存儲(chǔ)網(wǎng)絡(luò)在企業(yè)應(yīng)用中的安全隱患及防護(hù) |
發(fā)布時(shí)間: 2012/5/27 21:18:25 |
安全是存儲(chǔ)網(wǎng)絡(luò)的一個(gè)關(guān)鍵特性。它可能會(huì)影響到存儲(chǔ)解決方案的所有組成部樂一個(gè)完整的存儲(chǔ)安全解決方案需要考慮所有可能的存儲(chǔ)接人點(diǎn)和安全機(jī)制的管理。在靜態(tài)數(shù)據(jù)的保護(hù)中關(guān)注的是保護(hù)存儲(chǔ)在陣列中的數(shù)據(jù),它包括防病毒、電子數(shù)據(jù)銷毀或者靜態(tài)數(shù)據(jù)加密,這種保護(hù)主要是為了防止數(shù)據(jù)受到用戶對(duì)陣列的物理訪問的影響。還必須保護(hù)主機(jī)和存儲(chǔ)管理應(yīng)用對(duì)存儲(chǔ)的訪問:存儲(chǔ)分隔通過只向主機(jī)提供對(duì)主機(jī)應(yīng)用需要訪問的部分存儲(chǔ)的訪問權(quán)限,降低了存儲(chǔ)被主機(jī)訪問的可能性,它可以利用LUN屏蔽和分區(qū),對(duì)主機(jī)的存儲(chǔ)訪問和在數(shù)據(jù)復(fù)制過程中進(jìn)行統(tǒng)一的控制。存儲(chǔ)管理安全可以保護(hù)和控制存儲(chǔ)管理應(yīng)用對(duì)存儲(chǔ)的訪問;谡叩拇鎯(chǔ)區(qū)域網(wǎng)絡(luò)安全管理可以確保對(duì)存儲(chǔ)區(qū)域網(wǎng)絡(luò)安全參數(shù)的管理和監(jiān)控。 下面本文將帶大家一起來了解一下存儲(chǔ)網(wǎng)絡(luò)在企業(yè)應(yīng)用中的安全隱患及防護(hù): 1、威脅 存儲(chǔ)網(wǎng)絡(luò)已在部分企業(yè)單位安裝部署,不少企業(yè)在實(shí)施后面臨新的安全問題,安全正在超越服務(wù)器,進(jìn)入存儲(chǔ)網(wǎng)絡(luò)。當(dāng)存儲(chǔ)環(huán)境處于隔離狀態(tài)時(shí),只需控制對(duì)于應(yīng)用的訪問和實(shí)施存儲(chǔ)數(shù)據(jù)物理保護(hù)措施就足以限制網(wǎng)絡(luò)漏洞,最大限度地減少存儲(chǔ)基礎(chǔ)設(shè)施所面臨的威脅。但是隨著網(wǎng)絡(luò)存儲(chǔ)的發(fā)展,新的漏洞層出不窮。新的互相連接的接入點(diǎn)讓存儲(chǔ)環(huán)境直接面臨著新的威脅和漏洞所帶來的影響。 2、隱患 在主機(jī)上目前主要漏洞來自于不安全的主機(jī)對(duì)存儲(chǔ)網(wǎng)絡(luò)的訪問?梢允菍(duì)方控制了主機(jī),或者某個(gè)應(yīng)用中隱藏的特洛伊木馬。如為了訪問存儲(chǔ)而偽造主機(jī)身份;為了監(jiān)控存儲(chǔ)數(shù)據(jù)而竊聽存儲(chǔ)網(wǎng)絡(luò);對(duì)于存儲(chǔ)網(wǎng)絡(luò)的拒絕服務(wù)攻擊。 在網(wǎng)絡(luò)土河能存在對(duì)方利用存儲(chǔ)管理應(yīng)用執(zhí)行非法操作,通過某個(gè)未經(jīng)允許的服務(wù)器偽裝控制臺(tái)或者存儲(chǔ)管理服務(wù)器,從而執(zhí)行未經(jīng)授權(quán)的操作。 在數(shù)據(jù)上,復(fù)制和復(fù)制管理服務(wù)很容易受到源自于網(wǎng)絡(luò)或者存儲(chǔ)管理的不當(dāng)使用所造成的安全漏洞,如存儲(chǔ)管理員未經(jīng)授權(quán)的復(fù)制操作;通過對(duì)復(fù)制網(wǎng)絡(luò)的竊聽活動(dòng),竊取機(jī)密信息;偽裝成一臺(tái)故障恢復(fù)服務(wù)器,以竊取數(shù)據(jù);在網(wǎng)絡(luò)上竄改所復(fù)制的數(shù)據(jù)。 3、安全理念 3.1、靜態(tài)數(shù)據(jù)的保護(hù) 當(dāng)新的威脅和攻擊試圖訪問或者破壞存儲(chǔ)數(shù)據(jù)時(shí),存儲(chǔ)平臺(tái)必須能夠與可以消除這些威脅的專業(yè)技術(shù)進(jìn)行交互操作。從專門針對(duì)網(wǎng)絡(luò)附加存儲(chǔ)的防病毒保護(hù)、電子數(shù)據(jù)銷毀到靜態(tài)數(shù)據(jù)加密。 3.2、防病毒和內(nèi)容安全 網(wǎng)絡(luò)存儲(chǔ)必須與內(nèi)容安全技術(shù)緊密地結(jié)合起來。在內(nèi)容被存儲(chǔ)到存儲(chǔ)平臺(tái)時(shí)和被恢復(fù)到某個(gè)備用存儲(chǔ)時(shí)對(duì)內(nèi)容進(jìn)行動(dòng)態(tài)掃描,掃描存儲(chǔ)內(nèi)容中是否存在惡意代碼和非法的、不適當(dāng)?shù)膬?nèi)容。 3.3、靜態(tài)數(shù)據(jù)的加密 對(duì)于加密數(shù)據(jù)的需求通常取決于數(shù)據(jù)的敏感性或者數(shù)據(jù)所在的存儲(chǔ)的類型,敏感信息的加密。信息的敏感性取決于業(yè)務(wù)和政策要求,敏感信息的數(shù)據(jù)加密為其他數(shù)據(jù)訪問控制機(jī)制增加了一個(gè)保護(hù)層,有助于達(dá)到隱私權(quán)法規(guī)的要求。 3.4、遠(yuǎn)程服務(wù)的安全性 有些存儲(chǔ)管理應(yīng)用可以提供在互聯(lián)網(wǎng)上的遠(yuǎn)程存儲(chǔ)服務(wù)。在這種情況下,互聯(lián)網(wǎng)的使用將會(huì)大大增加人們對(duì)于保護(hù)管理組件之間的通信安全的需求。在大多數(shù)情況下,SSL被用作遠(yuǎn)程汗儲(chǔ)管理服務(wù)的一個(gè)安全的通信渠道。 3.5、基于政策的安全管理 目前,基于政策的管理在安全領(lǐng)域中發(fā)展得比較完善,安全政策的實(shí)例包括基于角色的用戶管理政策,它可以設(shè)定關(guān)于添加和移除用戶的應(yīng)用訪問權(quán)限的規(guī)則;或者參考配置政策,它可以為安全的應(yīng)用實(shí)施定義配置模板。為了加強(qiáng)和監(jiān)控這些安全實(shí)施,企業(yè)已經(jīng)部署了很多覆蓋整個(gè)企業(yè)的安全管理工具,并組建了集中的安全管理團(tuán)隊(duì),以執(zhí)行一些過往由系統(tǒng)或應(yīng)用管理員負(fù)責(zé)的安全管理任務(wù)。并采用一些技術(shù),例如目錄管理技術(shù)、身份管理解決方案、入侵檢測(cè)或者日志管理應(yīng)用來加強(qiáng)和監(jiān)控他們的安全政策。 4、防護(hù)策略 目前在我公司內(nèi)部,采用的是2家主流的大型存儲(chǔ)設(shè)備廠商的產(chǎn)品(EMC2和Netapp),在具體防護(hù)措施手段上不同,但防護(hù)策略基本一致。一是保持網(wǎng)絡(luò)運(yùn)行的完整性,防止未經(jīng)授權(quán)的主機(jī)或者交換機(jī)接人網(wǎng)絡(luò)或者導(dǎo)致網(wǎng)絡(luò)中斷:采用冗余的交換機(jī),設(shè)置ZONE,進(jìn)一步提高存儲(chǔ)系統(tǒng)訪問控制。二是重要數(shù)據(jù)存放到存儲(chǔ)網(wǎng)絡(luò)上。三是陣列內(nèi)的數(shù)據(jù)采用RAID保護(hù)及系統(tǒng)自帶保護(hù)措施。四是分隔主機(jī)對(duì)存儲(chǔ)卷和陣列的訪問,禁止未經(jīng)授權(quán)的跨組訪問,保護(hù)和隔離數(shù)據(jù)。五是存儲(chǔ)網(wǎng)絡(luò)陣列內(nèi)部可利用SnapVie,功能做數(shù)據(jù)的備份。六是建立遠(yuǎn)程容災(zāi)機(jī)房,遠(yuǎn)距離復(fù)制數(shù)據(jù)。七是采取多級(jí)備份措施,將備份出來的數(shù)據(jù)再進(jìn)行異地磁帶備份。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |