安全防護技術
在存儲虛擬化環(huán)境中�����,針對不同的����、異構的虛擬存儲對象,應根據各自存儲設備的特點�,綜合運用不同存儲設備之間的安全防護機制構建全方位的安全防護體系����。
1資源隔離和訪問控制
在應用存儲虛擬化技術之后,應用不需要關心數據實際存儲的位置�����,只需要將數據提交給虛擬卷或虛擬磁盤�����,由虛擬化管理軟件將數據分配在不同的物理介質����。這就可能導致不同保密要求的資源存在于同一個物理存儲介質上�����,安全保密需求低的應用/主機有可能越權訪問敏感資源或者高安全保密應用/主機的信息�,為了避免這種情況的發(fā)生�,虛擬化管理軟件應采用多種訪問控制管理手段對存儲資源進行隔離和訪問控制,保證只有授權的主機/應用能訪問授權的資源��,未經授權的主機/應用不能訪問�����,甚至不能看到其他存儲資源的存在���。
對于資源隔離和訪問控制手段可以通過基于主機的授權�、基于用戶認證和基于用戶的授權來實現����。基于主機的訪問控制可以從加強主機認證�、主機的WWN(光纖設備的全球惟一編號)與交換機物理端口綁定、交換機分區(qū)和邏輯單元屏蔽(LUN Masking)等方式實現��。根據虛擬對象的不同采用不同的技術手段,如對于FC SAN構建的存儲網絡����,采用光纖通道安全協(xié)議(FC-SP)實現主機認證;采用光纖交換機分區(qū)將連接在SAN網絡中的設備(主機和存儲)在邏輯上劃為不同的分區(qū)����,使得不同區(qū)域內的設備之間不能通過訪問,實現網絡中設備之間的相互隔離�����;在磁盤陣列上采用邏輯單元屏蔽控制主機對存儲卷的訪問���,設定主機只能看到授權的邏輯單元,實現陣列中存儲卷之間的隔離����。對于IPSAN組成的網絡,可以設置訪問控制列表��,利用網絡交換機的VLAN和ACL控制隔離存儲網絡���,確保只有授權的設備能訪問存儲網絡�����;利用iSCSI協(xié)議的身份驗證機制(使用CHAP���、SRP��、Kerberos和SPKM)實現發(fā)起方與目標方的雙向身份驗證�����,只允許授權節(jié)點訪問���,阻止未經授權的訪問。對用戶的認證可采用AAA認證安全策略���,如在IP SAN網絡中�,利用IP SAN交換機提供的802.1x認證����,在用戶接入網絡時輸入用戶名和登錄密碼來識別用戶身份,防止非法用戶接入存儲網絡�。對于用戶的授權主要采用訪問控制列表,如NAS設備和主機服務器的操作系統(tǒng)(Windows或Linux)都提供針對不同用戶對不同文件和目錄授予不同的訪問權限的功能����。
在應用存儲虛擬化后�,虛擬化管理軟件應能全面管理不同虛擬對象�,如IP SAN和FC SAN、NAS等的訪問控制策略配置�����,通過上層應用封裝對用戶提供一致的管理界面��,屏蔽底層對象的差異性�����。
2數據加密保護
在各類安全技術中���,加密技術是最常見也是最基礎的安全防護手段�����,在應用存儲虛擬化技術后,數據的加密保護仍然是數據保護的最后一道防線�����。在存儲虛擬化實踐中,對數據的加密存在于數據的傳輸過程中和存儲過程中�。
對數據傳輸過程中的加密保護能保護數據的完整性、機密性和可用性�����,防止數據被非法截獲��、篡改和丟失�。針對不同虛擬化對象的特點,應采用不同的傳輸加密方式����。如對IP SAN網絡,可以采用IPSec Encryption(IPSec加密)或SSL加密功能防止數據被竊聽�����,確保信息的保密性��,采用IPSec摘要和防回復的功能防止信息被篡改�,保證信息的完整性。
對數據存儲的加密能實現數據的機密性�����,完整性和可用性,還能防止數據所在存儲介質意外丟失或者不可控的情況下數據自身的安全�����。對數據存儲的保護可以從三方面進行�����,一方面是在主機端完成���,通常由應用系統(tǒng)先對數據進行加密���,然后再傳輸到存儲網絡中,由于不同應用采用加密算法的多樣性導致加密強度的不一致�,不利于數據存儲安全的統(tǒng)一防護。為了解決這個問題��,IEEE安全數據存儲協(xié)會提出了P1619安全標準體系�,這個體系制定了對存儲介質上的數據進行加密的通用標準,采用這種標準格式可使得各廠家生產的存儲設備具有很好的兼容性����。
對數據進行存儲保護的另一種思路是在存儲設備之前串接一個硬件加密裝置���,對所有流入存儲網絡的數據進行加密后���,將密文提交給存儲設備��;對所有流出存儲設備的數據進行解密后將明文提交給服務器����;這種加密方式與上面提到的采用P1619的的解決方案類似�����,但這里的加密是由外部加密裝置完成��,而不是集成在存儲網絡中��。這種解決思路與上層應用和存儲無關�����,但在數據量大的情況下��,對硬件加密裝置的加解密性能和處理能力要求比較高�����。對數據加密保護的第三種解決辦法是依靠存儲設備自身的加密功能,如基于磁帶機的數據加密技術�����,通過在磁帶機上對數據進行加密�,使數據得到保護;目前可信計算機組織(TCG�,Trusted Computing Group)也已提出了針對硬盤的自加密標準,將加密單元放置在硬盤中�����,對數據進行保護���。自加密硬盤提供用戶認證密鑰�����,由認證密鑰保護加密密鑰�����,通過加密密鑰保護硬盤數據���。認證密鑰是用戶訪問硬盤的惟一憑證���,只有通過認證后才能解鎖硬盤并解密加密密鑰��,最終訪問硬盤數據�����。
3基于存儲的分布式入侵檢測系統(tǒng)
目前常用的基于網絡的入侵檢測系統(tǒng)在防護針對存儲設備的入侵檢測中不能有效的發(fā)揮作用��,因此2002年�,Adam G.Pennington和JohnD.Strunk等人在第12屆USENIX安全會議中提出基于存儲的IDS(Storage based Intrusion Detection System)��;诖鎯Φ娜肭謾z測系統(tǒng)嵌入在存儲系統(tǒng)中��,如SAN的光纖交換機���、磁盤陣列控制器或HBA卡等設備中�,能對存儲設備的所有讀寫操作進行抓取����、統(tǒng)計和分析,對可疑行為進行報警��。由于基于存儲的入侵檢測系統(tǒng)是運行在存儲系統(tǒng)之上,擁有獨立的硬件和獨立的操作系統(tǒng)�,與主機獨立,能夠在主機被入侵后繼續(xù)對存儲介質上的信息提供保護�。在存儲虛擬化網絡中,應在系統(tǒng)的關鍵路徑上部署基于存儲的入侵檢測系統(tǒng)����,建立全網統(tǒng)一的管理中心,統(tǒng)一管理入侵檢測策略���,實現特征庫的實時更新和報警事件及時響應������;诖鎯Φ娜肭謾z測系統(tǒng)提供如下的功能:
(1)檢測存儲設備中文件/屬性的改變:基于存儲的入侵檢測系統(tǒng)能對任何文件或屬性的修改進行實時檢測�,即便這些行為的發(fā)起者已經通過了系統(tǒng)的身份認證請求,在發(fā)現可疑行為后能實時報警����;
(2)檢測文件模式的非正常修改:根據系統(tǒng)中某些文件操作模式的規(guī)律制定檢測依據。如系統(tǒng)日志文件在正常情況下�,總是以增量的方式進行周期性滾動,當有背離以上模式的行為發(fā)生時可以認為是發(fā)生了非法入侵行為;系統(tǒng)中的另一種更新模式是時間的不可回溯性��;如文件內容的更改只會引起文件屬性的變化����,而文件創(chuàng)建時間等屬性是不能發(fā)生變化的,當發(fā)生以上行為時也應該認為發(fā)生了入侵行為并進行報警���。
(3)監(jiān)控文件結構的完整性:基于存儲的入侵檢測系統(tǒng)對存儲信息進行結構化分析,并建立結構規(guī)則庫����,當違反規(guī)則庫中結構的行為發(fā)生時應認為發(fā)生了入侵行為。典型的文件結構規(guī)則庫如UNIX系統(tǒng)的口令文件(/etc/passwd文件)包含一組記錄條���,記錄之間通過換行符分割�,每一條記錄都包含七個不同的字段���,每個字段用冒號分開����。入侵檢測系統(tǒng)可以監(jiān)控并校驗/etc/passwd文件內容是否符合正常規(guī)則來判斷是否發(fā)生入侵行為����,但這種基于文件內容的檢測將占用系統(tǒng)大量的運算資源�����,因此監(jiān)控的對象應限制在較小的范圍內�����。
(4)掃描檢測可疑文件:對存儲設備上所有文件的掃描發(fā)現病毒或木馬的存在��。在這點上�,入侵檢測系統(tǒng)類似與基于主機的病毒防護系統(tǒng)�����,通過對病毒或惡意代碼的特征庫匹配來發(fā)現可疑文件�����。
4自安全存儲設備
提高存儲虛擬化安全防護水平的另一個手段是選用具有自安全功能的存儲設備����。安全存儲設備最早是由卡內基?梅隆大學并行數據實驗室于2000年在USENIX協(xié)會的第四次操作系統(tǒng)設計和實現會議中提出來�����,目的是通過將以往存在于服務器上的安全機制嵌入到存儲設備中來,防止入侵者永久性地刪除存儲數據或對方利用存儲服務器和一定權限對用戶進行攻擊�。在存儲設備自身建立一套安全機制,通過內置的操作指令對存儲行為進行管理�����。由于存儲設備具有一定的獨立性���,因此在主機或客戶端系統(tǒng)受到攻擊的情況下�,仍能確保數據不受到破壞����,從而提高系統(tǒng)的安全性����。在存儲虛擬化環(huán)境下,應對自安全存儲設備進行統(tǒng)一的安全策略配置��,以保證全網達到一致的安全防護水平����。
5數據刪除或銷毀
應用存儲虛擬化技術后,數據的徹底刪除也是必須考慮的問題。由于數據存放的物理位置是位于多個異構存儲系統(tǒng)之上�,對于應用而言,并不了解數據的具體存放位置�,而普通的文件刪除操作并不是真正刪除文件,只是刪掉了索引文件的入口��。因此在應用存儲虛擬化技術之后�����,應在虛擬化管理軟件將安全保密需求相同的文件在物理存儲上分配在同一塊或多塊磁盤上��,在刪除文件時�����,為了徹底清除這些磁盤上的敏感信息��,將該磁盤或多塊磁盤的文件所有位同時進行物理寫覆蓋�����。對于安全保密需求高的場合����,還應采用消磁的方式來進行更進一步地銷毀�����。
隨著企業(yè)信息數字化的進一步深入發(fā)展�,在面對不斷膨脹的數據量和不斷增多的物理存儲設備下�,存儲虛擬化技術正逐漸成為共享存儲管理的主流技術����;谶@項技術建設的存儲網絡的安全也越來越引起人們的重視,由于目前存儲虛擬化中應用的各項安全技術依然缺乏標準化�����,不同產品提供的安全技術不能完全兼容�,因此�,盡快出臺業(yè)界公認的標準,解決不同廠商之間存儲系統(tǒng)安全機制的互操作問題是迫在眉睫的事情����。
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
