全性是一个复杂的问题,必须针对各种常见风险和攻击对症下药,综合考虑包括数据传输安全、数据存储安全、设备管理安全、系统应用安全等多方面的因素,从传统的边界安全向全方位深度防御转移,将各种安全措施嵌入、集成到所有安全相关组件中,才能构建一个全方位、多层次的安全防护系统,最大程度抵御这些威胁,安全地提高数据资源的可访问性及利用率。