通常��,保護(hù)數(shù)據(jù)安全的方法有:
身份認(rèn)證(管理員必須登陸之后才能進(jìn)行管理操作���,發(fā)展中的技術(shù):設(shè)備在加入存儲(chǔ)網(wǎng)絡(luò)之前必須登陸注冊)
授權(quán)(每個(gè)管理員只能執(zhí)行某些特定的操作�,存儲(chǔ)設(shè)備對每個(gè)IO操作進(jìn)行檢查����,防止非法的數(shù)據(jù)源寫入數(shù)據(jù))、
審計(jì)跟蹤(存儲(chǔ)系統(tǒng)通過日志記錄管理員的操作和發(fā)生的事件�,這樣可以有效追蹤問題的原因)、加密(有效地保護(hù)數(shù)據(jù)的保密性和完整性)
存儲(chǔ)安全是數(shù)據(jù)中心安全和業(yè)務(wù)安全的一部分��。因此���,任何產(chǎn)品級的產(chǎn)品模式必須得到客戶業(yè)務(wù)策略和執(zhí)行的補(bǔ)充���,包括網(wǎng)絡(luò)安全和系統(tǒng)安全�。
實(shí)現(xiàn)存儲(chǔ)安全首先要做的是:
1. 確保交換機(jī)��、陣列等的管理接口和管理端口的安全�。
-利用復(fù)雜的密碼
– 禁止設(shè)備上未用過的管理端口
2. 確保LUN安全���。
3. 在特別的案例中,或者為了滿足特定業(yè)務(wù)目標(biāo)時(shí)�����,進(jìn)行加密��。
最重要的是�,首先要制定一個(gè)完整而周詳?shù)拇鎯?chǔ)安全計(jì)劃,內(nèi)容包含具體實(shí)施人員�����、程序�����、設(shè)備��。其次,這個(gè)存儲(chǔ)安全計(jì)劃還要符合整個(gè)數(shù)據(jù)中心和業(yè)務(wù)計(jì)劃�����。再次�����,在情況允許和技術(shù)允許的情況下�����,不斷修改完善計(jì)劃��。最后�����,測試計(jì)劃�。
一、存儲(chǔ)安全簡介
在過去十年中�����,存儲(chǔ)已經(jīng)演變?yōu)槎鄠€(gè)系統(tǒng)共享的一種資源��。很多案例都表明,只保護(hù)存儲(chǔ)設(shè)備所在的系統(tǒng)的安全已經(jīng)不能滿足需要了���。存儲(chǔ)設(shè)備現(xiàn)在連接到很多系統(tǒng)上�,因此�,必須保護(hù)各個(gè)系統(tǒng)上的有價(jià)值的數(shù)據(jù),防止其他系統(tǒng)未經(jīng)授權(quán)訪問數(shù)據(jù)����,或者破壞數(shù)據(jù)。相應(yīng)的��,存儲(chǔ)設(shè)備必須要防止未被授權(quán)的配置改變���,對所有的更改都要做審計(jì)跟蹤。
存儲(chǔ)安全是客戶整個(gè)安全計(jì)劃的一部分����,也是數(shù)據(jù)中心安全和組織安全的一部分。如果只小心翼翼地保護(hù)存儲(chǔ)的安全而將整個(gè)系統(tǒng)向互聯(lián)網(wǎng)開放���,那這樣的存儲(chǔ)安全是絲毫沒有意義的���。應(yīng)該認(rèn)識(shí)到���,安全計(jì)劃可能需要滿足各種數(shù)據(jù)庫和應(yīng)用的不同層次的安全需求。
當(dāng)前主要有三種存儲(chǔ)架構(gòu):DAS(直連存儲(chǔ))�、NAS(網(wǎng)絡(luò)附加存儲(chǔ))、SAN(存儲(chǔ)區(qū)域網(wǎng)絡(luò))�����。DAS是直接連接到一個(gè)單一的系統(tǒng)����。NAS是通過Ethernet LAN網(wǎng)絡(luò)的方式來訪問文件。SAN是通過一個(gè)存儲(chǔ)網(wǎng)絡(luò)來訪問�����,現(xiàn)在典型的是FC(光纖通道)SAN��。iSCSI SAN 基于Ethernet LAN�,但是目前使用并不廣泛。Object storage是一種新興的技術(shù)�����,結(jié)合SAN和NAS���。本文指的存儲(chǔ)主要是SAN和NAS�����。
存儲(chǔ)安全不是附加在SAN上的一個(gè)設(shè)備�。存儲(chǔ)安全是一種屬性,是每個(gè)系統(tǒng)���,每個(gè)交換機(jī)�����,每個(gè)SAN中的設(shè)備的一種屬性���。存儲(chǔ)安全意味著要應(yīng)付多種威脅��,不是所有的危險(xiǎn)都能提前預(yù)知的��。存儲(chǔ)安全還包括一整套程序��,即定義數(shù)據(jù)訪問權(quán)力��,授權(quán)管理設(shè)備���,當(dāng)安全問題出現(xiàn)時(shí)給予合適的回應(yīng)�。最后,或許也是最重要的是����,被授權(quán)訪問數(shù)據(jù)或管理設(shè)備的人必須是可靠的,經(jīng)過精心挑選的���。
用一個(gè)組織的中心目錄(比如Active Directory �����,NDS)來進(jìn)行認(rèn)證有幾種重要的好處�。首先���,個(gè)人只有被授予的權(quán)力去管理特定的設(shè)備���,或者對很多設(shè)備進(jìn)行有限訪問(比如可以看到配置數(shù)據(jù)但是無法更改數(shù)據(jù))。其次���,審計(jì)跟蹤(日志)會(huì)顯示做了什么�,是誰做的。這些日志會(huì)組織故意濫用權(quán)力并幫助糾正錯(cuò)誤���。第三�,如果個(gè)人的責(zé)任有所改變�,或者他(她)離職,那么就可以直接刪除他(她)的身份或者改變授權(quán)���。
原則上��,存儲(chǔ)安全是很簡單直接的�����。在線存儲(chǔ)??磁盤存儲(chǔ)??被指定為不同的部分�。每個(gè)部分屬于一個(gè)特殊的系統(tǒng)或用戶��。如果這個(gè)部分被訪問�,存儲(chǔ)系統(tǒng)會(huì)查看訪問請求發(fā)回的地址,如果這個(gè)地址不是所有者的��,那么就拒絕請求�。
在實(shí)踐中��,建立存儲(chǔ)安全要求專業(yè)的知識(shí),留意細(xì)節(jié)�����,不斷檢查�����,確保存儲(chǔ)解決方案繼續(xù)滿足業(yè)務(wù)不斷改變的需要���。必須減少諸如偽造回復(fù)地址這樣的威脅���。最重要的是,安全的本質(zhì)是三方面達(dá)到平衡����,即采取安全措施的成本,安全缺口帶來的影響�,入侵者要突破安全措施所需要的資源。
二�����、大型數(shù)據(jù)中心的存儲(chǔ)安全
存儲(chǔ)安全固然十分重要�����,但是存儲(chǔ)安全只是數(shù)據(jù)中心整個(gè)安全解決方案的一個(gè)組成部分。安全是一個(gè)內(nèi)涵很廣泛的話題���,存儲(chǔ)在業(yè)務(wù)流程中扮演的并非是主角�,但確實(shí)是關(guān)鍵角色����,因?yàn)榇鎯?chǔ)包含了公司絕大部分記錄,如果沒有存儲(chǔ)�����,很多業(yè)務(wù)流程將沒法繼續(xù)���。
存儲(chǔ)安全的重點(diǎn)不僅體現(xiàn)在企業(yè)的安全管理和危機(jī)意識(shí)��,也體現(xiàn)在它集中式的授權(quán)模式和認(rèn)證服務(wù)���。當(dāng)企業(yè)制定的存儲(chǔ)安全策略沒有和服務(wù)器和網(wǎng)絡(luò)的安全策略集中考慮的時(shí)候,黑客就可以從這三個(gè)方面尋找突破口�。為了防止這類事件,認(rèn)證和審計(jì)就必須在這三個(gè)方面都要有實(shí)施�����。
對于標(biāo)準(zhǔn)網(wǎng)絡(luò)上的存儲(chǔ)����,包括NAS和iSCSI塊級存儲(chǔ)在內(nèi),安全取決于是怎樣保護(hù)網(wǎng)絡(luò)的以及存儲(chǔ)系統(tǒng)自身����。特別是當(dāng)通過公司的中樞網(wǎng)絡(luò)而不是獨(dú)立存儲(chǔ)網(wǎng)絡(luò)或子網(wǎng)絡(luò)訪問存儲(chǔ)時(shí),安全更加取決于網(wǎng)絡(luò)自身的安全�。
病毒以及類似蓄意破壞的行為都是必須考慮的重要問題。目前控制病毒的主要方法是網(wǎng)絡(luò)級防火墻和獨(dú)立客戶機(jī)/服務(wù)器級的防火墻�,電子郵件防火墻可以掃描郵件消息找出已知的病毒,單獨(dú)的客戶機(jī)/服務(wù)器級防火墻可以檢測正在讀寫的文件�,發(fā)現(xiàn)可疑的跡象。
對于SAN和DAS存儲(chǔ)來說��,LUNs提供給系統(tǒng)��,只有系統(tǒng)才能清楚某一文件是從何開始在哪結(jié)束的����,因此,只有系統(tǒng)能檢測出文件的病毒�。
對于NAS和對象存儲(chǔ)來說��,可以在存儲(chǔ)子系統(tǒng)內(nèi)檢測病毒�����。最重要的是��,要減少病毒威脅����,需要以全局的眼光來計(jì)劃并規(guī)劃�,然后在IT基礎(chǔ)架構(gòu)合適的地方來實(shí)施解決方案。
存儲(chǔ)安全的目的
存儲(chǔ)安全的目的是要保護(hù):
保護(hù)機(jī)密的數(shù)據(jù)��;
保證數(shù)據(jù)的完整性����;
防止數(shù)據(jù)被破壞或丟失。
一旦發(fā)生數(shù)據(jù)丟失或被破壞�,后果可想而知。敏感的業(yè)務(wù)數(shù)據(jù)或客戶資料將被泄露�,業(yè)務(wù)記錄將被篡改或毀壞。所有最糟糕的情形都有可能發(fā)生��。
減少存儲(chǔ)安全的危險(xiǎn)
通常用于減少危險(xiǎn)的方法有:
?身份認(rèn)證
在管理員的行動(dòng)得到許可以前��,管理員必須登錄
? 授權(quán)
當(dāng)特定存儲(chǔ)管理員發(fā)送一個(gè)請求后,在執(zhí)行請求行動(dòng)之前存儲(chǔ)設(shè)備必須驗(yàn)證管理員的請求是得到授權(quán)的���。
當(dāng)特定系統(tǒng)發(fā)送I/O指令后,在執(zhí)行I/O指令之前磁盤陣列必須驗(yàn)證這個(gè)指令是否得到許可?���,F(xiàn)在有一項(xiàng)新興的技術(shù)是磁帶庫控制器可以驗(yàn)證I/O許可。
? 審計(jì)
存儲(chǔ)子系統(tǒng)記錄管理員所有的舉動(dòng)以及任何重大事件�。審計(jì)子系統(tǒng)提供了一種紀(jì)錄系統(tǒng)安全方面信息的方法,同時(shí)可以為系統(tǒng)管理員在用戶違反系統(tǒng)安全法則或存在違反的潛在可能時(shí)�����,提供及時(shí)的警告信息�,這些審計(jì)子系統(tǒng)所搜集的信息包括:可被審計(jì)的事件名稱,事件狀態(tài)(成功或失?��。?���,別的安全相關(guān)的信息�����。
? 加密(目前還沒有得到廣泛應(yīng)用)
保護(hù)數(shù)據(jù)的機(jī)密性(沒人可以看見)和完整性(沒人可以更改)
-給磁盤上的數(shù)據(jù)加密
-給磁帶和其他可移動(dòng)的介質(zhì)上的數(shù)據(jù)加密
三、存儲(chǔ)安全模式
上文介紹了減少危險(xiǎn)的幾種方式�����。下面要介紹的是數(shù)據(jù)訪問路徑和管理訪問路徑方法����。在大的方面,可以把這些降低威脅的方法分為數(shù)據(jù)安全和管理安全兩個(gè)方面�����,進(jìn)而將之分為更細(xì)的方法��。其中有的方法已經(jīng)非常普遍��,也有許多仍在研究中�����,相信在幾年后就會(huì)有應(yīng)用�。例如,在現(xiàn)在的SAN的安裝中�����,選擇性地選擇設(shè)備和邏輯卷提供給用戶使用,這種模式已經(jīng)非常通用的技術(shù)����,而存儲(chǔ)加密則是前沿技術(shù)。
數(shù)據(jù)訪問安全和管理安全將在下一部分進(jìn)行詳細(xì)討論�����。
數(shù)據(jù)訪問安全
怎樣阻止未經(jīng)授權(quán)的訪問����,修改數(shù)據(jù)�,破壞數(shù)據(jù)?有三個(gè)廣泛的技術(shù)領(lǐng)域涉及到這一點(diǎn)�,即身份(認(rèn)證)、授權(quán)(LUN安全)以及機(jī)密性/完整性(加密)��。
1��、身份認(rèn)證
與存儲(chǔ)有關(guān)的驗(yàn)證分為三個(gè)級別:不驗(yàn)證���、FC WWN驗(yàn)證���、詢問/響應(yīng)設(shè)備來證明自己的身份���。原來根本不驗(yàn)證。最近FC WWN (World Wide Name)被用來驗(yàn)證設(shè)備的身份����。將來,F(xiàn)C和iSCSI�����,以及更高級的詢問/ 響應(yīng)(challenge/response)協(xié)議將用于確認(rèn)設(shè)備的身份��。
不認(rèn)證
早期的FC安裝將SAN劃分為幾個(gè)區(qū)域�。與某個(gè)區(qū)域連接的系統(tǒng)被假定屬于那個(gè)區(qū)域。就像是SCSI纜線上的系統(tǒng)���。由于互操作性或錯(cuò)誤隔離等原因��,分區(qū)仍然很重要����。
Fibre Channel WWN
現(xiàn)在FC驗(yàn)證的最好方法是在線存儲(chǔ)識(shí)別發(fā)出請求的系統(tǒng)的唯一WWN����,把WWN作為其身份����。對于應(yīng)付簡單的管理員錯(cuò)誤或偶然的攻擊�,這種方法足以應(yīng)付了。在理論上���,經(jīng)驗(yàn)豐富的黑客可以偽造屬于另一個(gè)系統(tǒng)的WWN�。
光纖安全協(xié)定
在FC-SP規(guī)格下����,F(xiàn)C設(shè)備利用最高級別的詢問/響應(yīng)協(xié)議互相之間進(jìn)行認(rèn)證�。幾年之后,支持FC-SP的設(shè)備才能得到普及�,將非FC-SP設(shè)備鎖定在預(yù)先存在的SAN之外。
iSCSI
問詢-握手身份驗(yàn)證協(xié)議(Challenge-Handshake Authentication Protocol����,CHAP)通過匹配用戶名和登陸密碼,來識(shí)別用戶的身份�。密碼不需要以純文本的形式在網(wǎng)絡(luò)中傳輸,從而避免了掉包和被攔截的情況發(fā)生�,所以,該協(xié)議贏得了許多網(wǎng)絡(luò)管理員的信任。不過��,值得一提的是�����,這些密碼必須存放在連接節(jié)點(diǎn)的終端����,有時(shí)候甚至以純文本文件的形式保存。遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(Remote Authentication Dial-In User Service��,RADIUS)協(xié)議能夠?qū)⒚艽a從iSCSI目標(biāo)設(shè)備上轉(zhuǎn)移到中央授權(quán)服務(wù)器上���,對終端進(jìn)行認(rèn)證��、授權(quán)和統(tǒng)計(jì)����,即使如此����,網(wǎng)絡(luò)黑客仍然可以通過偽設(shè)置的辦法,侵入客戶端����。
由于iSCSI使用的是IP協(xié)議�����,所以它的安全依賴于IP安全協(xié)議�����。但基本的IP傳輸缺乏安全���,這就使得任何精通該領(lǐng)域的人可以截獲或者修改IP通信。 保護(hù)IP 通信的一個(gè)更為流行的方法是采用 IP安全協(xié)議(IP Security Protocol���,簡稱IPSec)����。IPSec是個(gè)基于IP的安全協(xié)議��,不同于SSL安全協(xié)議��,后者基于OSI模型的應(yīng)用層����。
詢問/響應(yīng)協(xié)議
雖然高級認(rèn)證的細(xì)節(jié)非常復(fù)雜,但是其概念非常簡單��。服務(wù)器產(chǎn)生一個(gè)隨機(jī)的詢問�。 然后將它發(fā)送給客戶端?�?蛻舳藢λ用芎笏突亟o服務(wù)器作為一個(gè)響應(yīng)����。服務(wù)器解密這個(gè)響應(yīng)并與發(fā)出的詢問對比。如果比較的結(jié)果是正確的那么服務(wù)器就允許訪問��。
公共鑰匙加密使用由公共和私有組件組成的兩部分密鑰(代碼)�。加密郵件使用的是收件人已經(jīng)公布的公共密鑰。收件人使用只有自己知道的未公布專用密鑰來解密郵件�。
2、授權(quán)
授權(quán)的模式發(fā)生演變�����,從原來的DAS模式的“如果你看到它�����,你就擁有它”到更加復(fù)雜的機(jī)制�,使共享SAN的資源變成可能���。
邏輯單元屏蔽(LUN Masking)??SAN結(jié)構(gòu)中存儲(chǔ)設(shè)備是被當(dāng)作本地設(shè)備訪問的,文件系統(tǒng)和數(shù)據(jù)的維護(hù)在主機(jī)端完成��。所以���,SAN中一般情況下�,需要基于主機(jī)的數(shù)據(jù)隔離��,即所謂的LUN Masking技術(shù)�����。這種技術(shù)主要保證多種操作系統(tǒng)平臺(tái)不會(huì)互相破壞文件系統(tǒng)�����。
LUN masking能使磁盤通過SAN分配給一臺(tái)計(jì)算機(jī)����,而其它計(jì)算機(jī)在此時(shí)則無法看到該磁盤�����。如果你應(yīng)用LUN masking,那么一個(gè)單獨(dú)的RAID將被分到多個(gè)邏輯磁盤上�,這些磁盤都分配給了指定的計(jì)算機(jī)。
iSCSI??iSCSI設(shè)備提供設(shè)備級的和per-LUN訪問控制表( ACLs )�����。per-LUN訪問控制表類似于FC LUN屏蔽��。虛擬局域網(wǎng)(VLANs)類似于FC SANs中的區(qū)域�����。管理員需要檢驗(yàn)?zāi)硞€(gè)陣列支持的功能是不是他們計(jì)劃利用的功能�。
NAS??NAS數(shù)據(jù)訪問通常是基于兩種協(xié)議,NFS/CIFS����。這兩種協(xié)議對待文件訪問許可的方式差不多是一樣的。主流的NFS協(xié)議適用普遍�,而且很有效。然而��,NFS經(jīng)常會(huì)遭到“偽裝”攻擊���,所以應(yīng)該用合適的防火墻來阻止惡意的用戶?����,F(xiàn)在已經(jīng)出現(xiàn)不少結(jié)合NAS和iSCSI的設(shè)備����。當(dāng)共享一個(gè)公共網(wǎng)絡(luò)連接時(shí),這兩個(gè)協(xié)議有不同的訪問權(quán)限機(jī)制����,并且是單獨(dú)管理的。
3��、加密
加密獲得越來越多關(guān)注�����。很久以來����,加密通常被用于軍事領(lǐng)域或間諜行動(dòng),但是現(xiàn)在加密技術(shù)突然找到了一片廣闊的市場���?��;ヂ?lián)網(wǎng)需要加密來確保數(shù)據(jù)傳輸?shù)陌踩LSI(超大規(guī)模集成電路)使安全對很多人來說不會(huì)是很大的經(jīng)濟(jì)負(fù)擔(dān)�。另一方面,computer power的指數(shù)式增長使專家有可能“使用每一把鑰匙”破譯消息�����,這在幾年前是根本無法想象的��。
雖然給存儲(chǔ)系統(tǒng)上速度為幾百兆每秒的數(shù)據(jù)加密要比給PC機(jī)上的幾千字節(jié)加密困難得多����,但是現(xiàn)在的加密技術(shù)仍然能保證每秒幾百兆的速度。存儲(chǔ)行業(yè)的很多人都在思考怎樣利用這項(xiàng)技術(shù)�,導(dǎo)致很多廠商紛紛推出自己的加密產(chǎn)品。廠商并沒有針對某一設(shè)備推出加密產(chǎn)品���,而是考慮到客戶需要系統(tǒng)地解決加密問題�����。通常�,不管是傳輸中的數(shù)據(jù)(在FC�,以太網(wǎng)或WAN中傳輸?shù)臄?shù)據(jù))還是靜止的數(shù)據(jù)(磁盤或磁帶上的數(shù)據(jù))都能夠加密。
數(shù)據(jù)在數(shù)據(jù)中心之間傳輸
當(dāng)數(shù)據(jù)從一個(gè)數(shù)據(jù)中心復(fù)制到另一數(shù)據(jù)中心時(shí),就不能再只是通過數(shù)據(jù)中心的物理安全來保護(hù)數(shù)據(jù)了����。這樣做存在危險(xiǎn)。因?yàn)閿?shù)據(jù)在自己的纜線通道里穿過幾千公里的光纖比穿過租借的線纜要安全得多�,而數(shù)據(jù)穿過租借的線纜又比穿過互聯(lián)網(wǎng)要安全得多。
在上述任何一種情形下����,即使數(shù)據(jù)中心外的線纜缺乏物理安全,也可以用一個(gè)加密盒來減少安全隱患��。只要數(shù)據(jù)在離開數(shù)據(jù)中心之前通過加密盒就可以了�。當(dāng)然,相應(yīng)地在數(shù)據(jù)進(jìn)入接受它的數(shù)據(jù)中心之前也要通過加密盒�����。目前市面上的加密盒可以支持FC和IP網(wǎng)�,支持IP網(wǎng)的叫做IPsec網(wǎng)關(guān)。現(xiàn)在數(shù)據(jù)中心普遍安裝了這樣的加密設(shè)備���,因?yàn)槌杀静桓叨覐?fù)雜性也比較低��。
數(shù)據(jù)在數(shù)據(jù)中心內(nèi)部傳輸
絕大多數(shù)數(shù)據(jù)中心的安全計(jì)劃都建立了一個(gè)安全邊界��,人們覺得在數(shù)據(jù)中心內(nèi)部受到竊聽器的威脅的幾率是很小的��。但是����,威脅依然存在�。所以,在數(shù)據(jù)中心內(nèi)部對數(shù)據(jù)進(jìn)行加密也是非常有必要的�。目前,數(shù)據(jù)中心內(nèi)部的加密設(shè)備只能支持FC����。
光纖通道安全協(xié)議
光纖通道安全協(xié)議標(biāo)準(zhǔn)不僅包括認(rèn)證,還包括Encapsulating Security Payload (ESP)加密�����,Encapsulating Security Payload (ESP)加密����,ESP加密為FC設(shè)備提供一種改變密碼的方法,然后可以對FC設(shè)備間的數(shù)據(jù)進(jìn)行加密�。
iSCSI
盡管iSCSI對很難滿足存儲(chǔ)的性能要求,但是現(xiàn)在取得了普遍的應(yīng)用����。隨著以太網(wǎng)接口內(nèi)置的數(shù)據(jù)加密越來越通用也比較經(jīng)濟(jì)����,在數(shù)據(jù)中心對存儲(chǔ)實(shí)現(xiàn)加密將有可能成為現(xiàn)實(shí)���。不過�,這至少還需幾年的時(shí)間����。
磁盤上的數(shù)據(jù)(在線存儲(chǔ))
近來,數(shù)據(jù)中心機(jī)密客戶數(shù)據(jù)丟失事件屢見報(bào)端?��,F(xiàn)在的加密方法通常是利用一個(gè)密匙��,以一種特殊的方法來轉(zhuǎn)換數(shù)據(jù)���。在數(shù)據(jù)被加密后,必須破譯密匙�����,才能利用數(shù)據(jù)����。目前業(yè)內(nèi)有多種數(shù)據(jù)加密運(yùn)算法則��,比如數(shù)據(jù)加密標(biāo)準(zhǔn)(Data Encryption Standard����,DES)��、三重DES(Triple-DES)�、高級加密標(biāo)準(zhǔn)(Advanced Encryption Standard��,AES)
加密很重要的一點(diǎn)是密碼的長度�。如果一個(gè)密碼很短,假如只有10位�,那就只有1024種可能性。利用一臺(tái)PC機(jī)����,可能只需要一秒鐘的時(shí)間就能將1024種可能的密碼全部試一遍,然后找到正確的密碼����。這就是所謂的“破解”密碼。如果密碼很長�����,比如說有1000位,那就有2^1000可能性�����,那么����,用現(xiàn)有所有的計(jì)算機(jī)算一百萬年也無法都試一遍。
然而�����,以現(xiàn)在磁盤的I/O速度����,用1000位的密碼加密是完全不切實(shí)際的。從實(shí)際出發(fā)�����,加密算法和密碼的長度必須根據(jù)現(xiàn)有的高速加密/破譯VLSI設(shè)備來選擇��。這就是說���,如果密碼太復(fù)雜����,一旦某個(gè)專業(yè)政府組織確實(shí)想要“破譯”他們的磁盤上究竟有些什么東西,那沒有一家商業(yè)機(jī)構(gòu)可以破譯���,更不用提黑客了����。
目前密碼的長度通常是100位至150位���。密碼必須是隨機(jī)選擇的���,如果密碼被猜到����,那安全就受到威脅了。加密磁盤上的數(shù)據(jù)需要適當(dāng)?shù)孛艽a管理���,這就是說必須平衡更改密碼的困難(所有數(shù)據(jù)必須重寫)和丟失密碼的危險(xiǎn)�����。
保存多份密碼的副本意味著安全更有可能會(huì)受到威脅��,只保留一份副本或幾份副本則意味著密碼更有可能因?yàn)橐粋€(gè)系統(tǒng)故障或人為錯(cuò)誤而被毀壞����。
目前市面上已經(jīng)有密碼管理軟件,但是管理加密數(shù)據(jù)是否成功更多地取決于人而不是技術(shù)����。
磁帶,光盤�����,其他媒介(近線存儲(chǔ))的數(shù)據(jù)
備份磁帶上的數(shù)據(jù)是很容易被竊取��,不僅僅是從安全的數(shù)據(jù)中心���,有些時(shí)候從不太安全的分支辦公室竊取�。而且備份磁帶上的數(shù)據(jù)丟失相比磁盤更難被發(fā)現(xiàn)�。這就需要為備份磁帶上的數(shù)據(jù)進(jìn)行加密。
目前�����,這樣的加密已經(jīng)可以實(shí)現(xiàn),利用上文討論到的加密工具就可以了�����。鑰匙管理成為了一個(gè)極具挑戰(zhàn)性的問題���,因?yàn)槿绻@取磁帶上的數(shù)據(jù)���,就必須保留每個(gè)已知備份磁帶的鑰匙。
管理安全
存儲(chǔ)設(shè)備的基本管理安全遠(yuǎn)沒有加密技術(shù)這樣花哨����,管理安全是現(xiàn)在必須重視的重要領(lǐng)域。這個(gè)領(lǐng)域目前處于過渡期����。
以前���,存儲(chǔ)只是屬于某個(gè)系統(tǒng)��,存儲(chǔ)管理軟件運(yùn)行在那個(gè)系統(tǒng)上�����,唯一的存儲(chǔ)安全是(存儲(chǔ)管理安全)是由系統(tǒng)提供��。
隨著存儲(chǔ)被多個(gè)系統(tǒng)共享��,特別是一個(gè)管理實(shí)體被安裝在一個(gè)或多個(gè)系統(tǒng)上����,存儲(chǔ)管理員就需要通過密碼來管理某一特別的陣列。這是當(dāng)前業(yè)界普遍采用的方法���,而且在只有一個(gè)管理員管理適當(dāng)數(shù)量的存儲(chǔ)時(shí)�,這個(gè)方法效果很好����。
然而,在過去幾年中����,存儲(chǔ)需求快速增加,需要多個(gè)管理員來管理存儲(chǔ)�����,關(guān)于允許哪個(gè)管理員在哪臺(tái)存儲(chǔ)設(shè)備上可以執(zhí)行怎樣的行動(dòng)有更加詳細(xì)的規(guī)定。
單一登陸可以通過RADIUS(遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù))協(xié)議來實(shí)現(xiàn)����,RADIUS發(fā)送給中央服務(wù)器一個(gè)確認(rèn)請求。微軟的Active Directory 要求在確認(rèn)用戶的標(biāo)識(shí)之后��,才允許訪問網(wǎng)絡(luò)���,此過程稱為身份驗(yàn)證����。用戶只需要提供對域(或受信任域)的單一登錄即可訪問網(wǎng)絡(luò)��。當(dāng) Active Directory 確認(rèn)用戶的身份之后�,進(jìn)行身份驗(yàn)證的域控制器上的 LSA 將生成一個(gè)訪問令牌,確定用戶可以對網(wǎng)絡(luò)資源進(jìn)行哪個(gè)級別的訪問�。
審計(jì)跟蹤和日志必須顯示哪位管理員執(zhí)行了操作。這對于基于每臺(tái)設(shè)備的管理員來說是很難實(shí)現(xiàn)的�����,當(dāng)所有設(shè)備上這樣的數(shù)據(jù)可以看得見時(shí)�����,很多問題(攻擊)才能顯現(xiàn)出來�����。在大規(guī)模的安裝中��,展現(xiàn)日志全部內(nèi)容并且可搜索內(nèi)容的工具是很需要的��。
這幾年來��,已經(jīng)有不少人開始在數(shù)據(jù)中心集中認(rèn)證和安全��。存儲(chǔ)管理原來是利用能夠管理同一類型的多個(gè)設(shè)備的工具����,現(xiàn)在開始利用單一登錄的一套工具,這些工具不僅能夠管理不同類型的存儲(chǔ)設(shè)備���,甚至可以將多種服務(wù)器和存儲(chǔ)一起管理����。
重要的是�,要明白針對不同的產(chǎn)品有不同的變化,以避免中斷現(xiàn)有安裝和現(xiàn)有程序���。安裝規(guī)模比較小的客戶仍然可以以傳統(tǒng)的方法來使用產(chǎn)品�����。
驗(yàn)證
從技術(shù)上看�����,SSO使用戶可以登錄到一個(gè)主域上����,但可以訪問其他次級域。例如����,Novell NetWare網(wǎng)絡(luò)代表著一個(gè)域,Windows NT代表著一個(gè)域��,IBM也代表著一個(gè)域���,如此等等�。在多登錄環(huán)境中的正常環(huán)境下�����,用戶必須分別登錄到每個(gè)次級域。在使用SSO時(shí)����,IT經(jīng)理指定特定平臺(tái)作為主認(rèn)證域來控制對所有域的訪問����。當(dāng)用戶登錄到這個(gè)SSO主域時(shí),他提供在登錄到任何次級域時(shí)所需要的所有證明�。然后主域負(fù)責(zé)為次級域完成對用戶的認(rèn)證。
集中驗(yàn)證服務(wù)有幾個(gè)優(yōu)點(diǎn)���。單一登錄允許用戶只登錄到系統(tǒng)上一次��,而后授權(quán)訪問其他連接的系統(tǒng)��,無需再進(jìn)行登錄���。當(dāng)用戶只需要記憶一個(gè)口令時(shí),管理和支持費(fèi)用將會(huì)大大減少��,并且總體環(huán)境將會(huì)更安全����。
授權(quán)
除了單一登錄����,現(xiàn)有存儲(chǔ)管理方法與傳統(tǒng)方法的第二點(diǎn)不同是不再是一個(gè)管理員登錄來管理一個(gè)設(shè)備����,而是所有管理員共享權(quán)力。
第三點(diǎn)���,也可能是最重要的區(qū)別是管理員特權(quán)可以以一種特別精細(xì)的方式授權(quán)給管理員��。舉個(gè)例子�����,某管理員可以看到某一特定存儲(chǔ)系統(tǒng)中的一切信息�,但是沒有權(quán)力更改信息�,但是更高級的管理員可以更改信息。此外�,客戶仍然可以靈活地進(jìn)行服務(wù)器和存儲(chǔ)管理。一個(gè)小公司可以繼續(xù)讓一個(gè)管理員擁有所有的權(quán)利�,而大公司可能繼續(xù)分為獨(dú)立的存儲(chǔ)、服務(wù)器�����、網(wǎng)絡(luò)管理部門,每個(gè)部門根據(jù)特殊個(gè)人的角色擁有不同的權(quán)力��。
審計(jì)
所有配置上的改變和其他重大事件都應(yīng)該被記錄上�����,因此任何問題都可以追蹤到原始狀態(tài)�����。知道是哪位管理員在什么時(shí)候做出錯(cuò)誤的配置改變�,這樣�,要找出并更改錯(cuò)誤就簡單得多。
對數(shù)據(jù)中心中不同設(shè)備的審計(jì)跟蹤/日志有一個(gè)集中的了解是很重要的����。在出現(xiàn)問題時(shí),要辨別問題是由安全入侵引起的���,還是管理員錯(cuò)誤或其它問題�,從日志的整體上考慮比從個(gè)別要素上考慮有效得多���。還可以要求所有安全管理員根據(jù)日志定期提交詳細(xì)報(bào)告�。
當(dāng)在設(shè)備之間自動(dòng)遷移數(shù)據(jù)的時(shí)候,執(zhí)行數(shù)據(jù)遷移的軟件必須得到授權(quán)�,而且必須保留這樣的遷移記錄。這是一個(gè)新興的領(lǐng)域��,當(dāng)前來說�,這更多的是一個(gè)目標(biāo),而不是標(biāo)準(zhǔn)的執(zhí)行方式��。
四����、建議
存儲(chǔ)安全是數(shù)據(jù)中心安全和業(yè)務(wù)安全的一部分。因此�,任何產(chǎn)品級的產(chǎn)品模式必須得到客戶業(yè)務(wù)策略和執(zhí)行的補(bǔ)充,包括網(wǎng)絡(luò)安全和系統(tǒng)安全���。在未來幾年中����,保護(hù)所有設(shè)備的管理接口的安全是最重要的�����。
首先�����,中止所有不用的交換機(jī)和其他設(shè)備中的管理端口。更改設(shè)備管理密碼��,用更復(fù)雜的密碼���,必須包含字母和數(shù)字��。通常要避免使用常規(guī)的字典里的詞匯或其他術(shù)語��,因?yàn)檫@樣很容易被入侵者猜到。必須要用至少一層防火墻將存儲(chǔ)設(shè)備上的LAN管理端口與廣為訪問的網(wǎng)絡(luò)隔離開來��。由于存儲(chǔ)設(shè)備以及可以在數(shù)據(jù)中心利用集中認(rèn)證�,數(shù)據(jù)中心的存儲(chǔ)設(shè)備還可以進(jìn)行基于角色的授權(quán),因此存儲(chǔ)安全計(jì)劃也應(yīng)該不斷完善��,利用這些技術(shù)����。
最重要的是,首先要制定一個(gè)完整而周詳?shù)拇鎯?chǔ)安全計(jì)劃�,內(nèi)容包含具體實(shí)施人員,程序��,設(shè)備。其次���,這個(gè)存儲(chǔ)安全計(jì)劃還要符合整個(gè)數(shù)據(jù)中心和業(yè)務(wù)計(jì)劃�。再次�,在情況允許和技術(shù)允許的情況下,不斷修改完善計(jì)劃�����。最后���,測試計(jì)劃�����。
本文節(jié)選自《信息存儲(chǔ)》雜志2006年度特刊���,點(diǎn)擊此處瀏覽全部文章。
想要免費(fèi)申請訂閱《信息存儲(chǔ)》雜志�,請點(diǎn)擊此處。
