關注存儲交換安全：在交換機上實現存儲安全

一般企業網絡都具有一定的安全防范策略和設備，如防火墻、入侵監測系統（IDSs）、代理服務器等，盡管它們也可以在一定程度上起到為存儲安全建立一層“防護線”的作用，但是，存儲安全的的核心技術應該從存儲網絡的安全性、交換機光纖、設備、陣列、主機總線適配器（HBA）等方面來實現。 

　　FC、IP網絡的安全性

　　不論是光纖通道還是IP網絡，主要的潛在威脅來自非授權訪問，特別是管理接口。例如，一旦獲得和存儲區域網絡（SAN）相連接服務器管理員的權限，欺詐進入就可以得逞。這樣入侵者可以訪問任何一個和SAN連接的系統。因此，無論使用的是哪一種存儲網絡，應該認識到應用充分的權限控制、授權訪問、簽名認證的策略對防止出現安全漏洞是至關重要的。

　　測錯攻擊在IP網絡中也比在光纖通道的SAN中易于實現。針對這類攻擊，一般是采用更為復雜的加密算法。

　　盡管DoS似乎很少發生，但是這并不意味著不可能。然而如果要在光纖通道SAN上實現DoS攻擊，則不是一般的黑客軟件所能實現的，因為它往往需要更為專業的安全知識。

　　實現SAN數據安全方法

　　保證SAN數據安全的兩個基本安全機制是分區制zoning和邏輯單元值（Logical Unit Number）掩碼。

　　分區制是一種分區方法。通過該方法，一定的存儲資源只對于那些通過授權的用戶和部門是可見的。一個分區可以由多個服務器、存儲設備、子系統、交換機、HBA和其它計算機組成。只有處于同一個分區的成員才可以互相通訊。

　　分區制往往在交換級來實現。根據實現方式，可以分為兩種模式，一為硬分區，一為軟分區。硬分區是指根據交換端口來制定分區策略。所有試圖通過未授權端口進行的通訊均是被禁止的。由于硬分區是在系統電路里來實現，并在系統路由表中執行，因此，較之軟分區，具有更好的安全性。

　　在光纖通道網絡中，軟分區是基于廣域命名機制的(WWN)的。WWN是分配給網絡中光纖設備的唯一識別碼。由于軟分區是通過軟件來保證在不同的分區中不會出現相同的WWNs，因此，軟分區技術比硬分區具有更好的靈活性，特別是在網絡配置經常變化的應用中具有很好的可管理性。

　　有些交換機具有端口綁定功能，從而可以限制網絡設備只能和通過預定義的交換端口進行通訊。利用這種技術，可以實現對存儲池的訪問限制，從而保護SAN免受非授權用戶的訪問。

　　另一種被廣泛采用的技術是LUN掩碼。一個LUN就是對目標設備（如磁帶和磁盤陣列）內邏輯單元的SCSI識別標志。在光纖通道領域，LUN是基于系統的WWN實現的。

　　LUN掩碼技術是將LUN分配給主機服務器，這些服務器只能看到分配給它們的LUN。如果有許多服務器試圖訪問特定的設備，那么網絡管理者可以設定特定的LUN或LUN組可以訪問，從而可以拒絕其它服務器的訪問，起到保護數據安全的目的。不僅在主機上，而且在HBA、存儲控制器、磁盤陣列、交換機上也可以實現各種形式的LUN屏蔽技術。

　　如果能夠將分區制和LUN技術與其它的安全機制共同運用到網絡及其設備上的話，對網絡安全數據安全將是非常有效的。

業界對存儲安全的做法

　　盡管目前對于在哪一級設備應用存儲安全控制是最優的還沒有一個明確的結論，例如，IPSec能夠在ASIC、VPN設備、家電和軟件上實現，但目前已有很多商家在他們的數據存儲產品中實現了加密和安全認證功能。

　　IPSec對于其它基于IP協議的安全問題，比如互聯網小型計算機接口（iSCSI）、IP上的光纖通道 (FCIP)和互聯網上的光線通道 (IFCP)等，也能起到一定的的作用。

　　通常使用的安全認證、授權訪問和加密機制包括輕量級的路徑訪問協議Lightweight Directory Access Protocol (LDAP)、遠程認證撥入用戶服務(RADIUS), 增強的終端訪問控制器訪問控制系統(TACACS+)、Kerberos、 Triple DES、高級加密標準(AES)、安全套接層 (SSL)和安全Shell(SSH)。

　　盡管SAN和NAS的安全機制有諸多相似之處，其實它們之間也是有區別的。很多NAS系統不僅支持SSH、SSL、Kerberos、RADIUS和LDAP安全機制，同時也支持訪問控制列表（ACL）以及多級許可。這里面有一個很重要的因素是文件鎖定，有很多產品商家和系統通過不同的方式來實現這一技術。例如，微軟采用的為硬鎖定，而基于Unix的系統采用的是相對較為松弛的建議級鎖定。由此可以看到，如果在Windows－Unix混合環境下，將會帶來一定的問題。

　　呼喚存儲安全標準化

　　SAN安全的實現基礎在交換機這一層。因此，存儲交換機的標準對網絡產品制造商的技術提供方式的影響是至關重要的。

　　存儲安全標準化進程目前還處于萌芽階段。ANSI成立了T11光纖通信安全協議（FC-SP）工作組來設計存儲網絡基礎設施安全標準的框架。目前已經提交了多個協議草案，包括FCSec協議，它實現了IPSec和光纖通訊的一體化；同時提交的還有針對光纖通訊的挑戰握手認證協議（CHAP）的一個版本；交換聯結認證協議（SLAP）使用了數字認證使得多個交換機能夠互相認證；光纖通信認證協議（FCAP）是SLAP的一個擴展協議。IEEE的存儲安全工作組正在準備制定一個有關將加密算法和方法標準化的議案。

　　存儲網絡工業協會（SNIA）于2002年建立了存儲安全工業論壇（SSIF），但是由于不同的產品商支持不同的協議，因此實現協議間的互操作性還有很長一段路要走。

　　關注存儲交換安全

　　大家都已經注意到了為了保證存儲安全，應該在存儲交換機和企業網絡中的其它交換機上應用相同的安全預警機制，因此，對于存儲交換機也應有一些特殊的要求。

　　存儲交換安全最重要的一個方面是保護光纖管理接口，如果管理控制臺沒有很好的安全措施，則一個非授權用戶有可能有意或無意地入侵系統或改變系統配置。有一種分布鎖管理器可以防止這類事情發生。用戶需要輸入ID和加密密碼才能夠訪問交換機光纖的管理界面。為了將SAN設備的管理端口通過安全認證機制保護起來，最好是將SAN配置管理工作集中化，并且對管理控制臺和交換機之間的通訊進行加密。另外一個方面，在將交換機接入到光纖網絡之前，也應該通過ACL和PKI機制實現授權訪問和安全認證。因此，交換機間鏈接應當建立在嚴密的安全防范措施下。那么，僅有得到授權的主機才被允許鏈接到交換光纖，利用端口級的ACL，網絡管理員可以將具體的每個端口分派給可以允許聯結的主機。