确保存储基础设施安全

1、信息存储与管理国家天文台科技处信息与计算中心确保管储根底设备平安下一讲：管理存储根底设备上一讲：远程复制确保管储根底设备平安主讲人：滕一民第十五讲网络平安与存储平安一个没有衔接到存储网络的存储设备不是那么脆弱,由于它们没有经过网络暴露在平安要挟之下.许多存放个人信息,金融买卖等重要信息的存储阵列,由于业务需求也被衔接在互联网上,以便用户经过网络进展访问 象google,网上购物,网上订票,网上银行等网站,用户都可以经过网络访问网站,搜索信息,购物,办理业务,这些网站的存储阵列就被以某种方式衔接在互联网上了.互联网衔接着个人计算机,效力器,网络和存储设备,这使得互联网容易遭到各种攻击.对于互联网

2、的平安问题我们大家都会有一些感受和体验,计算机中病毒的情况大家能够都遇到过.网络平安与存储平安存储设备连到互联网上,就使存储设备暴露于多种平安要挟之下,如病毒,木马,黑客攻击等这些要挟有能够破坏关键业务数据,中断关键效力.比如一个购物网站的业务数据被破坏,该给用户送货,也无法送货,比如网上订票网站的业务数据被破坏,该给用户送票却没有送,会给用户带来很大不便,也会损害网站的信誉.假设金融效力网站由于业务数据被破坏而出现问题,能够会给用户或银行呵斥更大损失确保管储网络平安已成为存储管理过程中不可短少的组成部分网络平安与存储平安网络平安是相对的,存储网络平安作为网络平安的一部分也是相对的.网络上没有

3、绝对的平安.Google这样的大公司都会遭到攻击就阐明了这一点.在思索存储网络平安时也需求根据数据的重要性思索本钱.对于象银行这类非常重要的部门的存储系统就需求采取尽能够充分的平安措施来保证系统平安,对于普通的单位就要根据实践情况以及经济上的接受才干来思索存储系统的平安处理方案网络平安与存储平安这次讲座引见一些存储平安的概念和各种技术措施,在实践运用中需求根据情况有选择的采用这些技术措施存储平安是一个综合性的问题，涉及相关的每一个设备，需求采取综合措施，因此会涉及到前面几章讲的各种技术和内容，如RAID，FC交换机的分区，存储的LUN屏蔽，存储虚拟化,备份等本讲主要内容存储平安框架风险三要素存

4、储平安域平安措施的实施存储平安框架根底的平安框架是构建在四个主要的平安效力上的:可稽核性,严密性,完好性和可用性.可稽核性效力: 发生在数据中心根底设备的一切事件和操作都可核对.主要指建立事件日志,可以审计和追溯发生的事件.严密性效力: 提供信息所要求的严密性,保证只需被授权的用户才干访问数据. 如用户认证,对传输中的数据和静态数据加密等. 存储平安框架完好性效力:保证信息不被篡改,探测和防御对信息的未授权的更改和删除.用户认证(既是严密性效力的一部分,也是完好性效力的一部分,防止未被授权的用户访问和篡改信息).完好性效力对传输中的数据和静态数据都要采取维护措施.传输中的数据假设不加密也有被篡

5、改的危险.可用性效力: 保证已授权用户可以可靠和及时地访问计算机系统和这些系统上的数据、运用程序存储平安框架可稽核性,严密性,完好性和可用性是存储平安措施所要实现的目的这四方面是相互关联的,比如假设数据被非法用户删除或篡改了,其可用性显然就谈不上了,这阐明数据的可用性依赖于数据的完好性.假设数据的严密性丧失,比如超级用户口令被非法用户掌握,那么数据以及日志就有被非法访问和删除篡改的危险,可见数据的完好性和可稽核性也依赖于数据的严密性风险三要素风险的定义 风险发生在一个要挟方(攻击者)试图利用一个存在的破绽来访问资产的时侯. 要挟,破绽和资产构成了风险三要素.资产信息是任何组织最重要的一项资产,

6、其他的资产包括硬件,软件以及网络根底设备实施平安措施的两个目的:保证已授权用户可以可靠和及时地访问数据.(即前面讲的可用性)使攻击者访问和危害系统变得非常困难.添加攻击的难度,本钱和代价.资产平安措施提供维护,阻止未授权访问阻止病毒、蠕虫、木马和其他恶意程序攻击加密关键数据停顿一切不用的效力,尽量减少潜在的平安破绽定期安装对操作系统和其他软件的更新复制和备份数据,提供冗余度,防止不测缺点导致数据损失资产衡量存储平安方案的规范破费只占被维护数据价值的一小部分使潜在的攻击者得不偿失要挟要挟是对IT根底设备能够实施的潜在攻击未授权访问篡改 未授权用户篡改数据,包括静态数据和传输中的数据回绝效力 对一

7、个网络或网站发送洪水般的渣滓数据阻止授权用户的合法访问抵赖 针对信息可稽核性的攻击，如篡改日志文件与前面讲的病毒,蠕虫,木马等相比,这里讲的是更有针对性的要挟要挟破绽对于潜在的攻击来说,提供信息访问的途径是最脆弱的环节纵深防御 尽能够维护一个环境内的一切访问点评价网络环境对平安的要挟度 攻击面 攻击者可以发起攻击的各种入口点,如硬件接口,各种协议,管理接口,各种网络效力如ftp,telnet等 攻击向量 完成一次攻击所必需的一个或一系列步骤 功系数 开发一个攻击向量需求投入的时间和精神 破绽方案和部署控制措施减少平安破绽 最小化攻击面 最大化功系数技术性措施经过计算机系统实施非技术措施经过管理

8、和物理控制实施 物理控制 保安人员,防盗门,监控系统,天文台的中心机房就安装了防盗门和监控系统 管理控制 规那么制度,如进出机房要登记 破绽控制措施又可分为 防御性的:部署系统时所能料想到并实现的控制措施 侦测性的:入侵检测系统 矫正性的:攻击被发现后采取矫正措施 存储平安域对于潜在的攻击来说,提供信息访问的途径是最脆弱的环节,因此需求对存储资源的访问途径有一个明晰的了解,通往数据存储的访问途径可以分为三个平安域:运用程序访问 涉及运用程序经过存储网络对存储数据的访问,用户访问途径管理访问 包括对存储,互联设备以及存储数据的管理访问,管理人员 的访问途径BURA(备份,恢复和归档) 备份也需求

9、平安维护存储平安域保证运用程序访问域的平安控制用户对数据的访问维护存储根底设备数据加密控制用户对数据的访问主机A可以访问一切V1卷，主机B可以访问一切V2卷，一种能够的要挟是主机A伪造身份或提升特权访问主机B的资源，另一个要挟能够是一个未授权的主机获得访问权限，访问或篡改数据，另外存储介质失窃也会危害平安控制用户对数据的访问用户认证用户授权 如访问控制表,NAS设备和一些效力器的操作系统,如Windows和Linux都支持访问控制的功能,管理和控制用户对文件和目录的访问权限主机级别的限制访问 主机认证,不同的存储网络技术运用不同的认证协议来认证主机的访问,如挑战握手认证协议(CHAP),光纤通

10、道平安协议(FC-SP)和IPSec. 交换机上的分区将网络划分为多个途径,在不同的途径上传输不同的数据 逻辑单元屏蔽(LUN masking)决议哪些主机可以访问哪些存储设备 主机的WWN与物理端口绑定,从该端口衔接到一个特定的逻辑单元(LUN)控制用户对数据的访问定期审计核对日志记录防止对日志记录的未授权访问,假设日志记录被攻击者篡改,就会丧失审计、稽核的功能维护存储根底设备防止未经认证的主机添加到存储局域网(SAN)存储网络加密: 用IPSec维护基于IP的存储网络 用FC-SP维护FC网络基于角色的访问控制，赋予用户必要的权限，行使角色网络分段: 存储系统的管理网络应在逻辑上与其他的企

11、业网络隔离,只允许访问同一区域内的组件，加强了平安性维护存储根底设备IP网络分段的实现 路由器或防火墙的基于IP地址的包过滤功能 交换机的基于MAC地址的VLAN 端口级的平安措施必需控制对设备的物理访问和FC开关的布线,假设一个设备被未授权用户进展物理访问,那么一切其他平安措施都会失效,导致设备不可靠数据加密数据应在生成后尽快被加密假设在主机不能加密,可以在进入存储网络的节点处运用加密设备来加密数据数据在其生命周期终了时应从硬盘上彻底去除保证管理访问域的平安管理访问包括监视,配置,管理存储资源绝大多数管理软件支持一定方式的命令行界面,系统管理控制台或Web界面,这些是管理访问的根本途径假设管

12、理访问途径出现破绽,会比效力器的破绽呵斥更大危害,由于管理员比普通用户的权限更高保证管理访问域的平安主机B有一个存储管理平台,远程管理添加了攻击面，为减少远程管理访问带来的风险,应运用平安的通讯通道,如SSH,SSL,TLS,加密管理数据流,防止运用telnet,ftp等不平安的效力控制管理权限平安常识：不应该有一个用户对系统的一切方面都有控制权,由于一旦非法用户掌握了这一权限,整个系统就被非法用户控制了应运用基于角色的访问控制,将各种不同的管理功能分配给不同的管理用户, 例如ARP系统就有多个管理帐号,不同的管理功能由不同的管理用户担任审计日志记录控制和维护日志记录，防止篡改部署同步时间的网

13、络时间协议,保证各个设备的日志记录在时间上的一致性维护管理网络根底设备加强管理访问控制 如一些存储设备和交换机可以规定几台主机有管理权,并规定每台主机能运用的管理命令为管理数据流与其他消费数据流分开,如在交换机上为管理主机划分单独的VLAN不用的效力必需在存储网络的每个设备中禁用,使每个设备可访问的接口最小化,减小攻击面保证备份,恢复和存档的平安(BURA)防止攻击者冒充备份效力器的身份,这能够使远程备份在未授权的主机上实施防止备份磁带,磁盘丧失存储网络中平安措施的实施(SAN) FC-SP(Fiber Channel Security Protocol,光纤通道平安协议) 将IP和FC互连的

14、平安机制和算法规范化了SAN平安架构平安战略是基于纵深防御理念，引荐多层平安综合层，在网络存储环境的各种区域和设备上部署平安措施，如效力器，交换机，防火墙，存储阵列上都要部署平安措施表152提供了可以在各种平安区域实施的维护战略的一个列表，表中列出的一些平安机制并不是只针对SAN，如二要素认证已被广泛运用:运用用户名、密码和一个另外的平安组件如一张智能卡进展认证。SAN的平安机制逻辑单元屏蔽(LUN masking) 决议一个主机可以访问哪些LUN分区 保证只需已授权的区域成员才干进展通讯端口绑定 主机与交换机端口绑定,从该端口衔接到一个特定的逻辑单元(LUN)SAN的平安机制全面的交换机控制

15、和全面的网络访问控制 FC交换机上的访问控制表 确定哪些HBA和存储器端口可以作为网络的一部分,防止未授权的设备访问 确定哪些交换机可以作为网络的一部分,防止未授权的交换机参与 SAN的平安机制虚拟SAN(VSAN) VSAN可以在一个物理SAN创建多个逻辑的SAN,可以把不同VSAN看作独立运转的网络, VSAN经过隔离网络事件，并提供更高级别的认证控制，加强了信息的可用性和平安表156描画了一个VSAN中的逻辑分区，三个部门共享交换机设备，但都有本人的逻辑网络，可以当作独立运转的网络.存储网络中平安措施的实施(NAS)答应证明和访问控制列表经过限制存取和共享构成了NAS资源的第一层维护 W

16、indows访问控制列表 自主访问控制列表-决议访问控制 系统访问控制列表-决议哪些访问应该被审计 UNIX权限 一切者、组、全部 rwxr-xr-x 存储网络中平安措施的实施(NAS)认证和授权 NAS设备运用规范的文件共享协议：NFS和CIFS， NAS设备上实施和支持的认证和授权与UINX系统或Windows系统文件共享环境下的方法一样，对UINX系统用网络信息系统NIS效力器验证网络用户，对Windows系统用户经过一个拥有活动目录的Windows域控制器进展验证存储网络中平安措施的实施(NAS)图157描画了NAS环境下的认证过程KerberosKerberos是一个网络认证协议,为客户/效力器运用程序提供强认证技术，运用密钥加密的方法实现，先进展身份认证，再进展权限认证存储网络中平安措施的实施(NAS)网络层防火墙维护NAS设备不受公共IP网络的各种攻击的损害检查网络数据包,与设定的平安规那么比较,没有经过平安规那么的数据包被丢弃宽松的规那么会降低平安性如以下图效力器被放在两套防火墙之间,特定端口的