云存储技术应用存储安全管理NAS安全实施方案.ppt

* 谢谢！ * EMC 认证专家。版权所有 ? 2012 EMC Corporation。保留所有权利。 Module 14：Securing the Storage Infrastructure 本课程将讲述下列主题： NAS 安全实施方案 第 3 课：存储网络安全实施方案 * 保护存储基础架构的安全 NAS 中的安全实施方案 权限和 ACL 通过限制访问保护 NAS 资源 其他验证和授权机制 Kerberos 和目录服务 实施以验证网络用户的身份，并定义其权限 防火墙 防止存储基础架构遭遇未经授权的访问和恶意攻击 * NAS 文件共享：Windows ACL ACL 的类型 随机访问控制列表 (DACL) 通常称为 ACL，用于确定访问控制 系统访问控制列表 (SACL) 确定在启用审核的情况下需要审核哪些访问 对象所有权 对象所有者具有该对象的硬编码权限 父对象中的子对象自动继承父对象的 ACL 安全标识符 (SID) SID 唯一标识用户或用户组 ACL 使用 SID 来控制对象访问 * NAS 文件共享：UNIX 权限 UNIX 权限指定可对文件执行的操作和执行操作的人员 常见权限：读取/写入/执行 每个文件和目录（文件夹）都具有三种所有权关系： 文件所有者的权限 用户所属的组的权限 所有其他用户的权限 * 身份验证和授权 Windows 身份验证 Windows 域控制器/ Active Directory UNIX 身份验证 NIS 服务器 UNIX 对象 -rwxrwxrwx Windows 对象 ACL SID abc 拒绝写入 SID xyz 允许写入 授权 用户 SID — abc UNIX 客户端 Windows 客户端 root 用户 NAS 设备 使用 NIS 或 域控制器验证权限 * Kerberos - 网络身份验证协议 使用密钥加密 客户端可跨不安全的网络连接向服务器证实其身份（反之亦然） Kerberos 客户端 获得 Kerberos 服务票证的实体 Kerberos 服务器 指密钥分发中心 (KDC) 实施身份验证服务 (AS) 和票证授予服务 (TGS) * Kerberos 授权 Windows 客户端 KDC ID 证明 (1) TGT + 服务器名称 (3) TGT (2) KerbC (KerbS TKT) (5) Active Directory (4) NAS 设备 Keytab (7) * 网络层防火墙 防火墙在 NAS 环境中实施 抵御 IP 网络中的安全威胁 检查网络数据包并将它们与一组已配置的安全规则进行比较 删除安全规则未授权的数据包 隔离区 (DMZ) 保护内部资产，同时允许通过 Internet 访问各种资源 内部 网络 应用程序服务器 隔离区 (DMZ) 外部 网络 * 本课程介绍 SAN、NAS、IP SAN 环境中的各种安全实施方案。 * NAS 会受到多种攻击，包括病毒、蠕虫、未经授权的访问、窥探和数据篡改。在 NAS 内实施了各种安全机制，以保护数据和存储网络基础架构。 权限和 ACL 可限制访问和共享，构成了 NAS 资源的第一级保护。这些权限部署在与文件和文件夹关联的默认行为和属性基础之上。另外，可实施 Kerberos 和目录服务等其他各种验证和授权机制，以验证网络用户的身份并定义其权限。类似地，防火墙可确保存储基础架构受到未经授权的访问和恶意攻击。 * Windows 支持两种类型的 ACL：随机访问控制列表 (DACL) 和系统访问控制列表 (SACL)。DACL 通常称为 ACL，用于确定访问控制。SACL 确定在已启用审核的情况下需要对哪些访问进行审核。 除这些 ACL 外，Windows 还支持对象所有权的概念。对象所有者对该对象具有硬编码权限，并且不必在 SACL 中明确授予这些权限。所有者、SACL 和 DACL 均作为每个对象的属性静态保存。Windows 还提供权限继承功能，以允许父对象中的现有子对象自动继承父对象的 ACL。 ACL 还应用于称为安全标识符 (SID) 的目录对象。这些 SID 由 Windows 服务器或域在创建用户或组时自动生成，是从用户信息中提取出来的。通过这种方式，尽管用户可能会将其登录 ID 标识为“User1”，但它仅仅是真实 SID 的文字表示，底层操作系统真正使用的是 SID。向对象授予访问权限时，Windows 中的内部流程引用的是帐户的 SID，而不是帐户的用户名或组名。可使用标准 Windows 资源管理器 GUI 设置 ACL，也可通过 CLI 命令或其他第三方工具配置 ACL。 * 对于 UNIX 操