搜索
信息存储与管理国家天文台(科技处)信息与计算中心确保存储基础设施安全下一讲:管理存储基础设施上一讲:远程复制确保存储基础设施安全主讲人:滕一民第十五讲网络安全与存储安全一个没有连接到存储网络的存储设备不是那么脆弱,因为它们没有通过网络暴露在安全威胁之下.许多存放个人信息,金融交易等重要信息的存储阵列,由于业务需要也被连接在互联网上,以便用户通过网络进行访问象google,网上购物,网上订票,网上银行等网站,用户都可以通过网络访问网站,搜索信息,购物,办理业务,这些网站的存储阵列就被以某种方式连接在互联网上了.互联网连接着个人计算机,服务器,网络和存储设备,这使得互联网容易受到各种攻击.对于互联网的安全问题我们大家都会有一些感受和体验,计算机中病毒的情况大家可能都遇到过.网络安全与存储安全存储设备连到互联网上,就使存储设备暴露于多种安全威胁之下,如病毒,木马,黑客攻击等这些威胁有可能破坏关键业务数据,中断关键服务.比如一个购物网站的业务数据被破坏,该给用户送货,也无法送货,比如网上订票网站的业务数据被破坏,该给用户送票却没有送,会给用户带来很大不便,也会损害网站的信誉.如果金融服务网站由于业务数据被破坏而出现问题,可能会给用户或银行造成更大损失确保存储网络安全已成为存储管理过程中不可缺少的组成部分网络安全与存储安全网络安全是相对的,存储网络安全作为网络安全的一部分也是相对的.网络上没有绝对的安全.Google这样的大公司都会受到攻击就说明了这一点.在考虑存储网络安全时也需要根据数据的重要性考虑成本.对于象银行这类非常重要的部门的存储系统就需要采取尽可能充分的安全措施来保证系统安全,对于一般的单位就要根据实际情况以及经济上的承受能力来考虑存储系统的安全解决方案网络安全与存储安全这次讲座介绍一些存储安全的概念和各种技术措施,在实际应用中需要根据情况有选择的采用这些技术措施存储安全是一个综合性的问题,涉及相关的每一个设备,需要采取综合措施,因此会涉及到前面几章讲的各种技术和内容,如RAID,FC交换机的分区,存储的LUN屏蔽,存储虚拟化,备份等本讲主要内容存储安全框架风险三要素存储安全域安全措施的实施存储安全框架基础的安全框架是构建在四个主要的安全服务上的:可稽核性,保密性,完整性和可用性.可稽核性服务:发生在数据中心基础设施的所有事件和操作都可核查.主要指建立事件日志,可以审计和追溯发生的事件.保密性服务:提供信息所要求的保密性,保证只有被授权的用户才能访问数据.如用户认证,对传输中的数据和静态数据加密等.存储安全框架完整性服务:保证信息不被篡改,探测和防御对信息的未授权的更改和删除.用户认证(既是保密性服务的一部分,也是完整性服务的一部分,防止未被授权的用户访问和篡改信息).完整性服务对传输中的数据和静态数据都要采取保护措施.传输中的数据如果不加密也有被篡改的危险.可用性服务:保证已授权用户能够可靠和及时地访问计算机系统和这些系统上的数据、应用程序存储安全框架可稽核性,保密性,完整性和可用性是存储安全措施所要实现的目的这四方面是相互关联的,比如如果数据被非法用户删除或篡改了,其可用性显然就谈不上了,这说明数据的可用性依赖于数据的完整性.如果数据的保密性丧失,比如超级用户口令被非法用户掌握,那么数据以及日志就有被非法访问和删除篡改的危险,可见数据的完整性和可稽核性也依赖于数据的保密性风险三要素风险的定义风险发生在一个威胁方(攻击者)试图利用一个存在的漏洞来访问资产的时侯.威胁,漏洞和资产构成了风险三要素.资产信息是任何组织最重要的一项资产,其他的资产包括硬件,软件以及网络基础设施实施安全措施的两个目标:保证已授权用户能够可靠和及时地访问数据.(即前面讲的可用性)使攻击者访问和危害系统变得非常困难.增加攻击的难度,成本和代价.资产安全措施提供保护,阻止未授权访问阻止病毒、蠕虫、木马和其他恶意程序攻击加密关键数据停止所有不用的服务,尽量减少潜在的安全漏洞定期安装对操作系统和其他软件的更新复制和备份数据,提供冗余度,防止意外故障导致数据损失资产衡量存储安全方案的标准花费只占被保护数据价值的一小部分使潜在的攻击者得不偿失威胁威胁是对IT基础设施可能实施的潜在攻击未授权访问篡改未授权用户篡改数据,包括静态数据和传输中的数据拒绝服务对一个网络或网站发送洪水般的垃圾数据阻止授权用户的合法访问抵赖针对信息可稽核性的攻击,如篡改日志文件与前面讲的病毒,蠕虫,木马等相比,这里讲的是更有针对性的威胁威胁漏洞对于潜在的攻击来说,提供信息访问的路径是最脆弱的环节纵深防御尽可能保护一个环境内的所有访问点评估网络环境对安全的威胁度攻击面攻击者可以发起攻击的各种入口点,如硬件接口,各种协议,管理接口,各种网络服务如ftp,telnet等攻击向量完成一次攻击所必需的一个或一系列步骤功系数开发一个攻击向量需要投入的时间和精力漏洞计划和部署控制措施减少安全漏洞最小化攻击面最大化功系数技术性措施通过计算机系统实施非技术措施通过管理和物理控制实施物理控制保安人员,防盗门,监控系统,天文台的中心机房就安装了防盗门和监控系统管理控制规则制度,如进出机房要登记漏洞控制措施又可分为防御性的:部署系统时所能预想到并实现的控制措施侦测性的:入侵检测系统矫正性的:攻击被发现后采取矫正措施存储安全域对于潜在的攻击来说,提供信息访问的路径是最脆弱的环节,因此需要对存储资源的访问路径有一个清晰的理解,通往数据存储的访问路径可以分为三个安全域:应用程序访问涉及应用程序通过存储网络对存储数据的访问,用户访问路径管理访问包括对存储,互联设备以及存储数据的管理访问,管理人员的访问路径BURA(备份,恢复和归档)备份也需要安全保护存储安全域保证应用程序访问域的安全控制用户对数据的访问保护存储基础设施数据加密控制用户对数据的访问主机A可以访问所有V1卷,主机B可以访问所有V2卷,一种可能的威胁是主机A伪造身份或提升特权访问主机B的资源,另一个威胁可能是一个未授权的主机获得访问权限,访问或篡改数据,另外存储介质失窃也会危害安全控制用户对数据的访问用户认证用户授权如访问控制表,NAS设备和一些服务器的操作系统,如Windows和Linux都支持访问控制的功能,管理和控制用户对文件和目录的访问权限主机级别的限制访问主机认证,不同的存储网络技术使用不同的认证协议来认证主机的访问,如挑战握手认证协议(CHAP),光纤通道安全协议(FC-SP)和IPSec.交换机上的分区将网络划分为多个路径,在不同的路径上传输不同的数据逻辑单元屏蔽(LUNmasking)决定哪些主机可以访问哪些存储设备主机的WWN与物理端口绑定,从该端口连接到一个特定的逻辑单元(LUN)控制用户对数据的访问定期审计核查日志记录防止对日志记录的未授权访问,如果日志记录被攻击者篡改,就会丧失审计、稽核的功能保护存储基础设施防止未经认证的主机添加到存储局域网(SAN)存储网络加密:用IPSec保护基于IP的存储网络用FC-SP保护FC网络基于角色的访问控制,赋予用户必要的权限,行使角色网络分段:存储系统的管理网络应在逻辑上与其他的企业网络隔离,只允许访问同一区域内的组件,增强了安全性保护存储基础设施IP网络分段的实现路由器或防火墙的基于IP地址的包过滤功能交换机的基于MAC地址的VLAN端口级的安全措施必须控制对设备的物理访问和FC开关的布线,如果一个设备被未授权用户进行物理访问,那么所有其他安全措施都会失效,导致设备不可靠数据加密数据应在生成后尽快被加密如果在主机不能加密,可以在进入存储网络的节点处使用加密设备来加密数据数据在其生命周期结束时应从硬盘上彻底清除保证管理访问域的安全管理访问包括监视,配置,管理存储资源绝大多数管理软件支持一定形式的命令行界面,系统管理控制台或Web界面,这些是管理访问的基本路径如果管理访问路径出现漏洞,会比服务器的漏洞造成更大危害,因为管理员比普通用户的权限更高保证管理访问域的安全主机B有一个存储管理平台,远程管理增加了攻击面,为减少远程管理访问带来的风险,应使用安全的通信通道,如SSH,SSL,TLS,加密管理数据流,避免使用telnet,ftp等不安全的服务控制管理权限安全常识:不应该有一个用户对系统的所有方面都有控制权,因为一旦非法用户掌握了这一权限,整个系统就被非法用户控制了应使用基于角色的访问控制,将各种不同的管理功能分配给不同的管理用户,例如ARP系统就有多个管理帐号,不同的管理功能由不同的管理用户负责审计日志记录控制和保护日志记录,防止篡改部署同步时间的网络时间协议,保证各个设备的日志记录在时间上的一致性保护管理网络基础设施加强管理访问控制如一些存储设备和交换机可以规定几台主机有管理权,并规定每台主机能使用的管理命令为管理数据流与其他生产数据流分开,如在交换机上为管理主机划分单独的VLAN不用的服务必须在存储网络的每个设备中禁用,使每个设备可访问的接口最小化,减小攻击面保证备份,恢复和存档的安全(BURA)防止攻击者假冒备份服务器的身份,这可能使远程备份在未授权的主机上实施防止备份磁带,磁盘丢失存储网络中安全措施的实施(SAN)FC-SP(FiberChannelSecurityProtocol,光纤通道安全协议)将IP和FC互连的安全机制和算法标准化了SAN安全架构安全战略是基于纵深防御理念,推荐多层安全综合层,在网络存储环境的各种区域和设备上部署安全措施,如服务器,交换机,防火墙,存储阵列上都要部署安全措施表15-2提供了可以在各种安全区域实施的保护策略的一个列表,表中列出的一些安全机制并不是只针对SAN,如二因素认证已被广泛应用:使用用户名、密码和一个另外的安全组件(如一张智能卡)进行认证。SAN的安全机制逻辑单元屏蔽(LUNmasking)决定一个主机可以访问哪些LUN分区保证只有已授权的区域成员才能进行通信端口绑定主机与交换机端口绑定,从该端口连接到一个特定的逻辑单元(LUN)SAN的安全机制全面的交换机控制和全面的网络访问控制FC交换机上的访问控制表确定哪些HBA和存储器端口可以作为网络的一部分,防止未授权的设备访问确定哪些交换机可以作为网络的一部分,防止未授权的交换机加入SAN的安全机制虚拟SAN(VSAN)VSAN可以在一个物理SAN创建多个逻辑的SAN,可以把不同VSAN看作独立运行的网络,VSAN通过隔离网络事件,并提供更高级别的认证控制,增强了信息的可用性和安全表15-6描述了一个VSAN中的逻辑分区,三个部门共享交换机设备,但都有自己的逻辑网络,可以当作独立运行的网络.存储网络中安全措施的实施(NAS)许可证明和访问控制列表通过限制存取和共享构成了NAS资源的第一层保护Windows访问控制列表自主访问控制列表-决定访问控制系统访问控制列表-决定哪些访问应该被审计UNIX权限所有者、组、全部rwxr-xr-x存储网络中安全措施的实施(NAS)认证和授权NAS设备使用标准的文件共享协议:NFS和CIFS,NAS设备上实施和支持的认证和授权与UINX系统或Windows系统文件共享环境下的方法相同,对UINX系统用网络信息系统(NIS)服务器验证网络用户,对Windows系统用户通过一个拥有活动目录的Windows域控制器进行验证存储网络中安全措施的实施(NAS)图15-7描述了NAS环境下的认证过程KerberosKerberos是一个网络认证协议,为客户/服务器应用程序提供强认证技术,使用密钥加密的方法实现,先进行身份认证,再进行权限认证存储网络中安全措施的实施(NAS)网络层防火墙保护NAS设备不受公共IP网络的各种攻击的侵害检查网络数据包,与设定的安全规则比较,没有通过安全规则的数据包被丢弃宽松的规则会降低安全性如下图服务器被放在两套防火墙之间,特定端口