存儲網絡已在部分企業單位安裝部署,不少企業在實施后面臨新的安全問題,安全正在超越服務器,進入存儲網絡。當存儲環境處于隔離狀態時......
1威脅
存儲網絡已在部分企業單位安裝部署,不少企業在實施后面臨新的安全問題,安全正在超越服務器,進入存儲網絡。當存儲環境處于隔離狀態時,只需控制對于應用的訪問和實施存儲數據物理保護措施就足以限制網絡漏洞,最大限度地減少存儲基礎設施所面臨的威脅。但是隨著網絡存儲的發展,新的漏洞層出不窮。新的互相連接的接入點讓存儲環境直接面臨著新的威脅和漏洞所帶來的影響。
2隱患
在主機上目前主要漏洞來自于不安全的主機對存儲網絡的訪問。可以是對方控制了主機,或者某個應用中隱藏的特洛伊木馬。如為了訪問存儲而偽造主機身份;為了監控存儲數據而竊聽存儲網絡;對于存儲網絡的拒絕服務攻擊。
在網絡土河能存在對方利用存儲管理應用執行非法操作,通過某個未經允許的服務器偽裝控制臺或者存儲管理服務器,從而執行未經授權的操作。
在數據上,復制和復制管理服務很容易受到源自于網絡或者存儲管理的不當使用所造成的安全漏洞,如存儲管理員未經授權的復制操作;通過對復制網絡的竊聽活動,竊取機密信息;偽裝成一臺故障恢復服務器,以竊取數據;在網絡上竄改所復制的數據。
3安全理念
3.1全面的安全保護
安全是存儲網絡的一個關鍵特性。它可能會影響到存儲解決方案的所有組成部樂一個完整的存儲安全解決方案需要考慮所有可能的存儲接人點和安全機制的管理。在靜態數據的保護中關注的是保護存儲在陣列中的數據,它包括防病毒、電子數據銷毀或者靜態數據加密,這種保護主要是為了防止數據受到用戶對陣列的物理訪問的影響。還必須保護主機和存儲管理應用對存儲的訪問:存儲分隔通過只向主機提供對主機應用需要訪問的部分存儲的訪問權限,降低了存儲被主機訪問的可能性,它可以利用LUN屏蔽和分區,對主機的存儲訪問和在數據復制過程中進行統一的控制。存儲管理安全可以保護和控制存儲管理應用對存儲的訪問。基于政策的存儲區域網絡安全管理可以確保對存儲區域網絡安全參數的管理和監控。
3.2靜態數據的保護
當新的威脅和攻擊試圖訪問或者破壞存儲數據時,存儲平臺必須能夠與可以消除這些威脅的專業技術進行交互操作。從專門針對網絡附加存儲的防病毒保護、電子數據銷毀到靜態數據的加密。
3.3防病毒和內容安全
網絡存儲必須與內容安全技術緊密地結合起來。在內容被存儲到存儲平臺時和被恢復到某個備用存儲時對內容進行動態掃描,掃描存儲內容中是否存在惡意代碼和非法的、不適當的內容。
3.4靜態數據的加密
對于加密數據的需求通常取決于數據的敏感性或者數據所在的存儲的類型,敏感信息的加密。信息的敏感性取決于業務和政策要求,敏感信息的數據加密為其他數據訪問控制機制增加了一個保護層,有助于達到隱私權法規的要求。
3.5遠程服務的安全性
有些存儲管理應用可以提供在互聯網上的遠程存儲服務。在這種情況下,互聯網的使用將會大大增加人們對于保護管理組件之間的通信安全的需求。在大多數情況下,SSL被用作遠程汗儲管理服務的一個安全的通信渠道。
3.6基于政策的安全管理
目前,基于政策的管理在安全領域中發展得比較完善,安全政策的實例包括基于角色的用戶管理政策,它可以設定關于添加和移除用戶的應用訪問權限的規則;或者參考配置政策,它可以為安全的應用實施定義配置模板。為了加強和監控這些安全實施,企業已經部署了很多覆蓋整個企業的安全管理工具,并組建了集中的安全管理團隊,以執行一些過往由系統或應用管理員負責的安全管理任務。并采用一些技術,例如目錄管理技術、身份管理解決方案、入侵檢測或者日志管理應用來加強和監控他們的安全政策。
4防護策略
目前在我公司內部,采用的是2家主流的大型存儲設備廠商的產品(EMC2和Netapp),在具體防護措施手段上不同,但防護策略基本一致。一是保持網絡運行的完整性,防止未經授權的主機或者交換機接人網絡或者導致網絡中斷:采用冗余的交換機,設置ZONE,進一步提高存儲系統訪問控制。二是重要數據存放到存儲網絡上。三是陣列內的數據采用RAID保護及系統自帶保護措施。四是分隔主機對存儲卷和陣列的訪問,禁止未經授權的跨組訪問,保護和隔離數據。五是存儲網絡陣列內部可利用SnapVie,功能做數據的備份。六是建立遠程容災機房,遠距離復制數據。七是采取多級備份措施,將備份出來的數據再進行異地磁帶備份。
京公網安備 11010502049343號