数据安全是这些年大家关注比较多的话题,数据安全不单单指遭受网络攻击之后造成的损失,也包括数据在存储和使用过程中因某种原因造成的损失,关注数据安全不能仅停留在网络攻击层面,应当从多角度、多层面去关注数据安全问题。数据存储也是数据安全中不可或缺的一部分,作为网络安全人士也需要了解数据相关的存储技术,笔者在以往的工作中,也接触过一些数据存储相关的理论知识和实操,下面就普及一下数据存储的基础知识,做穿针引线的作用,关注数据安全就应当从各种层面去了解。
常见的数据存储技术主要包括三类:直接连接存储(DAS)、存储区域网络(SAN)、网络附加存储(NAS)。
一、直接连接存储(DAS)
DAS是服务器与存储设备通过总线适配器和SCSI/FC线缆直接相连。直接装在服务器上的硬盘、直接连接到服务器上的磁盘阵列、直接连接到服务器上的磁带库/硬盘盒等都是的,通过总线传输数据,中间不经过交换机、路由器或其他网络设备。DAS可分为内置DAS和外置DAS两种形态。内置DAS最通俗解释就是放在服务器机箱内部的硬盘,通过并行总线或串行总线与服务器直接连接。外置DAS最通俗解释就是类似磁盘阵列,通过FC协议或SCSI协议进行通信,基于总线直接连接,有连接设备距离和数量的限制,主要连接方式是线缆。其中阵列又可以分为单纯扩容的外部硬盘阵列和带控制器的智能硬盘阵列。
DAS存储技术主要采用的是SCSI协议,是主机与磁盘通信的基本协议,支持异步和同步两种方式。
二、存储区域网络(SAN)
SAN是为了弥补DAS存储技术的不足提出的一种面向网络的以数据存储为中心的存储架构。SAN就是基于SCSI协议并在长距离存储上的一种扩展。主要是将SCSI协议封装在一个数据包或数据帧中,通过网络将数据包发送到更远的距离,直白点就是将SCSI协议进行封装,通过网络进行传输。SAN又分为FC SAN、IP SAN及FCoE SAN。
1.FC SAN
FC SAN是指使用FC协议的SAN网络,FC协议的链路介质可以是光纤、双绞线或同轴电缆,但是都普通使用光纤作为传输介质。因此习惯把FC协议称为光纤通道协议。FC SAN的拓扑结构如下图所示:
FC SAN的连接方式主要为两种,一种是直接相联,一种是通过FC交换机连接,服务器上都需要插入FC-HBA卡。
2.IP SAN
IP SAN是指基于标准的TCP/IP协议,在以太网上进行块数据的传输,不需要搭建专门的FC网络,使用的是普通的以太网交换机,服务器主要使用的是ISCSI HBA卡,也可以使用以太网卡NIC+Initiator软件和硬件TOE智能网卡+Initiator软件。IP SAN的拓扑结构如下图所示:
IP SAN的组网方式包括直连组网、单交换组网及双交换组网,直连组网就是服务器通过以太网卡、TOE卡或ISCSI HBA卡直接与存储设备连接;单交换机就是服务器与存储设备之间使用一台以太网交换机,双交换组网就是使用两台交换机做链路冗余,防止出现单点故障。SAN组网目前更多还是倾向于使用IP SAN,可以利用现有的以太网络,而使用FC SAN需要搭建光纤网络,还需要FC交换机,建设成本比较大。FC SAN支持4Gbit/s、8Gbit/s、16Gbit/s;IP SAN支持1Gbit/s、10Gbit/s。从安全性而言,FC SAN安全性更高,和传统业务使用的IP网络从物理上进行了隔离,保证了数据传输和存储的安全性。在项目上要根据实际情况进行综合评判是选择FC SAN还是IP SAN。
3.FCoE SAN
再介绍另外一种FCoE SAN技术,称作以太网光纤通道,实际就是整合了FC SAN和IP SAN,主要是为了解决大型数据中心在以往技术发展过程中分别使用了FC SAN和IP SAN,在业务发展过程中带来了很多新的问题,也导致建设成本增加。FCoE SAN就是将FC帧封装到以太网络中进行传输,实现了FC SAN和IP SAN在同一个网络中共存,节约了建设和维护成本。FCoE SAN的拓扑结构如下所示:
FCoE SAN中核心设备就是FCoE交换机,其包括FC模块与接口、增强型以太网接口,可以实现以太网设备、FC设备、FCoE设备之间的交互通信。如果使用FCoE协议,相应的服务器上也要使用FCoE HBA卡(也称作CNA卡)。
三、网络附加存储(NAS)
NAS是基于IP网络,通过文件级的数据访问和共享提供存储资源的网络存储架构。NAS主要针对的是文件级共享,以前在一些项目中,使用华为的大数据平台,将音频、图片及视频等文件就是存储在NAS中,系统调用文件中就直接从NAS中去读取,扩容比较方便。NAS采用TCP/IP数据传输协议和CIFS/NFS远程文件服务协议来完成数据的归档、存储及调用。CIFS主要运行windows系列的平台,而NFS主要运行UNIX系列的平台。NAS主要包括统一型NAS和网关型NAS,统一型NAS设备包含所有NAS组件,网关型NAS则是引擎和存储设备是独立存在的。网络拓扑如下图所示:
网关型NAS相比统一型NAS更容易扩展,其NAS引擎和后端存储设备可以采用FC网络进行连接。NAS软件主要包括裁减的Linux系统、文件共享协议NFS和CIFS及TCP/IP网络协议。一定要区分NAS和SAN的区别,NAS是提供文件级的数据访问和存储服务;SAN是提供块级数据访问和存储服务。
四、总结
以上只是对三种存储技术做了简单介绍,方便大家了解基础知识,如果要深入了解,需要了解各种协议的工作原理和网络拓扑结构,从事数据安全工作需要了解与数据相关的各个方面,不能片面的理解数据安全问题。