确保存储基础设施安全.ppt

存储网络中安全措施的实施(SAN) FC-SP(Fiber Channel Security Protocol,光纤通道安全协议) 将IP和FC互连的安全机制和算法标准化了 SAN安全架构 安全战略是基于纵深防御理念，推荐多层安全综合层，在网络存储环境的各种区域和设备上部署安全措施，如服务器，交换机，防火墙，存储阵列上都要部署安全措施 表15－2提供了可以在各种安全区域实施的保护策略的一个列表，表中列出的一些安全机制并不是只针对SAN，如二因素认证已被广泛应用:使用用户名、密码和一个另外的安全组件（如一张智能卡）进行认证。 SAN的安全机制 逻辑单元屏蔽(LUN masking) 决定一个主机可以访问哪些LUN 分区 保证只有已授权的区域成员才能进行通信 端口绑定 主机与交换机端口绑定,从该端口连接到一个特定的逻辑单元(LUN) SAN的安全机制 全面的交换机控制和全面的网络访问控制 FC交换机上的访问控制表 确定哪些HBA和存储器端口可以作为网络的一部分,防止未授权的设备访问 确定哪些交换机可以作为网络的一部分,防止未授权的交换机加入 SAN的安全机制 虚拟SAN(VSAN) VSAN可以在一个物理SAN创建多个逻辑的SAN,可以把不同VSAN看作独立运行的网络, VSAN通过隔离网络事件，并提供更高级别的认证控制，增强了信息的可用性和安全 表15－6描述了一个VSAN中的逻辑分区，三个部门共享交换机设备，但都有自己的逻辑网络，可以当作独立运行的网络. 存储网络中安全措施的实施(NAS) 许可证明和访问控制列表通过限制存取和共享构成了NAS资源的第一层保护 Windows访问控制列表 自主访问控制列表-决定访问控制 系统访问控制列表-决定哪些访问应该被审计 UNIX权限 所有者、组、全部 rwxr-xr-x 存储网络中安全措施的实施(NAS) 认证和授权 NAS设备使用标准的文件共享协议：NFS和CIFS， NAS设备上实施和支持的认证和授权与UINX系统或Windows系统文件共享环境下的方法相同，对UINX系统用网络信息系统（NIS）服务器验证网络用户，对Windows系统用户通过一个拥有活动目录的Windows域控制器进行验证 存储网络中安全措施的实施(NAS) 图15－7描述了NAS环境下的认证过程 Kerberos Kerberos是一个网络认证协议,为客户/服务器应用程序提供强认证技术，使用密钥加密的方法实现，先进行身份认证，再进行权限认证 存储网络中安全措施的实施(NAS) 网络层防火墙 保护NAS设备不受公共IP网络的各种攻击的侵害 检查网络数据包,与设定的安全规则比较,没有通过安全规则的数据包被丢弃 宽松的规则会降低安全性 如下图服务器被放在两套防火墙之间,特定端口的应用程序,如HTTP,允许通过防火墙访问服务器. 存储网络中安全措施的实施(NAS) 网络层防火墙 如下图服务器被放在两套防火墙之间,特定端口的应用程序,如HTTP,允许通过防火墙访问服务器. 存储网络中安全措施的实施(IP SAN) 挑战握手认证协议(CHAP)是一个基本的认证机制,广泛地应用在网络设备和主机上 存储网络中安全措施的实施(NAS) 小结 存储网络的持续扩张暴露了数据中心资源和存储基础设施新的安全漏洞,基于IP的存储网络已经将存储资源暴露在传统的网络攻击之下,本章为存储安全构建了一个框架,提供了减轻危害的方法. 谢谢 确保存储基础设施安全 网络安全与存储安全 一个没有连接到存储网络的存储设备不是那么脆弱,因为它们没有通过网络暴露在安全威胁之下. 许多存放个人信息,金融交易等重要信息的存储阵列,由于业务需要也被连接在互联网上,以便用户通过网络进行访问 象google,网上购物,网上订票,网上银行等网站,用户都可以通过网络访问网站,有哪些信誉好的足球投注网站信息,购物,办理业务,这些网站的存储阵列就被以某种方式连接在互联网上了. 互联网连接着个人计算机,服务器,网络和存储设备,这使得互联网容易受到各种攻击.对于互联网的安全问题我们大家都会有一些感受和体验,计算机中病毒的情况大家可能都遇到过. 网络安全与存储安全 存储设备连到互联网上,就使存储设备暴露于多种安全威胁之下,如病毒,木马,黑客攻击等 这些威胁有可能破坏关键业务数据,中断关键服务.比如一个购物网站的业务数据被破坏,该给用户送货,也无法送货,比如网上订票网站的业务数据被破坏,该给用户送票却没有送,会给用户带来很大不便,也会损害网站的信誉.如果金融服务网站由于业务数据被破坏而出现问题,可能会给用户