數(shù)據(jù)的風(fēng)險(xiǎn)分類

數(shù)據(jù)風(fēng)險(xiǎn)有兩個(gè)關(guān)鍵領(lǐng)域，而這些都關(guān)系到如何將數(shù)據(jù)提交給客戶。第一個(gè)風(fēng)險(xiǎn)涉及數(shù)據(jù)可被非授權(quán)的系統(tǒng)進(jìn)行訪問。第二個(gè)風(fēng)險(xiǎn)是非授權(quán)的人員訪問數(shù)據(jù)。

非授權(quán)系統(tǒng)的訪問 非授權(quán)的系統(tǒng)訪問受保護(hù)的數(shù)據(jù)的可能性乍一看似乎不太可能。但是，當(dāng)你考慮到所有可能產(chǎn)生的系統(tǒng)管理員的錯(cuò)誤或故意非法訪問，數(shù)據(jù)被入侵的潛在問題便開始增加。那么，非授權(quán)系統(tǒng)如何獲取對另一個(gè)系統(tǒng)的數(shù)據(jù)的訪問呢？

在這種情況下，該數(shù)據(jù)很可能將通過一個(gè)LUN的形式提交。此LUN可以通過任何一個(gè)光纖通道連接或互聯(lián)網(wǎng)小型計(jì)算機(jī)系統(tǒng)接口（iSCSI）連接來提供。這兩種連接類型呈現(xiàn)了相同級別的風(fēng)險(xiǎn)。攻擊LUN將需要使用欺騙，使用一臺電腦的主機(jī)總線適配器（HBA）來改變它呈現(xiàn)給目標(biāo)系統(tǒng)的WWN。

這個(gè)目標(biāo)不太容易完成，因?yàn)楣饫w通道端口一般不使用端口鏡像，而攻擊者試圖攔截（嗅探）流量以了解WWNs在網(wǎng)絡(luò)上傳輸數(shù)據(jù)的方法。攻擊者想要欺騙WWN需要關(guān)于他們應(yīng)該針對哪臺主機(jī)WWNs的內(nèi)部信息。然而，這在理論上是可能的。

盡管有困難，利用主機(jī)欺騙WWN的能力是潛在的風(fēng)險(xiǎn)——而一旦該WWN被欺騙，許多存儲環(huán)境中的保護(hù)措施將被暴露。理論上，WWN欺騙將不得不通過分區(qū)定義訪問——如果WWN分區(qū)被使用，而這是經(jīng)常發(fā)生的情況——同時(shí)存儲陣列提供的LUN掩碼通常基于WWNs進(jìn)行配置。繞過這兩個(gè)關(guān)鍵的安全方法，入侵的主機(jī)可以訪問這些LUN上的所有數(shù)據(jù)。

思考在單個(gè)磁盤的環(huán)境中。假設(shè)你已經(jīng)從一臺服務(wù)器刪除了一個(gè)磁盤，并把它放在另一臺服務(wù)器上——原有的系統(tǒng)對文件保護(hù)的措施將發(fā)生什么情況？磁盤現(xiàn)在由新的操作系統(tǒng)所擁有，作為這個(gè)流氓系統(tǒng)的管理員或root身份，你現(xiàn)在可以更改數(shù)據(jù)訪問的權(quán)限。只要攻擊者從卷讀取和避免寫入數(shù)據(jù)，原來的主機(jī)可能永遠(yuǎn)不會(huì)察覺已經(jīng)發(fā)生過什么異常。

防止WWN欺騙和嗅探的另一個(gè)最佳實(shí)踐是交換機(jī)專用，連接存儲設(shè)備只為服務(wù)器和存儲提供服務(wù)，這樣終端用戶設(shè)備和其他系統(tǒng)則不允許共享交換機(jī)硬件。這種方法依賴于交換機(jī)的物理安全性來限制你的風(fēng)險(xiǎn)。

數(shù)據(jù)暴露于一個(gè)非授權(quán)系統(tǒng)的風(fēng)險(xiǎn)的另一種途徑是存儲管理員故意或疏忽的配置。存儲管理員可以故意或錯(cuò)誤地分配LUN到錯(cuò)誤的服務(wù)器，或者可能為特定服務(wù)器選擇了錯(cuò)誤的LUN。在這兩種情況下，沒有什么會(huì)妨礙管理員這樣做，因?yàn)榉謪^(qū)存在，服務(wù)器將被正確連接且分區(qū)到陣列。因?yàn)榉?wù)器會(huì)被正確注冊到陣列中， LUN屏蔽也不會(huì)阻止它的。你可能想知道為什么存儲陣列允許這樣做。由于遷移的目的，存儲供應(yīng)商提供服務(wù)器之間的LUN共享能力，以支持服務(wù)器集群。虛擬集群的普及是常見的。為了從一臺主機(jī)移動(dòng)虛擬服務(wù)器到另一臺主機(jī)，LUN必須在主機(jī)之間共享。

當(dāng)決定如何保護(hù)你的存儲時(shí)，識別關(guān)于LUNs對服務(wù)器造成的風(fēng)險(xiǎn)是非常重要的。

非授權(quán)人員的訪問 服務(wù)器上靜止數(shù)據(jù)的另一個(gè)風(fēng)險(xiǎn)是通過內(nèi)置服務(wù)器中的數(shù)據(jù)訪問機(jī)制攻擊服務(wù)器本身。當(dāng)服務(wù)器被攻陷從而將數(shù)據(jù)暴露給攻擊者時(shí)，服務(wù)器控制的所有數(shù)據(jù)將遭受系統(tǒng)本身授權(quán)機(jī)制的風(fēng)險(xiǎn)。

一旦服務(wù)器在攻擊者的控制下，攻擊者就有改變文件系統(tǒng)權(quán)限的能力，這樣新的操作系統(tǒng)所有者可以允許訪問所有數(shù)據(jù)。為了收集信息，入侵系統(tǒng)的攻擊者并不一定需要開始更改文件系統(tǒng)。也許是攻擊者只關(guān)心截獲的內(nèi)容或從存儲器讀取的數(shù)據(jù)。正如有些工具可以嗅探有線和無線網(wǎng)絡(luò)的網(wǎng)絡(luò)流量，有些工具可以嗅探光纖通道網(wǎng)絡(luò)上的流量。使用入侵系統(tǒng)，或者惡意軟件，入侵者可以執(zhí)行一個(gè)嗅探工具并收集系統(tǒng)數(shù)據(jù)。此外，通過訪問這個(gè)入侵的系統(tǒng)，攻擊者可以發(fā)動(dòng)多次對存儲基礎(chǔ)架構(gòu)攻擊以獲得其他服務(wù)器數(shù)據(jù)的訪問。

數(shù)據(jù)風(fēng)險(xiǎn)管控最佳實(shí)踐 對于存儲基礎(chǔ)設(shè)施和位于其上數(shù)據(jù)的風(fēng)險(xiǎn)，可以采取什么措施來設(shè)計(jì)一個(gè)健壯的體系架構(gòu)抵御攻擊呢？以下做法提供了最佳可行的緩解實(shí)踐。

· 分區(qū)

基于端口的分區(qū)，通過主機(jī)和存儲陣列之間的連接的控制提高了安全性。分區(qū)這種方法提供了對一個(gè)WWN欺騙攻擊的保護(hù)。通過端口分區(qū)，即使主機(jī)系統(tǒng)被引入到一個(gè)偽造的WWN的環(huán)境中，主機(jī)也需要交換機(jī)定義的端口中，以便它的訪問流量可以傳輸?shù)酱鎯﹃嚵校驗(yàn)閰^(qū)域基于端口進(jìn)行配置的。通過分區(qū)的方式，交換機(jī)提供了路徑，從服務(wù)器的HBA到陣列的HBA 。沒有那個(gè)分區(qū)， WWN欺詐就沒有路徑到陣列。

· 陣列

陣列已經(jīng)發(fā)展很長時(shí)間提供LUN掩碼作為保護(hù)LUN不會(huì)被非授權(quán)服務(wù)器訪問的一種形式。

LUN被非授權(quán)系統(tǒng)訪問的最可能的原因是存儲管理員偶然的或故意的錯(cuò)誤配置。針對這一點(diǎn)，最好的防御是確保存儲管理員是可信的，勝任的，以及控制和限制只有少數(shù)訓(xùn)練有素，可靠的管理員進(jìn)行存儲陣列的管理。

· 服務(wù)器

為了充分保證存儲環(huán)境，你必須確保對服務(wù)器環(huán)境本身進(jìn)行控制和監(jiān)視。確保存儲基礎(chǔ)架構(gòu)本身是不夠的。對任何服務(wù)器的訪問都可以顯著將服務(wù)器和存儲環(huán)境暴露給有害的活動(dòng)。重要的是，服務(wù)器被安全地配置，并且該設(shè)備位于有訪問控制和監(jiān)控的安全設(shè)施中。變更管理和實(shí)時(shí)監(jiān)控，跟蹤更改系統(tǒng)和管理員在服務(wù)器上的活動(dòng)，應(yīng)與存儲環(huán)境的安全一起實(shí)施。不僅在承載數(shù)據(jù)的服務(wù)器，也可用于管理陣列和交換機(jī)的管理服務(wù)器上采取這些步驟。

· 員工

當(dāng)雇用個(gè)人來管理安全存儲環(huán)境時(shí)，必要的技能應(yīng)包括扎實(shí)的存儲安全實(shí)踐知識。計(jì)算機(jī)安全方法的背景和培訓(xùn)應(yīng)該被視為一個(gè)重要的要求。當(dāng)然，管理存儲陣列的培訓(xùn)和經(jīng)驗(yàn)也很重要，最好是關(guān)于在你的組織中使用的產(chǎn)品，而不是委任其他一些平臺管理存儲基礎(chǔ)架構(gòu)的管理員。此外，由于SAN是存儲和網(wǎng)絡(luò)融合的結(jié)果，具有網(wǎng)絡(luò)背景可以是非常有價(jià)值的。

· 異地?cái)?shù)據(jù)存儲

異地存儲數(shù)據(jù)（安全地）是任何組織業(yè)務(wù)連續(xù)性流程的一個(gè)重要方面。許多廠商會(huì)拿起備份磁帶并將其移到一個(gè)安全的設(shè)施。應(yīng)該對這些設(shè)施進(jìn)行定期審計(jì)，以確保向異地發(fā)送的所有數(shù)據(jù)可問責(zé)。為了保護(hù)數(shù)據(jù)，不管在磁盤或磁帶上都應(yīng)該被加密。任何形式的在線數(shù)據(jù)備份應(yīng)該采用端到端的加密方法。