孫煒剛　王焱

摘 要：隨著大容量網(wǎng)絡(luò)存儲系統(tǒng)的大規(guī)模應(yīng)用，存儲環(huán)境及存儲結(jié)構(gòu)發(fā)生了顯著的變化，網(wǎng)絡(luò)存儲安全面臨嚴(yán)峻的挑戰(zhàn)。SAN存儲網(wǎng)絡(luò)由于通常使用專用局域網(wǎng)絡(luò)，專門處理在數(shù)據(jù)中心內(nèi)的主機與目標(biāo)設(shè)備之間的數(shù)據(jù)通訊問題，從而給人感覺具有比較高的安全性。然而由于存儲區(qū)域網(wǎng)絡(luò)能夠共享存儲資源，使得SAN具有潛在的不安全性，該文針對SAN存儲中企業(yè)核心數(shù)據(jù)的安全問題，從物理存儲區(qū)域部署、數(shù)據(jù)傳輸、數(shù)據(jù)冗余、數(shù)據(jù)授權(quán)訪問等各個環(huán)節(jié)進行了安全建設(shè)的探討，提出了全方位多層次保障SAN存儲網(wǎng)絡(luò)安全的方法。

關(guān)鍵詞：SAN 安全 分區(qū) 數(shù)據(jù)加密 鏡像 授權(quán)訪問

中圖分類號：TP30 文獻標(biāo)識碼：A 文章編號：1674-098X（2015）11（b）-0122-03

近年來，隨著互聯(lián)網(wǎng)及電子政務(wù)、電子商務(wù)以及其他相關(guān)應(yīng)用的迅速發(fā)展，數(shù)據(jù)成為網(wǎng)絡(luò)中最珍貴的資產(chǎn)，數(shù)據(jù)存儲在容量上和性能上的要求越來越高，存儲系統(tǒng)日益成為企業(yè)信息系統(tǒng)的核心。SAN是使用高速鏈路將存儲設(shè)備和服務(wù)器連接在一起而形成的網(wǎng)絡(luò)，SAN存儲網(wǎng)絡(luò)在存儲規(guī)模、可擴展性、靈活性、存儲速度、集成化管理等方面具有優(yōu)勢，已經(jīng)被越來越多地使用在存儲系統(tǒng)的構(gòu)建中。有效解決SAN存儲網(wǎng)絡(luò)在數(shù)據(jù)使用、傳輸和存儲中的安全問題，成為SAN存儲系統(tǒng)建設(shè)的重要任務(wù)。

1 SAN架構(gòu)存在的主要安全問題

（1）與傳統(tǒng)單臺服務(wù)器直接連接自己的專屬存儲設(shè)備不同，一個SAN存儲陣列通常供多臺運行著不同操作系統(tǒng)的服務(wù)器訪問，這就意味著必須有嚴(yán)格的措施來控制數(shù)據(jù)訪問的范圍，同時影響SAN的安全因素擴大，不可能僅僅依賴于單臺服務(wù)器操作系統(tǒng)的安全性。此外，SAN存儲網(wǎng)絡(luò)中還包含F(xiàn)C交換機、管理控制設(shè)備、備份服務(wù)器等許多其他設(shè)備，也大大增加了SAN存儲網(wǎng)絡(luò)遭到安全威脅的風(fēng)險和被攻擊的幾率。

（2）任何網(wǎng)絡(luò)主要的數(shù)據(jù)安全威脅來自非授權(quán)訪問，尤其是管理接口。一旦惡意用戶獲得到與存儲區(qū)域網(wǎng)絡(luò)（SAN）相連接服務(wù)器管理員的權(quán)限，入侵者就可以訪問任何一個和SAN連接的系統(tǒng)，從而造成嚴(yán)重的數(shù)據(jù)失竊。

（3）一些網(wǎng)絡(luò)嗅探工具會攔截SAN中傳輸?shù)臄?shù)據(jù)，如果數(shù)據(jù)是以明文形式傳輸?shù)?，就很容易被黑客解析還原，從而導(dǎo)致敏感信息被竊。

（4）存儲設(shè)備中以明文存儲的數(shù)據(jù)，如果存儲介質(zhì)被竊取，將造成敏感數(shù)據(jù)失密事件。數(shù)據(jù)在靜態(tài)存儲下的安全問題是至關(guān)重要的，應(yīng)避免數(shù)據(jù)以明文的形式存儲。

（5）由于某種原因，存儲系統(tǒng)遭到破壞時，損毀的部件可能導(dǎo)致整個存儲系統(tǒng)癱瘓，因此必須保證存儲系統(tǒng)擁有足夠的冗余性，以確保數(shù)據(jù)安全和數(shù)據(jù)恢復(fù)。

（6）來自外部的存儲網(wǎng)絡(luò)安全威脅有：拒絕服務(wù)攻擊、中間人、電子欺騙等。拒絕服務(wù)攻擊使資源過載，從而阻止了合法用戶訪問資源；中間人攻擊冒合法交換機地址，一旦數(shù)據(jù)流向該偽造交換機，傳輸?shù)臄?shù)據(jù)就被竊聽和泄漏；電子欺騙攻擊利用有漏洞的合法程序向存儲網(wǎng)絡(luò)發(fā)出請求，從而竊取數(shù)據(jù)。

2 SAN存儲安全問題的主要應(yīng)對技術(shù)介紹

2.1 SAN分區(qū)

SAN分區(qū)就是通過在SAN交換機上進行ZONE（區(qū)域）的劃分，將連接在SAN網(wǎng)絡(luò)中的設(shè)備，邏輯上劃分為不同的區(qū)域。一個分區(qū)可以由多個服務(wù)器、存儲設(shè)備、光纖交換機、HBA卡等組成。只有同一個分區(qū)的設(shè)備才可以互相通訊，不同分區(qū)的設(shè)備相互間不能訪問，從而達到SAN中服務(wù)器和設(shè)備相互隔離的目的。區(qū)域的劃分是在光纖交換機上進行的，對服務(wù)器或其他存儲設(shè)備是完全透明的，在它們上面不需要進行任何的配置。SAN網(wǎng)絡(luò)的區(qū)域劃分通常有以下幾種方法。

2.1.1 端口分區(qū)

使用光纖交換機物理端口的FC地址來定義分區(qū)，也稱為硬分區(qū)。在端口分區(qū)里，是否可訪問數(shù)據(jù)取決于節(jié)點連接到哪個物理交換端口。使用這種分區(qū)安全性比軟分區(qū)高，但該方法要求在光纖通道的連接變更時，必須修改分區(qū)配置信息。

2.1.2 WWN分區(qū)

WWN分區(qū)使用設(shè)備的WWN（萬維網(wǎng)名稱，World Wide Name）名稱來定義分區(qū)。WWN分區(qū)也被稱為軟分區(qū)。WWN分區(qū)的一個主要優(yōu)點就是它的靈活性：它允許在SAN中變更連線但并不需要重新配置分區(qū)信息。

2.1.3 混合分區(qū)

混合分區(qū)結(jié)合了WWN分區(qū)和端口分區(qū)的優(yōu)點。使用混合分區(qū)可以將光纖交換機的一個特定的端口綁定到一個節(jié)點的WWN上。

2.2 邏輯單元屏蔽（LUN masking）

LUN是SAN中磁盤邏輯單元的SCSI標(biāo)志，在光纖通道領(lǐng)域，LUN是基于系統(tǒng)的WWN實現(xiàn)的。分區(qū)一般與LUN掩碼結(jié)合，來加強控制服務(wù)器對存儲器的訪問。但是，兩者在不同過程層面進行控制：分區(qū)工作在光纖通道層，而LUN掩碼工作在陣列層。

在SAN存儲網(wǎng)絡(luò)中，任何一個服務(wù)器和所有存儲系統(tǒng)在物理上是相通的。采用LUN掩碼技術(shù)，可限制特定的服務(wù)器只能訪問分配給它的特定的邏輯存儲空間（LUN）。如果有多個服務(wù)器訪問同一特定設(shè)備，可以通過設(shè)定特定的LUN組，并允許組內(nèi)服務(wù)器可訪問該特定設(shè)備。這樣就可以拒絕其他服務(wù)器對該LUN的訪問，從而起到保護數(shù)據(jù)安全的目的。

2.3 保護存儲管理網(wǎng)絡(luò)

存儲設(shè)備都設(shè)有專門的管理端口，可通過串口和以太網(wǎng)口進行管理。管理口通常只有用戶名口令等基本安全校驗，沒有更多的安全防護措施，這使管理口本身容易招收攻擊而成為安全的短板。應(yīng)該采取措施使管理口不直接與數(shù)據(jù)網(wǎng)絡(luò)進行連接。

2.4 數(shù)據(jù)加密

存儲中存放的數(shù)據(jù)和在連接中流動的數(shù)據(jù)均會受到數(shù)據(jù)盜竊的威脅，包括傳輸時篡改數(shù)據(jù)（破壞數(shù)據(jù)完整性）、私密信息泄露和存儲介質(zhì)失竊（損害數(shù)據(jù)可用性和保密性）。為了阻止這些威脅，需要加密存儲在存儲介質(zhì)上的數(shù)據(jù)或加密即將傳送到磁盤上的數(shù)據(jù)。

常用的數(shù)據(jù)加密方法有：（1）文件系統(tǒng)加密。（2）采用加密設(shè)備加密。通常文件系統(tǒng)加密會略微降低系統(tǒng)性能；采用加密設(shè)備，則成本較高。

“封裝安全凈載”（ESP）可以對光纖傳輸數(shù)據(jù)進行加密，以確保安全性。以太網(wǎng)傳輸能通過SSL或者類似的協(xié)議來加密。這些加密技術(shù)可以使用不同的加密程度使得被竊數(shù)據(jù)沒有可乘之機。目前，已經(jīng)有一些廠商提供在SAN中進行加密的方案。由于光纖通道SAN尤其關(guān)注高性能，因此加密方案應(yīng)該盡量不影響SAN的性能，所以多數(shù)方案都是基于硬件的加密。

2.5 鏡像技術(shù)

鏡像技術(shù)用于存儲設(shè)備內(nèi)部，或者主存儲和備存儲之間，或者主數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的數(shù)據(jù)冗余備份。鏡像是在兩個或多個磁盤或磁盤子系統(tǒng)上產(chǎn)生同一個數(shù)據(jù)的鏡像視圖的信息存儲過程，一個叫主鏡像系統(tǒng)，另一個叫從鏡像系統(tǒng)。按主從鏡像存儲系統(tǒng)所處的位置可分為本地鏡像和遠程鏡像。遠程鏡像按請求鏡像的主機是否需要遠程鏡像站點的確認信息，有可分為同步遠程鏡像和異步遠程鏡像。

同步遠程鏡像是指通過遠程鏡像軟件，將本地數(shù)據(jù)以完全同步的方式復(fù)制到異地，本地的每一個I/O事物均需等待遠程復(fù)制的內(nèi)容完成確認信息，方予以釋放。同步鏡像使遠程拷貝總能與本地機要求復(fù)制的內(nèi)容相匹配。同步鏡像使遠程拷貝總能與本地機要求復(fù)制的內(nèi)容相匹配，但它存在往返傳播造成延時較長的缺點，只限于在相對較近的距離上的應(yīng)用。

異步遠程鏡像保證在更新遠程存儲視圖前完成向本地存儲系統(tǒng)的基本I/O操作，而由本地存儲系統(tǒng)提供給請求鏡像主機的I/O操作完成確認信息。遠程的數(shù)據(jù)復(fù)制是以后臺同步的方式進行的，這使本地系統(tǒng)性能受到的影響很小，傳輸距離長，對網(wǎng)絡(luò)帶寬要求小。但是，如果出現(xiàn)傳輸失敗，可能出現(xiàn)數(shù)據(jù)一致性問題。

2.6 快照技術(shù)

快照技術(shù)通過控制軟件對要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個要備份數(shù)據(jù)的快照邏輯單元號LUN和快照Cache，在快速掃描時，把備份過程中即將要修改的數(shù)據(jù)塊同時快速拷貝到快照Cache中?？煺誏UN是一組指針，它指向快照Cache和磁盤子系統(tǒng)中不變的數(shù)據(jù)塊。在正常業(yè)務(wù)進行的同時，利用快照LUN實現(xiàn)對原數(shù)據(jù)的一個完全且快速的備份。

2.7 基于磁帶庫的備份系統(tǒng)

基于磁帶庫的備份系統(tǒng)可以提供基本自動備份和數(shù)據(jù)恢復(fù)功能，且備份存儲容量達到TB級。在專用備份軟件管理下可進行集中式網(wǎng)絡(luò)數(shù)據(jù)備份，實現(xiàn)連續(xù)備份、智能恢復(fù)、實時監(jiān)控統(tǒng)計等功能，為保證數(shù)據(jù)完整性和安全性提供了保障。

3 SAN存儲架構(gòu)的全方位、多層次安全措施

3.1 劃分SAN存儲網(wǎng)絡(luò)安全區(qū)域

通過前述的SAN存儲風(fēng)險要素分析，可以看出為保護信息資產(chǎn)安全，必須建立一個包含多層次安全措施的SAN安全架構(gòu)。利用現(xiàn)有安全技術(shù)，通常將SAN網(wǎng)絡(luò)化分為5個不同功能的區(qū)域，然后在各個切入點進行安全建設(shè)，分別為：主機連接交換機區(qū)域、管理機連接交換機區(qū)域、存儲器連接交換機區(qū)域、遠程主機區(qū)域和交換機連接交換機區(qū)域。針對5種功能區(qū)通常采用的安全防護手段如圖1所示。

3.2 安全區(qū)域A（主機連接交換機區(qū)域）的安全措施

僅允許授權(quán)的服務(wù)器進行FC訪問，防護措施如下。

（1）使用訪問控制列表：使已知的HBA（光纖通道總線適配器）只可以連接到指定交換機的指定端口。

（2）使用端口分區(qū)和WWN分區(qū)等的安全分區(qū)方法，進行區(qū)域隔離，使只有指定端口之間可以訪問存儲資源。

（3）通過采用基于磁帶庫的數(shù)據(jù)存儲備份系統(tǒng)，實現(xiàn)自動的完全備份、增量備份、快速數(shù)據(jù)恢復(fù)等功能，保證了數(shù)據(jù)的安全性。

3.3 安全區(qū)域B（交換機連接交換機區(qū)域）

重點保護網(wǎng)絡(luò)中的數(shù)據(jù)信息流，防護措施有以下幾種。

（1）使用E_Port綁定認證。E端口是專門用于連接交換機和交換機的端口，通過網(wǎng)絡(luò)綁定可以防止未經(jīng)授權(quán)的交換機加入網(wǎng)絡(luò)中任何已存在的交換機。

（2）加密傳輸數(shù)據(jù)。采用SAN加密交換機實現(xiàn)基于光纖的加密，可在不影響性能的情況下，對傳輸數(shù)據(jù)進行加密。

（3）實施FC交換機端口控制。進行端口綁定可以：限制連接到交換機特定端口的設(shè)備數(shù)量；只允許相應(yīng)交換機連接到一個節(jié)點進行網(wǎng)絡(luò)訪問；可以禁用暫時不用的端口，防止閑置端口被非法使用。

3.4 安全區(qū)域C（存儲器連接交換機區(qū)域）

保護SAN上的存儲陣列，措施如下。

（1）采用基于WWN的LUN掩碼技術(shù)，使不同的主機只能訪問指定的存儲資源。

（2）利用SOURCE ID鎖定，實現(xiàn)基于源FCID（光纖通道ID/地址）的屏蔽，使偽裝的HBA WWN無法登入系統(tǒng)。

（3）采用SAN存儲設(shè)備的鏡像技術(shù)和快照技術(shù)，提高存儲系統(tǒng)的可靠性。

（4）采用文件系統(tǒng)等加密方法對數(shù)據(jù)進行加密，以實現(xiàn)存儲系統(tǒng)中靜態(tài)數(shù)據(jù)的保密。

3.5 安全區(qū)域D（管理機連接交換機區(qū)域）

授權(quán)訪問管理網(wǎng)段，措施如下。

（1）建立專用的管理網(wǎng)絡(luò)。為管理數(shù)據(jù)流創(chuàng)建一個單獨的私有的管理網(wǎng)絡(luò)，將存儲系統(tǒng)相關(guān)設(shè)備管理功能集中到該存儲管理網(wǎng)絡(luò)，從而將管理數(shù)據(jù)流與生產(chǎn)數(shù)據(jù)流隔離開。設(shè)立專門的存儲管理服務(wù)器用于管理存儲系統(tǒng)，限制管理網(wǎng)絡(luò)中網(wǎng)絡(luò)活動和訪問只發(fā)生在一個有限的主機集合，從而防止未授權(quán)設(shè)備訪問獲取網(wǎng)絡(luò)內(nèi)各存儲設(shè)備接口的訪問權(quán)。

（2）建立基于角色的訪問控制，使指定角色的管理員只能進行指定權(quán)限的訪問及管理操作。認證FC交換機的管理員，使用雙因素認證服務(wù)器對登錄管理機的人員進行身份認證。

3.6 安全區(qū)域E（與遠程主機或遠程存儲網(wǎng)絡(luò)連接）

（1）與遠程主機或存儲網(wǎng)絡(luò)連接需要通過第三方網(wǎng)絡(luò)或設(shè)備，必須對傳輸中的數(shù)據(jù)進行加密。

（2）連接遠程FC網(wǎng)絡(luò)的，可采用專門的存儲加密網(wǎng)關(guān)，實現(xiàn)統(tǒng)一的加密存儲服務(wù)。

（3）連接遠程IP網(wǎng)絡(luò)的，可采用IP網(wǎng)絡(luò)加密方法，通常使用IPSec協(xié)議實現(xiàn)傳輸中的數(shù)據(jù)進行加密。

4 結(jié)語

總體來說，SAN存儲網(wǎng)絡(luò)環(huán)境中的安全性是一個復(fù)雜的問題，必須針對各種常見風(fēng)險和攻擊對癥下藥，綜合考慮包括數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、設(shè)備管理安全、系統(tǒng)應(yīng)用安全等多方面的因素，從傳統(tǒng)的邊界安全向全方位深度防御轉(zhuǎn)移，將各種安全措施嵌入、集成到所有安全相關(guān)組件中，才能構(gòu)建一個全方位、多層次的安全防護系統(tǒng)，最大程度抵御這些威脅，安全地提高數(shù)據(jù)資源的可訪問性及利用率。

參考文獻

[1] 韓得志，余順爭，謝長生.融合NAS和SAN的存儲網(wǎng)絡(luò)設(shè)計與實現(xiàn)[J].電子學(xué)報，2006，34（11）：2012-2017.

[2] 張民，徐躍進.網(wǎng)絡(luò)安全試驗教程[M].北京：清華大學(xué)出版社，2007.

[3] 姜明華，周敬利，丁益洋.基于三方傳送的存儲管理系統(tǒng)設(shè)計與實現(xiàn)[J].計算機工程與應(yīng)用，2007，43（33）：37-40.

[4] 郭玉東，尹青.基于對象的網(wǎng)絡(luò)存儲[M].北京：電子工業(yè)出版社，2007.

[5] 殷偉.計算機安全與病毒防治[M].合肥：安徽科學(xué)技術(shù)出版社，2004.