安全防護(hù)技術(shù)

在存儲虛擬化環(huán)境中，針對不同的、異構(gòu)的虛擬存儲對象，應(yīng)根據(jù)各自存儲設(shè)備的特點(diǎn)，綜合運(yùn)用不同存儲設(shè)備之間的安全防護(hù)機(jī)制構(gòu)建全方位的安全防護(hù)體系。

1資源隔離和訪問控制

在應(yīng)用存儲虛擬化技術(shù)之后，應(yīng)用不需要關(guān)心數(shù)據(jù)實際存儲的位置，只需要將數(shù)據(jù)提交給虛擬卷或虛擬磁盤，由虛擬化管理軟件將數(shù)據(jù)分配在不同的物理介質(zhì)。這就可能導(dǎo)致不同保密要求的資源存在于同一個物理存儲介質(zhì)上，安全保密需求低的應(yīng)用/主機(jī)有可能越權(quán)訪問敏感資源或者高安全保密應(yīng)用/主機(jī)的信息，為了避免這種情況的發(fā)生，虛擬化管理軟件應(yīng)采用多種訪問控制管理手段對存儲資源進(jìn)行隔離和訪問控制，保證只有授權(quán)的主機(jī)/應(yīng)用能訪問授權(quán)的資源，未經(jīng)授權(quán)的主機(jī)/應(yīng)用不能訪問，甚至不能看到其他存儲資源的存在。

對于資源隔離和訪問控制手段可以通過基于主機(jī)的授權(quán)、基于用戶認(rèn)證和基于用戶的授權(quán)來實現(xiàn)�；�于主機(jī)的訪問控制可以從加強(qiáng)主機(jī)認(rèn)證、主機(jī)的WWN（光纖設(shè)備的全球惟一編號）與交換機(jī)物理端口綁定、交換機(jī)分區(qū)和邏輯單元屏蔽（LUN Masking）等方式實現(xiàn)。根據(jù)虛擬對象的不同采用不同的技術(shù)手段，如對于FC SAN構(gòu)建的存儲網(wǎng)絡(luò)，采用光纖通道安全協(xié)議（FC-SP）實現(xiàn)主機(jī)認(rèn)證；采用光纖交換機(jī)分區(qū)將連接在SAN網(wǎng)絡(luò)中的設(shè)備（主機(jī)和存儲）在邏輯上劃為不同的分區(qū)，使得不同區(qū)域內(nèi)的設(shè)備之間不能通過訪問，實現(xiàn)網(wǎng)絡(luò)中設(shè)備之間的相互隔離；在磁盤陣列上采用邏輯單元屏蔽控制主機(jī)對存儲卷的訪問，設(shè)定主機(jī)只能看到授權(quán)的邏輯單元，實現(xiàn)陣列中存儲卷之間的隔離。對于IPSAN組成的網(wǎng)絡(luò)，可以設(shè)置訪問控制列表，利用網(wǎng)絡(luò)交換機(jī)的VLAN和ACL控制隔離存儲網(wǎng)絡(luò)，確保只有授權(quán)的設(shè)備能訪問存儲網(wǎng)絡(luò)；利用iSCSI協(xié)議的身份驗證機(jī)制（使用CHAP、SRP、Kerberos和SPKM）實現(xiàn)發(fā)起方與目標(biāo)方的雙向身份驗證，只允許授權(quán)節(jié)點(diǎn)訪問，阻止未經(jīng)授權(quán)的訪問。對用戶的認(rèn)證可采用AAA認(rèn)證安全策略，如在IP SAN網(wǎng)絡(luò)中，利用IP SAN交換機(jī)提供的802.1x認(rèn)證，在用戶接入網(wǎng)絡(luò)時輸入用戶名和登錄密碼來識別用戶身份，防止非法用戶接入存儲網(wǎng)絡(luò)。對于用戶的授權(quán)主要采用訪問控制列表，如NAS設(shè)備和主機(jī)服務(wù)器的操作系統(tǒng)（Windows或Linux）都提供針對不同用戶對不同文件和目錄授予不同的訪問權(quán)限的功能。

在應(yīng)用存儲虛擬化后，虛擬化管理軟件應(yīng)能全面管理不同虛擬對象，如IP SAN和FC SAN、NAS等的訪問控制策略配置，通過上層應(yīng)用封裝對用戶提供一致的管理界面，屏蔽底層對象的差異性。

2數(shù)據(jù)加密保護(hù)

在各類安全技術(shù)中，加密技術(shù)是最常見也是最基礎(chǔ)的安全防護(hù)手段，在應(yīng)用存儲虛擬化技術(shù)后，數(shù)據(jù)的加密保護(hù)仍然是數(shù)據(jù)保護(hù)的最后一道防線。在存儲虛擬化實踐中，對數(shù)據(jù)的加密存在于數(shù)據(jù)的傳輸過程中和存儲過程中。

對數(shù)據(jù)傳輸過程中的加密保護(hù)能保護(hù)數(shù)據(jù)的完整性、機(jī)密性和可用性，防止數(shù)據(jù)被非法截獲、篡改和丟失。針對不同虛擬化對象的特點(diǎn)，應(yīng)采用不同的傳輸加密方式。如對IP SAN網(wǎng)絡(luò)，可以采用IPSec Encryption（IPSec加密）或SSL加密功能防止數(shù)據(jù)被竊聽，確保信息的保密性，采用IPSec摘要和防回復(fù)的功能防止信息被篡改，保證信息的完整性。

對數(shù)據(jù)存儲的加密能實現(xiàn)數(shù)據(jù)的機(jī)密性，完整性和可用性，還能防止數(shù)據(jù)所在存儲介質(zhì)意外丟失或者不可控的情況下數(shù)據(jù)自身的安全。對數(shù)據(jù)存儲的保護(hù)可以從三方面進(jìn)行，一方面是在主機(jī)端完成，通常由應(yīng)用系統(tǒng)先對數(shù)據(jù)進(jìn)行加密，然后再傳輸?shù)酱鎯�網(wǎng)絡(luò)中，由于不同應(yīng)用采用加密算法的多樣性導(dǎo)致加密強(qiáng)度的不一致，不利于數(shù)據(jù)存儲安全的統(tǒng)一防護(hù)。為了解決這個問題，IEEE安全數(shù)據(jù)存儲協(xié)會提出了P1619安全標(biāo)準(zhǔn)體系，這個體系制定了對存儲介質(zhì)上的數(shù)據(jù)進(jìn)行加密的通用標(biāo)準(zhǔn)，采用這種標(biāo)準(zhǔn)格式可使得各廠家生產(chǎn)的存儲設(shè)備具有很好的兼容性。

對數(shù)據(jù)進(jìn)行存儲保護(hù)的另一種思路是在存儲設(shè)備之前串接一個硬件加密裝置，對所有流入存儲網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行加密后，將密文提交給存儲設(shè)備；對所有流出存儲設(shè)備的數(shù)據(jù)進(jìn)行解密后將明文提交給服務(wù)器；這種加密方式與上面提到的采用P1619的的解決方案類似，但這里的加密是由外部加密裝置完成，而不是集成在存儲網(wǎng)絡(luò)中。這種解決思路與上層應(yīng)用和存儲無關(guān)，但在數(shù)據(jù)量大的情況下，對硬件加密裝置的加解密性能和處理能力要求比較高。對數(shù)據(jù)加密保護(hù)的第三種解決辦法是依靠存儲設(shè)備自身的加密功能，如基于磁帶機(jī)的數(shù)據(jù)加密技術(shù)，通過在磁帶機(jī)上對數(shù)據(jù)進(jìn)行加密，使數(shù)據(jù)得到保護(hù)；目前可信計算機(jī)組織（TCG，Trusted Computing Group）也已提出了針對硬盤的自加密標(biāo)準(zhǔn)，將加密單元放置在硬盤中，對數(shù)據(jù)進(jìn)行保護(hù)。自加密硬盤提供用戶認(rèn)證密鑰，由認(rèn)證密鑰保護(hù)加密密鑰，通過加密密鑰保護(hù)硬盤數(shù)據(jù)。認(rèn)證密鑰是用戶訪問硬盤的惟一憑證，只有通過認(rèn)證后才能解鎖硬盤并解密加密密鑰，最終訪問硬盤數(shù)據(jù)。

3基于存儲的分布式入侵檢測系統(tǒng)

目前常用的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)在防護(hù)針對存儲設(shè)備的入侵檢測中不能有效的發(fā)揮作用，因此2002年，Adam G.Pennington和JohnD.Strunk等人在第12屆USENIX安全會議中提出基于存儲的IDS（Storage based Intrusion Detection System）。基于存儲的入侵檢測系統(tǒng)嵌入在存儲系統(tǒng)中，如SAN的光纖交換機(jī)、磁盤陣列控制器或HBA卡等設(shè)備中，能對存儲設(shè)備的所有讀寫操作進(jìn)行抓取、統(tǒng)計和分析，對可疑行為進(jìn)行報警。由于基于存儲的入侵檢測系統(tǒng)是運(yùn)行在存儲系統(tǒng)之上，擁有獨(dú)立的硬件和獨(dú)立的操作系統(tǒng)，與主機(jī)獨(dú)立，能夠在主機(jī)被入侵后繼續(xù)對存儲介質(zhì)上的信息提供保護(hù)。在存儲虛擬化網(wǎng)絡(luò)中，應(yīng)在系統(tǒng)的關(guān)鍵路徑上部署基于存儲的入侵檢測系統(tǒng)，建立全網(wǎng)統(tǒng)一的管理中心，統(tǒng)一管理入侵檢測策略，實現(xiàn)特征庫的實時更新和報警事件及時響應(yīng)�；�于存儲的入侵檢測系統(tǒng)提供如下的功能：

（1）檢測存儲設(shè)備中文件/屬性的改變：基于存儲的入侵檢測系統(tǒng)能對任何文件或?qū)傩缘男薷倪M(jìn)行實時檢測，即便這些行為的發(fā)起者已經(jīng)通過了系統(tǒng)的身份認(rèn)證請求，在發(fā)現(xiàn)可疑行為后能實時報警；

（2）檢測文件模式的非正常修改：根據(jù)系統(tǒng)中某些文件操作模式的規(guī)律制定檢測依據(jù)。如系統(tǒng)日志文件在正常情況下，總是以增量的方式進(jìn)行周期性滾動，當(dāng)有背離以上模式的行為發(fā)生時可以認(rèn)為是發(fā)生了非法入侵行為；系統(tǒng)中的另一種更新模式是時間的不可回溯性；如文件內(nèi)容的更改只會引起文件屬性的變化，而文件創(chuàng)建時間等屬性是不能發(fā)生變化的，當(dāng)發(fā)生以上行為時也應(yīng)該認(rèn)為發(fā)生了入侵行為并進(jìn)行報警。

（3）監(jiān)控文件結(jié)構(gòu)的完整性：基于存儲的入侵檢測系統(tǒng)對存儲信息進(jìn)行結(jié)構(gòu)化分析，并建立結(jié)構(gòu)規(guī)則庫，當(dāng)違反規(guī)則庫中結(jié)構(gòu)的行為發(fā)生時應(yīng)認(rèn)為發(fā)生了入侵行為。典型的文件結(jié)構(gòu)規(guī)則庫如UNIX系統(tǒng)的口令文件（/etc/passwd文件）包含一組記錄條，記錄之間通過換行符分割，每一條記錄都包含七個不同的字段，每個字段用冒號分開。入侵檢測系統(tǒng)可以監(jiān)控并校驗/etc/passwd文件內(nèi)容是否符合正常規(guī)則來判斷是否發(fā)生入侵行為，但這種基于文件內(nèi)容的檢測將占用系統(tǒng)大量的運(yùn)算資源，因此監(jiān)控的對象應(yīng)限制在較小的范圍內(nèi)。

（4）掃描檢測可疑文件：對存儲設(shè)備上所有文件的掃描發(fā)現(xiàn)病毒或木馬的存在。在這點(diǎn)上，入侵檢測系統(tǒng)類似與基于主機(jī)的病毒防護(hù)系統(tǒng)，通過對病毒或惡意代碼的特征庫匹配來發(fā)現(xiàn)可疑文件。

4自安全存儲設(shè)備

提高存儲虛擬化安全防護(hù)水平的另一個手段是選用具有自安全功能的存儲設(shè)備。安全存儲設(shè)備最早是由卡內(nèi)基？梅隆大學(xué)并行數(shù)據(jù)實驗室于2000年在USENIX協(xié)會的第四次操作系統(tǒng)設(shè)計和實現(xiàn)會議中提出來，目的是通過將以往存在于服務(wù)器上的安全機(jī)制嵌入到存儲設(shè)備中來，防止入侵者永久性地刪除存儲數(shù)據(jù)或?qū)Ψ嚼�用存儲服�?wù)器和一定權(quán)限對用戶進(jìn)行攻擊。在存儲設(shè)備自身建立一套安全機(jī)制，通過內(nèi)置的操作指令對存儲行為進(jìn)行管理。由于存儲設(shè)備具有一定的獨(dú)立性，因此在主機(jī)或客戶端系統(tǒng)受到攻擊的情況下，仍能確保數(shù)據(jù)不受到破壞，從而提高系統(tǒng)的安全性。在存儲虛擬化環(huán)境下，應(yīng)對自安全存儲設(shè)備進(jìn)行統(tǒng)一的安全策略配置，以保證全網(wǎng)達(dá)到一致的安全防護(hù)水平。

5數(shù)據(jù)刪除或銷毀

應(yīng)用存儲虛擬化技術(shù)后，數(shù)據(jù)的徹底刪除也是必須考慮的問題。由于數(shù)據(jù)存放的物理位置是位于多個異構(gòu)存儲系統(tǒng)之上，對于應(yīng)用而言，并不了解數(shù)據(jù)的具體存放位置，而普通的文件刪除操作并不是真正刪除文件，只是刪掉了索引文件的入口。因此在應(yīng)用存儲虛擬化技術(shù)之后，應(yīng)在虛擬化管理軟件將安全保密需求相同的文件在物理存儲上分配在同一塊或多塊磁盤上，在刪除文件時，為了徹底清除這些磁盤上的敏感信息，將該磁盤或多塊磁盤的文件所有位同時進(jìn)行物理寫覆蓋。對于安全保密需求高的場合，還應(yīng)采用消磁的方式來進(jìn)行更進(jìn)一步地銷毀。

隨著企業(yè)信息數(shù)字化的進(jìn)一步深入發(fā)展，在面對不斷膨脹的數(shù)據(jù)量和不斷增多的物理存儲設(shè)備下，存儲虛擬化技術(shù)正逐漸成為共享存儲管理的主流技術(shù)�；�于這項技術(shù)建設(shè)的存儲網(wǎng)絡(luò)的安全也越來越引起人們的重視，由于目前存儲虛擬化中應(yīng)用的各項安全技術(shù)依然缺乏標(biāo)準(zhǔn)化，不同產(chǎn)品提供的安全技術(shù)不能完全兼容，因此，盡快出臺業(yè)界公認(rèn)的標(biāo)準(zhǔn)，解決不同廠商之間存儲系統(tǒng)安全機(jī)制的互操作問題是迫在眉睫的事情。