为了消除数据中心存在的安全隐患,为核心数据提供可靠、便捷的使用环境,可以将数据中心安全体系划分为以下3个安全区域。
1 管理访问安全域
通常园区网络存储基础设施,如图l所示。图中服务器被连接到一个SAN结构的存储环境中,并且访问主存储阵列,主存储阵列通过光纤网络连接到备份存储阵列。管理数据存储通常是在一台管理终端上安装存储管理平台。通过IP网络与存储阵列互联,这种为管理存储阵列形成的区域称为管理访问域。管理访问域存在2个威胁:一是由于通常是通过IP网络来管理存储阵列,这样增加了未授权主机连接到存储网络的可能性;二是存储管理软件的远程控制台功能也增加了被攻击的可能性。
图1 校园网存储基础设施示意图
针对数据中心基础设施的访问安全,常用的访问安全防护技术包括:
(1)控制管理权限。控制管理权限目的在于防止攻击者假冒管理员身份或提升用户身份和使用权限,来非法获得数据闭。访问控制防护技术的使用通常包括3个方面:一是合理设置管理员使用权限,不要把存储系统所有控制权授权给一个用户:二是将存储系统的身份管理与第三方的认证系统相结合,可以使用基于角色的访问控制(RBAC)策略分配不同的管理权限;三是使用审计系统来加强安全管理。
(2)保护管理网络。防护方法主要有3种:一是加密管理数据流,采用安全的通信通道SSH或SSI/TLS来传送管理数据流;二是通过存储设备和交换机的配置。只允许某些特定的主机拥有管理权限,并且对主机能够发出什么命令操作做出限制,将访问控制措施制定到存储阵列级别,明确哪台主机拥有对那个阵列的管理权限;三是增强IP网络的安全措施,针对特定设备的数据流以及管理性协议的数据流,使用IP路由器和交换机在IP网络层进行限制,从而将未授权设备的威胁降到最低。#p#
2应用程序访问安全域
应用程序通常是通过文件系统或数据库接口来访问存储阵列中的数据,通过应用程序访问数据称为应用程序访问域。该域遇到的安全威胁主要包括2个方面:一是在访问应用程序过程中伪造用户身份或提升访问权限来非法获取数据;二是未授权的主机伪造合法主机的身份,访问应用程序篡改数据,窥探网络或执行DOS攻击等。其常用的安全防护技术包括以下几个方面。
2.1 控制用户对数据的访问
首先,进行主机认证。使用用户身份认证授权系统实现应用程序的访问控制,确保用户身份不被假冒,也可以使用挑战握手认证协议(challenge-handshake authentication protocol)、光纤通道安全协议(fibre channel security protocol)和IPsec来认证主机。其次。为数据资源指定安全控制措施。通过在交换机上将网络划分分区来控制存储资源的访问,分区可将网络划分为多个路径,以便于在不同的路径上传输不同的数据:也可以通过逻辑单元屏蔽决定哪些主机可以访问哪些存储设备。一些设备支持将一台主机的WWN映射到一个特定的FC端口。从该端口连接到一个特定的逻辑单元,最安全的方法是将WWN和物理端口绑定。最后,通过在所有参与设备上记录重要的日志来实现审计核查控制管理工作。
2.2保护存储基础设施
保护存储基础设备的安全控制措施要能够应对以下威胁:一是对传输中的数据人为授权篡改。破坏数据完整性;二是对应用系统进行攻击,实施降低可用性的拒绝服务;三是对网络数据进行网络窥探,造成数据保密性受损。
保护存储网络的安全控制分为网络连接设施的完整性和存储网络加密性。网络连接完整性通过认证系统,防止未经过适当认证的主机添加到存储区域网中;存储网络加密方法使用IPsec来保护基于IP的存储网络以及FC-SP来保护FC网络。
首先,在定义数据中心职责时,可通过基于角色的访问控制来赋予用户使用权限,使他们能够行使他们的角色。其次,存储系统的管理网络应当在逻辑上与其他网络隔离,这样降低了管理难度,增强了安全性。IP网络分段可以通过路由器或防火墙的基于IP地址的包过滤功能、交换机的基于MAC地址的VLAN和端口级的安全措施来实现。最后,控制对设备的访问和FC开关的布线,以保证存储设施得到保护。如果一个设备被一个未授权的用户进行了物理访问。那么所有其他已制定的安全措施就会失效。
2.3数据加密
保护数据安全的最重要的一方面是保护存储阵列中的数据,这方面的主要威胁是数据被篡改和存储介质丢失。防范措施是加密存储在存储介质上的数据或加密即将传送的数据;在数据生命周期结束时将数据彻底从硬盘上清除,使其不能恢复。数据应当在生成时尽快加密,如果在主机上不能实施加密,可以在主机和存储介质之间部署加密设备加密数据,这样可以保护目标设备中静态数据和传输中的数据。
3备份、恢复和存储安全域
备份涉及到将数据从一个存储阵列复制到备份介质,该安全域的威胁有假冒备份恢复站点的合法身份进行篡改数据、网络窥探和DOS攻击。防范方法主要是提高备份软件安全性,制定好存储备份环境的安全配置,严格控制远程备份软件的使用。