三、存储安全模式

 

上文介绍了减少危险的几种方式。下面要介绍的是数据访问路径和管理访问路径方法。在大的方面，可以把这些降低威胁的方法分为数据安全和管理安全两个方面，进而将之分为更细的方法。其中有的方法已经非常普遍，也有许多仍在研究中，相信在几年后就会有应用。例如，在现在的SAN的安装中，选择性地选择设备和逻辑卷提供给用户使用，这种模式已经非常通用的技术，而存储加密则是前沿技术。

数据访问安全和管理安全将在下一部分进行详细讨论。

 

数据访问安全

怎样阻止未经授权的访问，修改数据，破坏数据？有三个广泛的技术领域涉及到这一点，即身份（认证）、授权（LUN安全）以及机密性/完整性（加密）。

 

1、身份认证

与存储有关的验证分为三个级别：不验证、FCWWN验证、询问/响应设备来证明自己的身份。原来根本不验证。最近FCWWN(WorldWideName)被用来验证设备的身份。将来，FC和iSCSI，以及更高级的询问/响应（challenge/response）协议将用于确认设备的身份。

 

不认证

早期的FC安装将SAN划分为几个区域。与某个区域连接的系统被假定属于那个区域。就像是SCSI缆线上的系统。由于互操作性或错误隔离等原因，分区仍然很重要。

FibreChannelWWN

现在FC验证的最好方法是在线存储识别发出请求的系统的唯一WWN，把WWN作为其身份。对于应付简单的管理员错误或偶然的攻击，这种方法足以应付了。在理论上，经验丰富的黑客可以伪造属于另一个系统的WWN。

 

光纤安全协定

在FC-SP规格下，FC设备利用最高级别的询问/响应协议互相之间进行认证。几年之后，支持FC-SP的设备才能得到普及，将非FC-SP设备锁定在预先存在的SAN之外。

 

iSCSI

问询-握手身份验证协议（Challenge-HandshakeAuthenticationProtocol，CHAP）通过匹配用户名和登陆密码，来识别用户的身份。密码不需要以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生，所以，该协议赢得了许多网络管理员的信任。不过，值得一提的是，这些密码必须存放在连接节点的终端，有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务（RemoteAuthenticationDial-InUserService，RADIUS）协议能够将密码从iSCSI目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计，即使如此，网络黑客仍然可以通过伪设置的办法，侵入客户端。

由于iSCSI使用的是IP协议，所以它的安全依赖于IP安全协议。但基本的IP传输缺乏安全，这就使得任何精通该领域的人可以截获或者修改IP通信。保护IP通信的一个更为流行的方法是采用IP安全协议（IPSecurityProtocol，简称IPSec）。IPSec是个基于IP的安全协议，不同于SSL安全协议，后者基于OSI模型的应用层。

 

询问/响应协议

虽然高级认证的细节非常复杂，但是其概念非常简单。服务器产生一个随机的询问。然后将它发送给客户端。客户端对它加密后送回给服务器作为一个响应。服务器解密这个响应并与发出的询问对比。如果比较的结果是正确的那么服务器就允许访问。

公共钥匙加密使用由公共和私有组件组成的两部分密钥（代码）。加密邮件使用的是收件人已经公布的公共密钥。收件人使用只有自己知道的未公布专用密钥来解密邮件。

 

2、授权

授权的模式发生演变，从原来的DAS模式的“如果你看到它，你就拥有它”到更加复杂的机制，使共享SAN的资源变成可能。

 

逻辑单元屏蔽(LUNMasking)――SAN结构中存储设备是被当作本地设备访问的，文件系统和数据的维护在主机端完成。所以，SAN中一般情况下，需要基于主机的数据隔离，即所谓的LUNMasking技术。这种技术主要保证多种操作系统平台不会互相破坏文件系统。

 

LUNmasking能使磁盘通过SAN分配给一台计算机，而其它计算机在此时则无法看到该磁盘。如果你应用LUNmasking，那么一个单独的RAID将被分到多个逻辑磁盘上，这些磁盘都分配给了指定的计算机。

 

iSCSI――iSCSI设备提供设备级的和per-LUN访问控制表(ACLs)。per-LUN访问控制表类似于FCLUN屏蔽。虚拟局域网(VLANs)类似于FCSANs中的区域。管理员需要检验某个阵列支持的功能是不是他们计划利用的功能。

 

NAS――NAS数据访问通常是基于两种协议，NFS/CIFS。这两种协议对待文件访问许可的方式差不多是一样的。主流的NFS协议适用普遍，而且很有效。然而，NFS经常会遭到“伪装”攻击，所以应该用合适的防火墙来阻止恶意的用户。现在已经出现不少结合NAS和iSCSI的设备。当共享一个公共网络连接时，这两个协议有不同的访问权限机制，并且是单独管理的。

 

3、加密

加密获得越来越多关注。很久以来，加密通常被用于军事领域或间谍行动，但是现在加密技术突然找到了一片广阔的市场。互联网需要加密来确保数据传输的安全。VLSI（超大规模集成电路）使安全对很多人来说不会是很大的经济负担。另一方面，computerpower的指数式增长使专家有可能“使用每一把钥匙”破译消息，这在几年前是根本无法想象的。

 

虽然给存储系统上速度为几百兆每秒的数据加密要比给PC机上的几千字节加密困难得多，但是现在的加密技术仍然能保证每秒几百兆的速度。存储行业的很多人都在思考怎样利用这项技术，导致很多厂商纷纷推出自己的加密产品。厂商并没有针对某一设备推出加密产品，而是考虑到客户需要系统地解决加密问题。通常，不管是传输中的数据（在FC，以太网或WAN中传输的数据）还是静止的数据（磁盘或磁带上的数据）都能够加密。

 

数据在数据中心之间传输

当数据从一个数据中心复制到另一数据中心时，就不能再只是通过数据中心的物理安全来保护数据了。这样做存在危险。因为数据在自己的缆线通道里穿过几千公里的光纤比穿过租借的线缆要安全得多，而数据穿过租借的线缆又比穿过互联网要安全得多。

 

在上述任何一种情形下，即使数据中心外的线缆缺乏物理安全，也可以用一个加密盒来减少安全隐患。只要数据在离开数据中心之前通过加密盒就可以了。当然，相应地在数据进入接受它的数据中心之前也要通过加密盒。目前市面上的加密盒可以支持FC和IP网，支持IP网的叫做IPsec网关。现在数据中心普遍安装了这样的加密设备，因为成本不高而且复杂性也比较低。

 

数据在数据中心内部传输

绝大多数数据中心的安全计划都建立了一个安全边界，人们觉得在数据中心内部受到窃听器的威胁的几率是很小的。但是，威胁依然存在。所以，在数据中心内部对数据进行加密也是非常有必要的。目前，数据中心内部的加密设备只能支持FC。

 

光纤通道安全协议

光纤通道安全协议标准不仅包括认证，还包括EncapsulatingSecurityPayload(ESP)加密，EncapsulatingSecurityPayload(ESP)加密，ESP加密为FC设备提供一种改变密码的方法，然后可以对FC设备间的数据进行加密。

 

iSCSI

尽管iSCSI对很难满足存储的性能要求，但是现在取得了普遍的应用。随着以太网接口内置的数据加密越来越通用也比较经济，在数据中心对存储实现加密将有可能成为现实。不过，这至少还需几年的时间。