第14章 确保存储基础设施安全

1、信息存储与管理主讲人：田肖Page 2第十四章确保存储基础设施安全确保存储基础设施安全信息存储与管理Page 3确保存储基础设施安全确保存储基础设施安全n 有价值的信息通常在存储阵列中进行处理和储存有价值的信息通常在存储阵列中进行处理和储存n 存储阵列是可以通过网络来进行访问的存储阵列是可以通过网络来进行访问的n 存储设备便更多地暴露于多种安全威胁之下，这些威胁有可存储设备便更多地暴露于多种安全威胁之下，这些威胁有可能破坏关键业务数据、中断关键服务。能破坏关键业务数据、中断关键服务。n 所以，确保存储基础设施的安全已变成了传统数据中心和虚所以，确保存储基础设施的安全已变成了传统数据中心和虚拟化

2、数据中心存储管理流程中不可缺少的组成部分。拟化数据中心存储管理流程中不可缺少的组成部分。Page 4第十四章 确保存储基础设施安全确保存储基础设施安全章节介绍信息安全框架1风险三元组2存储安全域3保证虚拟化和云环境中存储设施的安全4Page 5确保存储基础设施安全确保存储基础设施安全 p 私密性：需要访问信息的用户要进行认证私密性：需要访问信息的用户要进行认证p 完整性：保证信息不被篡改完整性：保证信息不被篡改p 可用性：有足够充裕的资源可以提供服务可用性：有足够充裕的资源可以提供服务p 可稽核性：发生在数据中心基础设施的所有可稽核性：发生在数据中心基础设施的所有事件和操作都可核查。事件和操作

3、都可核查。构建基本的信息安全框架是为了实构建基本的信息安全框架是为了实现四个安全目标：现四个安全目标：Page 6第十四章 确保存储基础设施安全确保存储基础设施安全章节介绍信息安全框架1风险三元组2存储安全域3保证虚拟化和云环境中存储设施的安全4Page 7确保存储基础设施安全确保存储基础设施安全风险三元组从威胁、资产和漏洞三个方面来定义风险。风险发生在一个威胁方试图利用一个存在的漏洞来对资产的安全服务造成危害。Page 8确保存储基础设施安全确保存储基础设施安全资产p 信息是任何组织机构最重要的一项资产。p 其它资产包括：硬件、软件、以及访问这些信息所需的网络基础设施。Page 9确保存储基

4、础设施安全确保存储基础设施安全威胁p 威胁是潜在的对威胁是潜在的对ITIT基础设施的攻击。基础设施的攻击。p 攻击可以分为主动的攻击、被动的攻击。攻击可以分为主动的攻击、被动的攻击。p 被动的攻击试图获取未经授权的访问，它们对被动的攻击试图获取未经授权的访问，它们对数据的保密性构成威胁。数据的保密性构成威胁。p 主动的攻击包括数据篡改、拒绝服务、低赖攻主动的攻击包括数据篡改、拒绝服务、低赖攻击，它们对数据完整性、可用性和可稽核性构击，它们对数据完整性、可用性和可稽核性构成威胁。成威胁。Page 10确保存储基础设施安全确保存储基础设施安全漏洞p 攻击面、攻击向量、功系数是评价一个环境对于攻击面

5、、攻击向量、功系数是评价一个环境对于安全威胁的脆弱程度时需要考虑的三个因素。安全威胁的脆弱程度时需要考虑的三个因素。p 攻击面指的是一个攻击者可以用来发起一次攻击攻击面指的是一个攻击者可以用来发起一次攻击的各种不同的入口点。的各种不同的入口点。p 攻击向量是指完成一次攻击所必需的一个或一系攻击向量是指完成一次攻击所必需的一个或一系列的步骤。列的步骤。p 功系数指的是开发一个攻击向量所需要投入的时功系数指的是开发一个攻击向量所需要投入的时间和精力。间和精力。Page 11第十四章 确保存储基础设施安全确保存储基础设施安全章节介绍信息安全框架1风险三元组2存储安全域3保证虚拟化和云环境中存储设施的

6、安全4Page 12存储安全域存储安全域p 将存储设备连接到网络会受到从网络而来的将存储设备连接到网络会受到从网络而来的更多的安全威胁，增加了安全风险。更多的安全威胁，增加了安全风险。p 为了识别存储网络中的安全威胁，通往数据为了识别存储网络中的安全威胁，通往数据存储的访问路径可以分为存储的访问路径可以分为3 3个安全域：个安全域：应用程应用程序访问、管理控制访问、序访问、管理控制访问、BURA(BURA(备份、恢复和备份、恢复和归档归档) )Page 13保证应用程序访问域的安全保证应用程序访问域的安全p 应用程序访问域指只有这些应用能够通过文应用程序访问域指只有这些应用能够通过文件系统或数

7、据库接口来访问数据。件系统或数据库接口来访问数据。p 如何保证应用程序访问域的安全？如何保证应用程序访问域的安全？p 控制用户对数据的访问控制用户对数据的访问p 保护存储基础设施保护存储基础设施p 数据加密数据加密Page 14保证管理控制访问域的安全保证管理控制访问域的安全p 管理访问（无论是监视、配置还是管理存储管理访问（无论是监视、配置还是管理存储资源）是和存储网络中的每个设备相关的。资源）是和存储网络中的每个设备相关的。p 如何保证管理访问域的安全？如何保证管理访问域的安全？p 控制管理权限控制管理权限p 保护管理基础设施保护管理基础设施Page 15保证备份、复制和归档的安全保证备份

8、、复制和归档的安全p 备份、复制和归档是针对攻击需要加强安全备份、复制和归档是针对攻击需要加强安全的三个域。的三个域。p 如何保证备份、复制和归档的安全？如何保证备份、复制和归档的安全？p 保护备份、复制和归档基础设施保护备份、复制和归档基础设施p 加密数据加密数据Page 16第十四章 确保存储基础设施安全确保存储基础设施安全章节介绍信息安全框架1风险三元组2存储安全域3保证虚拟化和云环境中存储设施的安全4Page 17保证虚拟化和云环境中存储设施的安全保证虚拟化和云环境中存储设施的安全p 前面的讨论主要集中在传统数据中心面临的安前面的讨论主要集中在传统数据中心面临的安全威胁和应对措施，这些

9、威胁和措施同样也适全威胁和应对措施，这些威胁和措施同样也适用于虚拟化和云环境下的信息储存。但是，虚用于虚拟化和云环境下的信息储存。但是，虚拟化和云环境下的组织机构数据还面临着其他拟化和云环境下的组织机构数据还面临着其他的威胁。的威胁。p 与私有云相比，公有云需要考虑更多的安全因与私有云相比，公有云需要考虑更多的安全因素和应对措施。素和应对措施。Page 18保证虚拟化和云环境中存储设施的安全保证虚拟化和云环境中存储设施的安全组织机构在采用虚拟化和云计算时面临着的主要安全组织机构在采用虚拟化和云计算时面临着的主要安全问题包括：问题包括：多租户机制多租户机制攻击速度攻击速度信息保障信息保障数据保密数据保密Page 19保证虚拟化和云环境中存储设施的安全保证虚拟化和云环境中存储设施的安全保证虚拟化和云环境中存储设施的安全措施：保证虚拟化和云环境中存储设施的安全措施：计算机级的安全计算机级的安全