SAN存儲區域網絡如何解決安全問題

???? 隨著存儲區域網絡(SAN)的日益普及，SAN的安全問題日益受到人們的關注。為了保證SAN的高度安全性，企業必需對SAN的常見風險和攻擊有通盤的了解，然后才能對癥下藥，最大程度抵御這些威脅，盡可能避免系統停頓及經濟損失。

??? 攻擊點跨越基礎設施的多個層次。第1、5和6點從物理層上開始，在光纜連接到裝置時發作。1到4點可能在物理連接完成后啟動。如果掌握每個攻擊點的具體威脅，則可以定出最有效的對策，本文將分析下列各類威脅：

??? 未經授權的訪問

??? 未經授權的訪問是最為常見的安全威脅，它的成因可以是簡單地接上了錯誤的電線，復雜者可以是將一臺已被入侵的服務器連接到光纖網絡上，未被授權的訪問將導致其它形式的攻擊，因此必須先作介紹。

??? 系統管理員可在下列攻擊點控制未經授權訪問的入侵：

??? 1.帶外管理應用程序：交換機有非光纖通道端口，例如以太網端口和串行端口，以滿足管理工作的需要。通過建立一個獨立于公司內聯網的專用網絡來管理SAN，便可以限制對以太網端口的訪問。如果交換機是與企業內聯網絡連接的，可以使用防火墻和VPN限制對以太網端口的訪問。通過控制物理訪問和對使用者授權以鑒別，可以限制對串行端口(RS 232)的訪問。物理訪問連接以太網端口后，交換機還可以根據訪問控制名單，限制訪問交換機的程序，交換機也可以限制通過3號攻擊點進行訪問的程序或個別用戶。

??? 2.帶內管理應用程序：未經授權訪問也可通過帶內管理應用程序入侵交換機。帶內管理程序將訪問諸如命名服務器和光纖網絡配置服務器等光纖網絡服務。管理訪問控制名單(MACL)控制對光纖網絡的訪問。

??? 3.用戶到應用程序：一旦用戶獲得一個管理程序的物理訪問權，他們需要登錄到這個應用程序上。管理應用程序是根據用戶的工作性質來給予不同程度的訪問授權。管理應用程序需要支持訪問控制名單和每個用戶的角色。

??? 4.設備到設備：當兩個Nx_端口在光纖網絡登錄之后，一個Nx_端口可以端口登錄(PLOGI)到另一個Nx_端口，分區及邏輯單元屏蔽可以在這環節限制設備的訪問。每一個交換機上的活動區域設置會在光纖網絡上執行分區限制。存儲設備將維持有關邏輯單元屏蔽的信息。

??? 5.設備對光纖網絡：當一個設備(Nx_端口)連接到光纖網絡(Fx_端口)，設備將發送一個F端口登錄(FLOGI)指令，這一指令包括了各種端口全球名字(WWN)的參數。交換機可以批準端口在光纖網絡登錄或拒絕FLOGI并中止連接。交換機需要維持一個準許連接WWN的訪問控制列表。真正的數據威脅發生在設備登錄至光纖網絡和進入攻擊點4或5之后。

??? 6.交換機對交換機：當兩臺交換機連接時，交換鏈接參數（ELP）和內部鏈接服務（ILS）將發送類似交換機全球名字(WWN)的相關信息。一臺交換機可以批準其它交換機組成一個更大的光纖網絡，如果另一臺交換機不被允許加入的話，則可以隔離鏈接。每個交換機都需維持一個授權交換機的訪問控制名單(ACL)。

??? 7.存儲數據：存儲的數據易于受到內部攻擊、來自光纖網絡的未經授權訪問的攻擊，和基于主機的攻擊。例如存儲協議全都是cleartext，因此存儲、備份及主機管理員能在沒有訪問限制及登錄的情況下訪問未經處理的原始存儲數據。存儲加密碼設備提供為存儲數據提供一層保護，在有些情況下提供附加的應用層身份鑒別和訪問控制。

??? 通過訪問控制名單(ACL)控制訪問只可以防止意外事故，但它不能防御那些假偽身份的攻擊者。不幸的是，大多數網絡盜賊能很容易地取得假冒身份。為了阻止詐騙者（盜用他人身份者）滲透入網絡，那些獲得授權的個體也必須經過身份鑒定。

??? 欺騙 （Spoofing）

??? 欺騙是與未經授權訪問有關的一種威脅。欺騙以多種形式和名稱：仿冒、身份竊取、搶劫、偽裝和WWN欺騙。欺騙是根據它所發作的法層面而命名，其中一種形式是假冒用戶，而另一種是偽裝成一個已被授權的WWN。

??? 抗擊欺騙的方法就是讓竊取者提供一些只有被授權的用戶才知曉的特殊信息。對于用戶來說，需要知道和提供的只是一個密碼。對于設備而言，Nx_端口或交換機的WWN是與這個機密信息相連的。管理話路也可以進行身份鑒別，確保入侵者不能管理光纖網絡或設備。

??? 系統管理員可在下列攻擊點檢測欺騙行為：

??? 1.帶外管理應用程序：當一個管理程序程序接觸交換機的時候，交換機就會對它進行身份鑒別，有關用戶身份的鑒別是在第6個攻擊點進行。

??? 2.帶內管理應用程序：帶內管理應用程序會用“通用傳輸(CT)身份鑒別”來阻止對光纖服務的欺騙指令。

??? 3.用戶到應用程序：當用戶在應用程序登錄時，管理程序將要求用戶提供一個密碼、機密或者標記。應用程序可以通過生物測定數據來識別用戶，像指紋、虹膜掃描、甚至DNA樣本。

??? 4.設備到設備：當Nx_端口收到一個PLOGI后，它會向提出要求的端口出示身份證明。CHAP是用于鑒別Nx_端口的標準光纖渠道機制。提出要求的Nx_端口也應該要求另一個Nx_端口提供身份證明，這樣才可確保兩個端口的身份都是真確的，雙向身份鑒別通常被稱為“相互鑒別”。

??? 5.設備到光纖網絡：當一個設備發出光纖登錄指令(FLOGI)，交換機將提出一個CHAP要求以便鑒別用戶身份。Nx_端口需要對CHAP作出回應，同時要求交換機進行相互鑒別。

??? 6.交換機到交換機：當一個交換機與另一個交換機連接時，兩臺交換機需用CHAP互相鑒別身份。

??? 對于每一點的身份鑒別，以下是四種可能的方法：

??? 1.用戶身份鑒別

??? 2.以太網CHAP實體身份鑒別

??? 3.CT訊息鑒別

??? 4.光纖渠道DH-CHAP實體身份鑒別

??? 當實體及用戶的身份被鑒別后，傳輸就可以在授權設備之間安全地流動，但在連接中流動的數據仍然會受到數據盜竊(Sniffing)的威脅，這在下一個章節中將詳細討論。

??? 數據盜竊（Sniffing）

??? 數據會通過很多種途徑被竊取,其中一種途徑就是在數據還在傳輸的過程中進行盜竊，Sniffing 是對數據線進行窺探，例如“光纖通道分析器”就是一種可以完全監控數據傳輸的數據盜竊方法。如果數據盜竊做得巧妙，它是不會影響設備的操作。防止數據盜竊的方法是加密(encryption)。“封裝安全法”（ESP）可以對光纖傳輸數據進行加密，以確保安全性。以太網傳輸能通過SSL或者類似的協議來加密。這些加密技術可以使用不同的加密程度使得被竊數據沒有可乘之機。

??? 存儲加密

??? 隨著SAN變得日益復雜，大量數據在一個共享的系統里被集成和復制，用戶開始關注存儲數據的安全。McDATA與其合作伙伴攜手合作，不斷開發整合解決方案，對存儲數據進行一目了然的線速加密保護。這些設備使用硬件加密及鑰匙管理把存儲數據鎖上，同時執行整體光纖網絡安全及訪問控制，這些經McDATA認證的解決方案已經被多個政府單位和企業用戶采用。