最新-確保存儲基礎設施安全

1、確保存儲根底設施平安確保存儲根底設施平安-PowerPointPresen-PowerPointPresen確保存儲根底設施平安下一講：管理存儲根底設施上一講：遠程復制確保存儲根底設施平安主講人：滕一民第十五講網(wǎng)絡平安與存儲平安v 一個沒有連接到存儲網(wǎng)絡的存儲設備不是那么脆弱,因為它們沒有通過網(wǎng)絡暴露在平安威脅之下.v 許多存放個人信息,金融交易等重要信息的存儲陣列,由于業(yè)務需要也被連接在互聯(lián)網(wǎng)上,以便用戶通過網(wǎng)絡進行訪問v 象google,網(wǎng)上購物,網(wǎng)上訂票,網(wǎng)上銀行等網(wǎng)站,用戶都可以通過網(wǎng)絡訪問網(wǎng)站,搜索信息,購物,辦理業(yè)務,這些網(wǎng)站的存儲陣列就被以某種方式連接在互聯(lián)網(wǎng)上了.v 互聯(lián)網(wǎng)連接

2、著個人計算機,效勞器,網(wǎng)絡和存儲設備,這使得互聯(lián)網(wǎng)容易受到各種攻擊.對于互聯(lián)網(wǎng)的平安問題我們大家都會有一些感受和體驗,計算機中病毒的情況大家可能都遇到過.網(wǎng)絡平安與存儲平安v存儲設備連到互聯(lián)網(wǎng)上,就使存儲設備暴露于多種平安威脅之下,如病毒,木馬,黑客攻擊等v這些威脅有可能破壞關鍵業(yè)務數(shù)據(jù),中斷關鍵效勞.比方一個購物網(wǎng)站的業(yè)務數(shù)據(jù)被破壞,該給用戶送貨,也無法送貨,比方網(wǎng)上訂票網(wǎng)站的業(yè)務數(shù)據(jù)被破壞,該給用戶送票卻沒有送,會給用戶帶來很大不便,也會損害網(wǎng)站的信譽.如果金融效勞網(wǎng)站由于業(yè)務數(shù)據(jù)被破壞而出現(xiàn)問題,可能會給用戶或銀行造成更大損失v確保存儲網(wǎng)絡平安已成為存儲管理過程中不可缺少的組成局部網(wǎng)絡平

3、安與存儲平安v網(wǎng)絡平安是相對的,存儲網(wǎng)絡平安作為網(wǎng)絡平安的一局部也是相對的.網(wǎng)絡上沒有絕對的平安.Google這樣的大公司都會受到攻擊就說明了這一點.在考慮存儲網(wǎng)絡平安時也需要根據(jù)數(shù)據(jù)的重要性考慮本錢.v對于象銀行這類非常重要的部門的存儲系統(tǒng)就需要采取盡可能充分的平安措施來保證系統(tǒng)平安,對于一般的單位就要根據(jù)實際情況以及經(jīng)濟上的承受能力來考慮存儲系統(tǒng)的平安解決方案網(wǎng)絡平安與存儲平安v這次講座介紹一些存儲平安的概念和各種技術措施,在實際應用中需要根據(jù)情況有選擇的采用這些技術措施v存儲平安是一個綜合性的問題，涉及相關的每一個設備，需要采取綜合措施，因此會涉及到前面幾章講的各種技術和內(nèi)容，如RAID

4、，F(xiàn)C交換機的分區(qū)，存儲的LUN屏蔽，存儲虛擬化,備份等v本講主要內(nèi)容v存儲平安框架v風險三要素v存儲平安域v平安措施的實施存儲平安框架v根底的平安框架是構建在四個主要的平安效勞上的:可稽核性,保密性,完整性和可用性.v可稽核性效勞:v 發(fā)生在數(shù)據(jù)中心根底設施的所有事件和操作都可核查.主要指建立事件日志,可以審計和追溯發(fā)生的事件.v保密性效勞:v 提供信息所要求的保密性,保證只有被授權的用戶才能訪問數(shù)據(jù).v 如用戶認證,對傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)加密等. 存儲平安框架v完整性效勞完整性效勞:v保證信息不被篡改保證信息不被篡改,探測和防御對信息的未授權的探測和防御對信息的未授權的更改和刪除更改和刪

5、除.v用戶認證用戶認證(既是保密性效勞的一局部既是保密性效勞的一局部,也是完整性也是完整性效勞的一局部效勞的一局部,防止未被授權的用戶訪問和篡改信防止未被授權的用戶訪問和篡改信息息).v完整性效勞對傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)都要采取完整性效勞對傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)都要采取保護措施保護措施.傳輸中的數(shù)據(jù)如果不加密也有被篡改的傳輸中的數(shù)據(jù)如果不加密也有被篡改的危險危險.v可用性效勞可用性效勞:v 保證已授權用戶能夠可靠和及時地訪問計算機保證已授權用戶能夠可靠和及時地訪問計算機系統(tǒng)和這些系統(tǒng)上的數(shù)據(jù)、應用程序系統(tǒng)和這些系統(tǒng)上的數(shù)據(jù)、應用程序存儲平安框架可稽核性,保密性,完整性和可用性是存儲平安措施所要

6、實現(xiàn)的目的這四方面是相互關聯(lián)的,比方如果數(shù)據(jù)被非法用戶刪除或篡改了,其可用性顯然就談不上了,這說明數(shù)據(jù)的可用性依賴于數(shù)據(jù)的完整性.如果數(shù)據(jù)的保密性喪失,比方超級用戶口令被非法用戶掌握,那么數(shù)據(jù)以及日志就有被非法訪問和刪除篡改的危險,可見數(shù)據(jù)的完整性和可稽核性也依賴于數(shù)據(jù)的保密性風險三要素v風險的定義 風險風險發(fā)生在一個威脅威脅方(攻擊者)試圖利用一個存在的漏洞漏洞來訪問資產(chǎn)資產(chǎn)的時侯. 威脅威脅,漏洞漏洞和資產(chǎn)資產(chǎn)構成了風險三要素.資產(chǎn)v信息是任何組織最重要的一項資產(chǎn)信息是任何組織最重要的一項資產(chǎn),其他的資產(chǎn)包其他的資產(chǎn)包括硬件括硬件,軟件以及網(wǎng)絡根底設施軟件以及網(wǎng)絡根底設施v實施平安措施的兩

7、個目標實施平安措施的兩個目標:v保證已授權用戶能夠可靠和及時地訪問數(shù)據(jù)保證已授權用戶能夠可靠和及時地訪問數(shù)據(jù).(即即前面講的可用性前面講的可用性)v使攻擊者訪問和危害系統(tǒng)變得非常困難使攻擊者訪問和危害系統(tǒng)變得非常困難.增加攻擊增加攻擊的難度的難度,本錢和代價本錢和代價.資產(chǎn)v平安措施v提供保護,阻止未授權訪問v阻止病毒、蠕蟲、木馬和其他惡意程序攻擊v加密關鍵數(shù)據(jù)v停止所有不用的效勞,盡量減少潛在的平安漏洞v定期安裝對操作系統(tǒng)和其他軟件的更新v復制和備份數(shù)據(jù),提供冗余度,防止意外故障導致數(shù)據(jù)損失資產(chǎn)v衡量存儲平安方案的標準v花費只占被保護數(shù)據(jù)價值的一小局部v使?jié)撛诘墓粽叩貌粌斒{v威脅是對威

8、脅是對IT根底設施可能實施的潛在攻擊根底設施可能實施的潛在攻擊v未授權訪問未授權訪問v篡改篡改v 未授權用戶篡改數(shù)據(jù)未授權用戶篡改數(shù)據(jù),包括靜態(tài)數(shù)據(jù)和傳輸中的包括靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)數(shù)據(jù)v拒絕效勞拒絕效勞v 對一個網(wǎng)絡或網(wǎng)站發(fā)送洪水般的垃圾數(shù)據(jù)阻止對一個網(wǎng)絡或網(wǎng)站發(fā)送洪水般的垃圾數(shù)據(jù)阻止授權用戶的合法訪問授權用戶的合法訪問v抵賴抵賴v 針對信息可稽核性的攻擊，如篡改日志文件針對信息可稽核性的攻擊，如篡改日志文件v與前面講的病毒與前面講的病毒,蠕蟲蠕蟲,木馬等相比木馬等相比,這里講的是更這里講的是更有針對性的威脅有針對性的威脅威脅漏洞v 對于潛在的攻擊來說,提供信息訪問的路徑是最脆弱的環(huán)節(jié)v

9、縱深防御v 盡可能保護一個環(huán)境內(nèi)的所有訪問點v 評估網(wǎng)絡環(huán)境對平安的威脅度v 攻擊面v 攻擊者可以發(fā)起攻擊的各種入口點,如硬件接口,各種協(xié)議,管理接口,各種網(wǎng)絡效勞如ftp,telnet等v 攻擊向量v 完成一次攻擊所必需的一個或一系列步驟v 功系數(shù)v 開發(fā)一個攻擊向量需要投入的時間和精力v 漏洞方案和部署控制措施減少平安漏洞 最小化攻擊面 最大化功系數(shù)技術性措施通過計算機系統(tǒng)實施非技術措施通過管理和物理控制實施 物理控制 保安人員,防盜門,監(jiān)控系統(tǒng),天文臺的中心機房就安裝了防盜門和監(jiān)控系統(tǒng) 管理控制 規(guī)那么制度,如進出機房要登記 漏洞v控制措施又可分為 防御性的:部署系統(tǒng)時所能預想到并實現(xiàn)的

10、控制措施 偵測性的:入侵檢測系統(tǒng) 矯正性的:攻擊被發(fā)現(xiàn)后采取矯正措施 存儲平安域v 對于潛在的攻擊來說,提供信息訪問的路徑是最脆弱的環(huán)節(jié),因此需要對存儲資源的訪問路徑有一個清晰的理解,通往數(shù)據(jù)存儲的訪問路徑可以分為三個平安域:v 應用程序訪問v 涉及應用程序通過存儲網(wǎng)絡對存儲數(shù)據(jù)的訪問,用戶訪問路徑v 管理訪問v 包括對存儲,互聯(lián)設備以及存儲數(shù)據(jù)的管理訪問,管理人員 的訪問路徑v BURA(備份,恢復和歸檔)v 備份也需要平安保護存儲平安域保證應用程序訪問域的平安v控制用戶對數(shù)據(jù)的訪問v保護存儲根底設施v數(shù)據(jù)加密控制用戶對數(shù)據(jù)的訪問v 主機A可以訪問所有V1卷，主機B可以訪問所有V2卷，一種可

11、能的威脅是主機A偽造身份或提升特權訪問主機B的資源，另一個威脅可能是一個未授權的主機獲得訪問權限，訪問或篡改數(shù)據(jù)，另外存儲介質(zhì)失竊也會危害平安控制用戶對數(shù)據(jù)的訪問v 用戶認證v 用戶授權v 如訪問控制表,NAS設備和一些效勞器的操作系統(tǒng),如Windows和Linux都支持訪問控制的功能,管理和控制用戶對文件和目錄的訪問權限v 主機級別的限制訪問v 主機認證,不同的存儲網(wǎng)絡技術使用不同的認證協(xié)議來認證主機的訪問,如挑戰(zhàn)握手認證協(xié)議(CHAP),光纖通道平安協(xié)議(FC-SP)和IPSec.v 交換機上的分區(qū)將網(wǎng)絡劃分為多個路徑,在不同的路徑上傳輸不同的數(shù)據(jù)v 邏輯單元屏蔽(LUN masking)

12、決定哪些主機可以訪問哪些存儲設備v 主機的WWN與物理端口綁定,從該端口連接到一個特定的邏輯單元(LUN)控制用戶對數(shù)據(jù)的訪問v定期審計核查日志記錄v防止對日志記錄的未授權訪問,如果日志記錄被攻擊者篡改,就會喪失審計、稽核的功能保護存儲根底設施v防止未經(jīng)認證的主機添加到存儲局域網(wǎng)(SAN)v存儲網(wǎng)絡加密:v 用IPSec保護基于IP的存儲網(wǎng)絡v 用FC-SP保護FC網(wǎng)絡v基于角色的訪問控制，賦予用戶必要的權限，行使角色v網(wǎng)絡分段:v 存儲系統(tǒng)的管理網(wǎng)絡應在邏輯上與其他的企業(yè)網(wǎng)絡隔離,只允許訪問同一區(qū)域內(nèi)的組件，增強了平安性保護存儲根底設施vIP網(wǎng)絡分段的實現(xiàn)v 路由器或防火墻的基于IP地址的包

13、過濾功能v 交換機的基于MAC地址的VLANv 端口級的平安措施v必須控制對設備的物理訪問和FC開關的布線,如果v一個設備被未授權用戶進行物理訪問,那么所有其他平安措施都會失效,導致設備不可靠數(shù)據(jù)加密v數(shù)據(jù)應在生成后盡快被加密v如果在主機不能加密,可以在進入存儲網(wǎng)絡的節(jié)點處使用加密設備來加密數(shù)據(jù)v數(shù)據(jù)在其生命周期結(jié)束時應從硬盤上徹底去除保證管理訪問域的平安v管理訪問包括監(jiān)視,配置,管理存儲資源v絕大多數(shù)管理軟件支持一定形式的命令行界面,系統(tǒng)管理控制臺或Web界面,這些是管理訪問的根本路徑v如果管理訪問路徑出現(xiàn)漏洞,會比效勞器的漏洞造成更大危害,因為管理員比普通用戶的權限更高保證管理訪問域的平安

14、v 主機B有一個存儲管理平臺,遠程管理增加了攻擊面，為減少遠程管理訪問帶來的風險,應使用平安的通信通道,如SSH,SSL,TLS,加密管理數(shù)據(jù)流,防止使用telnet,ftp等不平安的效勞控制管理權限v 平安常識：不應該有一個用戶對系統(tǒng)的所有方面都有控制權,因為一旦非法用戶掌握了這一權限,整個系統(tǒng)就被非法用戶控制了v 應使用基于角色的訪問控制,將各種不同的管理功能分配給不同的管理用戶, 例如ARP系統(tǒng)就有多個管理帳號,不同的管理功能由不同的管理用戶負責v 審計日志記錄v 控制和保護日志記錄，防止篡改v 部署同步時間的網(wǎng)絡時間協(xié)議,保證各個設備的日志記錄在時間上的一致性保護管理網(wǎng)絡根底設施v加強

15、管理訪問控制v 如一些存儲設備和交換機可以規(guī)定幾臺主機有管理權,并規(guī)定每臺主機能使用的管理命令v為管理數(shù)據(jù)流與其他生產(chǎn)數(shù)據(jù)流分開,如在交換機上為管理主機劃分單獨的VLANv不用的效勞必須在存儲網(wǎng)絡的每個設備中禁用,使每個設備可訪問的接口最小化,減小攻擊面保證備份,恢復和存檔的平安(BURA)v 防止攻擊者假冒備份效勞器的身份,這可能使遠程備份在未授權的主機上實施v 防止備份磁帶,磁盤喪失存儲網(wǎng)絡中平安措施的實施(SAN)v FC-SP(Fiber Channel Security Protocol,光纖通道平安協(xié)議)v 將IP和FC互連的平安機制和算法標準化了SAN平安架構v 平安戰(zhàn)略是基于縱

16、深防御理念，推薦多層平安綜合層，在網(wǎng)絡存儲環(huán)境的各種區(qū)域和設備上部署平安措施，如效勞器，交換機，防火墻，存儲陣列上都要部署平安措施v 表152提供了可以在各種平安區(qū)域?qū)嵤┑谋Ｗo策略的一個列表，表中列出的一些平安機制并不是只針對SAN，如二因素認證已被廣泛應用:使用用戶名、密碼和一個另外的平安組件如一張智能卡進行認證。SAN的平安機制v邏輯單元屏蔽(LUN masking) 決定一個主機可以訪問哪些LUNv分區(qū) 保證只有已授權的區(qū)域成員才能進行通信v端口綁定 主機與交換機端口綁定,從該端口連接到一個特定的邏輯單元(LUN)SAN的平安機制v全面的交換機控制和全面的網(wǎng)絡訪問控制v FC交換機上的訪

17、問控制表v 確定哪些HBA和存儲器端口可以作為網(wǎng)絡的一局部,防止未授權的設備訪問v 確定哪些交換機可以作為網(wǎng)絡的一局部,防止未授權的交換機參加v SAN的平安機制v虛擬SAN(VSAN)v VSAN可以在一個物理SAN創(chuàng)立多個邏輯的SAN,可以把不同VSAN看作獨立運行的網(wǎng)絡, VSAN通過隔離網(wǎng)絡事件，并提供更高級別的認證控制，增強了信息的可用性和平安v 表156描述了一個VSAN中的邏輯分區(qū)，三個部門共享交換機設備，但都有自己的邏輯網(wǎng)絡，可以當作獨立運行的網(wǎng)絡.存儲網(wǎng)絡中平安措施的實施(NAS)v許可證明和訪問控制列表通過限制存取和共享構成了NAS資源的第一層保護 Windows訪問控制列

18、表 自主訪問控制列表-決定訪問控制 系統(tǒng)訪問控制列表-決定哪些訪問應該被審計 UNIX權限 所有者、組、全部 rwxr-xr-x 存儲網(wǎng)絡中平安措施的實施(NAS)v認證和授權v NAS設備使用標準的文件共享協(xié)議：NFS和CIFS， NAS設備上實施和支持的認證和授權與UINX系統(tǒng)或Windows系統(tǒng)文件共享環(huán)境下的方法相同，對UINX系統(tǒng)用網(wǎng)絡信息系統(tǒng)NIS效勞器驗證網(wǎng)絡用戶，對Windows系統(tǒng)用戶通過一個擁有活動目錄的Windows域控制器進行驗證存儲網(wǎng)絡中平安措施的實施(NAS)v 圖157描述了NAS環(huán)境下的認證過程Kerberosv Kerberos是一個網(wǎng)絡認證協(xié)議,為客戶/效勞器應用程序提供強認證技術，使用密鑰加密的方法實現(xiàn)，先進行身份認證，再進行權限認證存儲網(wǎng)絡中平安措施的實施(NAS)v網(wǎng)絡層防火墻v保護NAS設備不受公共IP網(wǎng)絡的各種攻擊的侵害v檢查網(wǎng)絡數(shù)據(jù)包,與設定的平安規(guī)那么比較,沒有通過平安規(guī)那么的數(shù)據(jù)包被丟棄v寬松的規(guī)那么會降低平安性v