確保存儲(chǔ)基礎(chǔ)設(shè)施安全-PowerPointPresen

1、信息存儲(chǔ)與管理國家天文臺(tái)（科技處）信息與計(jì)算中心確保存儲(chǔ)基礎(chǔ)設(shè)施安全下一講：管理存儲(chǔ)基礎(chǔ)設(shè)施上一講：遠(yuǎn)程復(fù)制確保存儲(chǔ)基礎(chǔ)設(shè)施安全主講人：滕一民第十五講網(wǎng)絡(luò)安全與存儲(chǔ)安全一個(gè)沒有連接到存儲(chǔ)網(wǎng)絡(luò)的存儲(chǔ)設(shè)備不是那么脆弱,因?yàn)樗鼈儧]有通過網(wǎng)絡(luò)暴露在安全威脅之下.許多存放個(gè)人信息,金融交易等重要信息的存儲(chǔ)陣列,由于業(yè)務(wù)需要也被連接在互聯(lián)網(wǎng)上,以便用戶通過網(wǎng)絡(luò)進(jìn)行訪問 象google,網(wǎng)上購物,網(wǎng)上訂票,網(wǎng)上銀行等網(wǎng)站,用戶都可以通過網(wǎng)絡(luò)訪問網(wǎng)站,搜索信息,購物,辦理業(yè)務(wù),這些網(wǎng)站的存儲(chǔ)陣列就被以某種方式連接在互聯(lián)網(wǎng)上了.互聯(lián)網(wǎng)連接著個(gè)人計(jì)算機(jī),服務(wù)器,網(wǎng)絡(luò)和存儲(chǔ)設(shè)備,這使得互聯(lián)網(wǎng)容易受到各種攻擊.對(duì)于互

2、聯(lián)網(wǎng)的安全問題我們大家都會(huì)有一些感受和體驗(yàn),計(jì)算機(jī)中病毒的情況大家可能都遇到過.網(wǎng)絡(luò)安全與存儲(chǔ)安全存儲(chǔ)設(shè)備連到互聯(lián)網(wǎng)上,就使存儲(chǔ)設(shè)備暴露于多種安全威脅之下,如病毒,木馬,黑客攻擊等這些威脅有可能破壞關(guān)鍵業(yè)務(wù)數(shù)據(jù),中斷關(guān)鍵服務(wù).比如一個(gè)購物網(wǎng)站的業(yè)務(wù)數(shù)據(jù)被破壞,該給用戶送貨,也無法送貨,比如網(wǎng)上訂票網(wǎng)站的業(yè)務(wù)數(shù)據(jù)被破壞,該給用戶送票卻沒有送,會(huì)給用戶帶來很大不便,也會(huì)損害網(wǎng)站的信譽(yù).如果金融服務(wù)網(wǎng)站由于業(yè)務(wù)數(shù)據(jù)被破壞而出現(xiàn)問題,可能會(huì)給用戶或銀行造成更大損失確保存儲(chǔ)網(wǎng)絡(luò)安全已成為存儲(chǔ)管理過程中不可缺少的組成部分網(wǎng)絡(luò)安全與存儲(chǔ)安全網(wǎng)絡(luò)安全是相對(duì)的,存儲(chǔ)網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)安全的一部分也是相對(duì)的.網(wǎng)絡(luò)上

3、沒有絕對(duì)的安全.Google這樣的大公司都會(huì)受到攻擊就說明了這一點(diǎn).在考慮存儲(chǔ)網(wǎng)絡(luò)安全時(shí)也需要根據(jù)數(shù)據(jù)的重要性考慮成本.對(duì)于象銀行這類非常重要的部門的存儲(chǔ)系統(tǒng)就需要采取盡可能充分的安全措施來保證系統(tǒng)安全,對(duì)于一般的單位就要根據(jù)實(shí)際情況以及經(jīng)濟(jì)上的承受能力來考慮存儲(chǔ)系統(tǒng)的安全解決方案網(wǎng)絡(luò)安全與存儲(chǔ)安全這次講座介紹一些存儲(chǔ)安全的概念和各種技術(shù)措施,在實(shí)際應(yīng)用中需要根據(jù)情況有選擇的采用這些技術(shù)措施存儲(chǔ)安全是一個(gè)綜合性的問題，涉及相關(guān)的每一個(gè)設(shè)備，需要采取綜合措施，因此會(huì)涉及到前面幾章講的各種技術(shù)和內(nèi)容，如RAID，F(xiàn)C交換機(jī)的分區(qū)，存儲(chǔ)的LUN屏蔽，存儲(chǔ)虛擬化,備份等本講主要內(nèi)容存儲(chǔ)安全框架風(fēng)險(xiǎn)三要

4、素存儲(chǔ)安全域安全措施的實(shí)施存儲(chǔ)安全框架基礎(chǔ)的安全框架是構(gòu)建在四個(gè)主要的安全服務(wù)上的:可稽核性,保密性,完整性和可用性.可稽核性服務(wù): 發(fā)生在數(shù)據(jù)中心基礎(chǔ)設(shè)施的所有事件和操作都可核查.主要指建立事件日志,可以審計(jì)和追溯發(fā)生的事件.保密性服務(wù): 提供信息所要求的保密性,保證只有被授權(quán)的用戶才能訪問數(shù)據(jù). 如用戶認(rèn)證,對(duì)傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)加密等. 存儲(chǔ)安全框架完整性服務(wù):保證信息不被篡改,探測(cè)和防御對(duì)信息的未授權(quán)的更改和刪除.用戶認(rèn)證(既是保密性服務(wù)的一部分,也是完整性服務(wù)的一部分,防止未被授權(quán)的用戶訪問和篡改信息).完整性服務(wù)對(duì)傳輸中的數(shù)據(jù)和靜態(tài)數(shù)據(jù)都要采取保護(hù)措施.傳輸中的數(shù)據(jù)如果不加密也有

5、被篡改的危險(xiǎn).可用性服務(wù): 保證已授權(quán)用戶能夠可靠和及時(shí)地訪問計(jì)算機(jī)系統(tǒng)和這些系統(tǒng)上的數(shù)據(jù)、應(yīng)用程序存儲(chǔ)安全框架可稽核性,保密性,完整性和可用性是存儲(chǔ)安全措施所要實(shí)現(xiàn)的目的這四方面是相互關(guān)聯(lián)的,比如如果數(shù)據(jù)被非法用戶刪除或篡改了,其可用性顯然就談不上了,這說明數(shù)據(jù)的可用性依賴于數(shù)據(jù)的完整性.如果數(shù)據(jù)的保密性喪失,比如超級(jí)用戶口令被非法用戶掌握,那么數(shù)據(jù)以及日志就有被非法訪問和刪除篡改的危險(xiǎn),可見數(shù)據(jù)的完整性和可稽核性也依賴于數(shù)據(jù)的保密性風(fēng)險(xiǎn)三要素風(fēng)險(xiǎn)的定義 風(fēng)險(xiǎn)發(fā)生在一個(gè)威脅方(攻擊者)試圖利用一個(gè)存在的漏洞來訪問資產(chǎn)的時(shí)侯. 威脅,漏洞和資產(chǎn)構(gòu)成了風(fēng)險(xiǎn)三要素.資產(chǎn)信息是任何組織最重要的一項(xiàng)資

6、產(chǎn),其他的資產(chǎn)包括硬件,軟件以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施實(shí)施安全措施的兩個(gè)目標(biāo):保證已授權(quán)用戶能夠可靠和及時(shí)地訪問數(shù)據(jù).(即前面講的可用性)使攻擊者訪問和危害系統(tǒng)變得非常困難.增加攻擊的難度,成本和代價(jià).資產(chǎn)安全措施提供保護(hù),阻止未授權(quán)訪問阻止病毒、蠕蟲、木馬和其他惡意程序攻擊加密關(guān)鍵數(shù)據(jù)停止所有不用的服務(wù),盡量減少潛在的安全漏洞定期安裝對(duì)操作系統(tǒng)和其他軟件的更新復(fù)制和備份數(shù)據(jù),提供冗余度,防止意外故障導(dǎo)致數(shù)據(jù)損失資產(chǎn)衡量存儲(chǔ)安全方案的標(biāo)準(zhǔn)花費(fèi)只占被保護(hù)數(shù)據(jù)價(jià)值的一小部分使?jié)撛诘墓粽叩貌粌斒{威脅是對(duì)IT基礎(chǔ)設(shè)施可能實(shí)施的潛在攻擊未授權(quán)訪問篡改 未授權(quán)用戶篡改數(shù)據(jù),包括靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)拒絕服務(wù)

7、對(duì)一個(gè)網(wǎng)絡(luò)或網(wǎng)站發(fā)送洪水般的垃圾數(shù)據(jù)阻止授權(quán)用戶的合法訪問抵賴 針對(duì)信息可稽核性的攻擊，如篡改日志文件與前面講的病毒,蠕蟲,木馬等相比,這里講的是更有針對(duì)性的威脅威脅漏洞對(duì)于潛在的攻擊來說,提供信息訪問的路徑是最脆弱的環(huán)節(jié)縱深防御 盡可能保護(hù)一個(gè)環(huán)境內(nèi)的所有訪問點(diǎn)評(píng)估網(wǎng)絡(luò)環(huán)境對(duì)安全的威脅度 攻擊面 攻擊者可以發(fā)起攻擊的各種入口點(diǎn),如硬件接口,各種協(xié)議,管理接口,各種網(wǎng)絡(luò)服務(wù)如等 攻擊向量 完成一次攻擊所必需的一個(gè)或一系列步驟 功系數(shù) 開發(fā)一個(gè)攻擊向量需要投入的時(shí)間和精力 漏洞計(jì)劃和部署控制措施減少安全漏洞 最小化攻擊面 最大化功系數(shù)技術(shù)性措施通過計(jì)算機(jī)系統(tǒng)實(shí)施非技術(shù)措施通過管理和物理控制實(shí)施

8、物理控制 保安人員,防盜門,監(jiān)控系統(tǒng),天文臺(tái)的中心機(jī)房就安裝了防盜門和監(jiān)控系統(tǒng) 管理控制 規(guī)則制度,如進(jìn)出機(jī)房要登記 漏洞控制措施又可分為 防御性的:部署系統(tǒng)時(shí)所能預(yù)想到并實(shí)現(xiàn)的控制措施 偵測(cè)性的:入侵檢測(cè)系統(tǒng) 矯正性的:攻擊被發(fā)現(xiàn)后采取矯正措施 存儲(chǔ)安全域?qū)τ跐撛诘墓魜碚f,提供信息訪問的路徑是最脆弱的環(huán)節(jié),因此需要對(duì)存儲(chǔ)資源的訪問路徑有一個(gè)清晰的理解,通往數(shù)據(jù)存儲(chǔ)的訪問路徑可以分為三個(gè)安全域:應(yīng)用程序訪問 涉及應(yīng)用程序通過存儲(chǔ)網(wǎng)絡(luò)對(duì)存儲(chǔ)數(shù)據(jù)的訪問,用戶訪問路徑管理訪問 包括對(duì)存儲(chǔ),互聯(lián)設(shè)備以及存儲(chǔ)數(shù)據(jù)的管理訪問,管理人員 的訪問路徑BURA(備份,恢復(fù)和歸檔) 備份也需要安全保護(hù)存儲(chǔ)安全域

9、保證應(yīng)用程序訪問域的安全控制用戶對(duì)數(shù)據(jù)的訪問保護(hù)存儲(chǔ)基礎(chǔ)設(shè)施數(shù)據(jù)加密控制用戶對(duì)數(shù)據(jù)的訪問主機(jī)A可以訪問所有V1卷，主機(jī)B可以訪問所有V2卷，一種可能的威脅是主機(jī)A偽造身份或提升特權(quán)訪問主機(jī)B的資源，另一個(gè)威脅可能是一個(gè)未授權(quán)的主機(jī)獲得訪問權(quán)限，訪問或篡改數(shù)據(jù)，另外存儲(chǔ)介質(zhì)失竊也會(huì)危害安全控制用戶對(duì)數(shù)據(jù)的訪問用戶認(rèn)證用戶授權(quán) 如訪問控制表,NAS設(shè)備和一些服務(wù)器的操作系統(tǒng),如Windows和Linux都支持訪問控制的功能,管理和控制用戶對(duì)文件和目錄的訪問權(quán)限主機(jī)級(jí)別的限制訪問 主機(jī)認(rèn)證,不同的存儲(chǔ)網(wǎng)絡(luò)技術(shù)使用不同的認(rèn)證協(xié)議來認(rèn)證主機(jī)的訪問,如挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP),光纖通道安全協(xié)議(FC-

10、SP)和IPSec. 交換機(jī)上的分區(qū)將網(wǎng)絡(luò)劃分為多個(gè)路徑,在不同的路徑上傳輸不同的數(shù)據(jù) 邏輯單元屏蔽(LUN masking)決定哪些主機(jī)可以訪問哪些存儲(chǔ)設(shè)備 主機(jī)的WWN與物理端口綁定,從該端口連接到一個(gè)特定的邏輯單元(LUN)控制用戶對(duì)數(shù)據(jù)的訪問定期審計(jì)核查日志記錄防止對(duì)日志記錄的未授權(quán)訪問,如果日志記錄被攻擊者篡改,就會(huì)喪失審計(jì)、稽核的功能保護(hù)存儲(chǔ)基礎(chǔ)設(shè)施防止未經(jīng)認(rèn)證的主機(jī)添加到存儲(chǔ)局域網(wǎng)(SAN)存儲(chǔ)網(wǎng)絡(luò)加密: 用IPSec保護(hù)基于IP的存儲(chǔ)網(wǎng)絡(luò) 用FC-SP保護(hù)FC網(wǎng)絡(luò)基于角色的訪問控制，賦予用戶必要的權(quán)限，行使角色網(wǎng)絡(luò)分段: 存儲(chǔ)系統(tǒng)的管理網(wǎng)絡(luò)應(yīng)在邏輯上與其他的企業(yè)網(wǎng)絡(luò)隔離,只允許

11、訪問同一區(qū)域內(nèi)的組件，增強(qiáng)了安全性保護(hù)存儲(chǔ)基礎(chǔ)設(shè)施IP網(wǎng)絡(luò)分段的實(shí)現(xiàn) 路由器或防火墻的基于IP地址的包過濾功能 交換機(jī)的基于MAC地址的VLAN 端口級(jí)的安全措施必須控制對(duì)設(shè)備的物理訪問和FC開關(guān)的布線,如果一個(gè)設(shè)備被未授權(quán)用戶進(jìn)行物理訪問,那么所有其他安全措施都會(huì)失效,導(dǎo)致設(shè)備不可靠數(shù)據(jù)加密數(shù)據(jù)應(yīng)在生成后盡快被加密如果在主機(jī)不能加密,可以在進(jìn)入存儲(chǔ)網(wǎng)絡(luò)的節(jié)點(diǎn)處使用加密設(shè)備來加密數(shù)據(jù)數(shù)據(jù)在其生命周期結(jié)束時(shí)應(yīng)從硬盤上徹底清除保證管理訪問域的安全管理訪問包括監(jiān)視,配置,管理存儲(chǔ)資源絕大多數(shù)管理軟件支持一定形式的命令行界面,系統(tǒng)管理控制臺(tái)或Web界面,這些是管理訪問的基本路徑如果管理訪問路徑出現(xiàn)漏洞

12、,會(huì)比服務(wù)器的漏洞造成更大危害,因?yàn)楣芾韱T比普通用戶的權(quán)限更高保證管理訪問域的安全主機(jī)B有一個(gè)存儲(chǔ)管理平臺(tái),遠(yuǎn)程管理增加了攻擊面，為減少遠(yuǎn)程管理訪問帶來的風(fēng)險(xiǎn),應(yīng)使用安全的通信通道,如SSH,SSL,TLS,加密管理數(shù)據(jù)流,避免使用telnet,ftp等不安全的服務(wù)控制管理權(quán)限安全常識(shí)：不應(yīng)該有一個(gè)用戶對(duì)系統(tǒng)的所有方面都有控制權(quán),因?yàn)橐坏┓欠ㄓ脩粽莆樟诉@一權(quán)限,整個(gè)系統(tǒng)就被非法用戶控制了應(yīng)使用基于角色的訪問控制,將各種不同的管理功能分配給不同的管理用戶, 例如ARP系統(tǒng)就有多個(gè)管理帳號(hào),不同的管理功能由不同的管理用戶負(fù)責(zé)審計(jì)日志記錄控制和保護(hù)日志記錄，防止篡改部署同步時(shí)間的網(wǎng)絡(luò)時(shí)間協(xié)議,保證各

13、個(gè)設(shè)備的日志記錄在時(shí)間上的一致性保護(hù)管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施加強(qiáng)管理訪問控制 如一些存儲(chǔ)設(shè)備和交換機(jī)可以規(guī)定幾臺(tái)主機(jī)有管理權(quán),并規(guī)定每臺(tái)主機(jī)能使用的管理命令為管理數(shù)據(jù)流與其他生產(chǎn)數(shù)據(jù)流分開,如在交換機(jī)上為管理主機(jī)劃分單獨(dú)的VLAN不用的服務(wù)必須在存儲(chǔ)網(wǎng)絡(luò)的每個(gè)設(shè)備中禁用,使每個(gè)設(shè)備可訪問的接口最小化,減小攻擊面保證備份,恢復(fù)和存檔的安全(BURA)防止攻擊者假冒備份服務(wù)器的身份,這可能使遠(yuǎn)程備份在未授權(quán)的主機(jī)上實(shí)施防止備份磁帶,磁盤丟失存儲(chǔ)網(wǎng)絡(luò)中安全措施的實(shí)施(SAN) FC-SP(Fiber Channel Security Protocol,光纖通道安全協(xié)議) 將IP和FC互連的安全機(jī)制和算法標(biāo)準(zhǔn)

14、化了SAN安全架構(gòu)安全戰(zhàn)略是基于縱深防御理念，推薦多層安全綜合層，在網(wǎng)絡(luò)存儲(chǔ)環(huán)境的各種區(qū)域和設(shè)備上部署安全措施，如服務(wù)器，交換機(jī)，防火墻，存儲(chǔ)陣列上都要部署安全措施表152提供了可以在各種安全區(qū)域?qū)嵤┑谋Ｗo(hù)策略的一個(gè)列表，表中列出的一些安全機(jī)制并不是只針對(duì)SAN，如二因素認(rèn)證已被廣泛應(yīng)用:使用用戶名、密碼和一個(gè)另外的安全組件（如一張智能卡）進(jìn)行認(rèn)證。SAN的安全機(jī)制邏輯單元屏蔽(LUN masking) 決定一個(gè)主機(jī)可以訪問哪些LUN分區(qū) 保證只有已授權(quán)的區(qū)域成員才能進(jìn)行通信端口綁定 主機(jī)與交換機(jī)端口綁定,從該端口連接到一個(gè)特定的邏輯單元(LUN)SAN的安全機(jī)制全面的交換機(jī)控制和全面的網(wǎng)絡(luò)訪

15、問控制 FC交換機(jī)上的訪問控制表 確定哪些HBA和存儲(chǔ)器端口可以作為網(wǎng)絡(luò)的一部分,防止未授權(quán)的設(shè)備訪問 確定哪些交換機(jī)可以作為網(wǎng)絡(luò)的一部分,防止未授權(quán)的交換機(jī)加入 SAN的安全機(jī)制虛擬SAN(VSAN) VSAN可以在一個(gè)物理SAN創(chuàng)建多個(gè)邏輯的SAN,可以把不同VSAN看作獨(dú)立運(yùn)行的網(wǎng)絡(luò), VSAN通過隔離網(wǎng)絡(luò)事件，并提供更高級(jí)別的認(rèn)證控制，增強(qiáng)了信息的可用性和安全表156描述了一個(gè)VSAN中的邏輯分區(qū)，三個(gè)部門共享交換機(jī)設(shè)備，但都有自己的邏輯網(wǎng)絡(luò)，可以當(dāng)作獨(dú)立運(yùn)行的網(wǎng)絡(luò).存儲(chǔ)網(wǎng)絡(luò)中安全措施的實(shí)施(NAS)許可證明和訪問控制列表通過限制存取和共享構(gòu)成了NAS資源的第一層保護(hù) Windows訪

16、問控制列表 自主訪問控制列表-決定訪問控制 系統(tǒng)訪問控制列表-決定哪些訪問應(yīng)該被審計(jì) UNIX權(quán)限 所有者、組、全部 rwxr-xr-x 存儲(chǔ)網(wǎng)絡(luò)中安全措施的實(shí)施(NAS)認(rèn)證和授權(quán) NAS設(shè)備使用標(biāo)準(zhǔn)的文件共享協(xié)議：NFS和CIFS， NAS設(shè)備上實(shí)施和支持的認(rèn)證和授權(quán)與UINX系統(tǒng)或Windows系統(tǒng)文件共享環(huán)境下的方法相同，對(duì)UINX系統(tǒng)用網(wǎng)絡(luò)信息系統(tǒng)（NIS）服務(wù)器驗(yàn)證網(wǎng)絡(luò)用戶，對(duì)Windows系統(tǒng)用戶通過一個(gè)擁有活動(dòng)目錄的Windows域控制器進(jìn)行驗(yàn)證存儲(chǔ)網(wǎng)絡(luò)中安全措施的實(shí)施(NAS)圖157描述了NAS環(huán)境下的認(rèn)證過程KerberosKerberos是一個(gè)網(wǎng)絡(luò)認(rèn)證協(xié)議,為客戶/服務(wù)器應(yīng)用程序提供強(qiáng)認(rèn)證技術(shù)，使用密鑰加密的方法實(shí)現(xiàn)，先進(jìn)行身份認(rèn)證，再進(jìn)行權(quán)限認(rèn)證存儲(chǔ)網(wǎng)絡(luò)中安全措施的實(shí)施(NAS)網(wǎng)絡(luò)層防火墻保護(hù)NAS設(shè)備不受公共IP網(wǎng)絡(luò)的各種攻擊的侵害檢查網(wǎng)絡(luò)數(shù)據(jù)包,與設(shè)定的安全規(guī)則比較,沒有通過安全規(guī)則的數(shù)據(jù)包被丟棄寬松的規(guī)則會(huì)降低安全性如下圖服務(wù)器被放在兩套防火墻之間,特定端口的