不成熟的安全措施给SAN留下隐患
本文首次刊登于天极商务应用
版权属于Yesky 2003,保留所有权利
在这个不安全的时代,安全方面的威胁似乎无处不在。在机场,即便是老妇人和小女孩,也得脱下鞋子,接受X射线仪器的检测。除非经过证明,任何人都是被怀疑的对象。而早期的SAN技术,在进入数据中心之前并没有对数据进行严格的检查,在新环境下面临着严重的安全问题。SAN安全产品厂家NeoScale系统公司称:”可用性意味着风险”。存储区域网络能够共享存储资源,这个事实,使得SAN具有潜在的不安全性,并成为不法分子的攻击目标。
同大多数公司网络一样,主要的安全威胁不是来自外部的不法分子,而是源自内部:无聊的或者心怀不满的员工,或者粗心的管理员无意中开放了对部门数据的访问权限。因为SAN在重要的公司数据存放之处创建了邻居区域,所以,一个安全的SAN应该设置防护和验证措施。实际上,除了对SAN进行简单的物理隔离之外,很少有公司采取进一步的防护措施。位于数据中心的密码锁后面的SAN只能对付一些好奇的访客,但要对付那些了解机关,并打算入侵的不法之徒,SAN仍然具有安全隐患。
除此之外,并不是所有的东西都存放在数据中心。例如,需要经常开着箱式货车或者卡车,驶过公共道路,把海量的公司数据运到传统的磁带仓库里。用于管理SAN的局域网可能同数据中心不在一起,且连接到公司的LAN或者WAN中。对于后面的这种情况,也许数据中心外面的人员不能直接访问存储数据,但如下的这些可能性存在:使用管理工具重新划分服务器和存储设备的范围,开放受限数据的访问权限,或者通过重置SAN交换机,执行拒绝服务攻击。
不成熟的安全措施给SAN留下隐患
不同于传统的IP网络安全漏洞,SAN的安全漏洞具有永久性的和破坏性的后果。硬盘或者磁带上的当前数据,一旦崩溃,就只能恢复到最后一次快照或备份。能够保持最高程度的数据完整性的同步数据复制,至少可以确保实时数据的当前拷贝能够保存在别处。
但是,即使是同步复制,也不能保证防止所有的有意或无意的入侵。例如,一家公司的管理员更换了一只空白硬盘到初始阵列中,以为他正在做二次镜像,但他实际做的是把在二次镜像中的当前数据删除了。对于存储阵列,其自身并没有什么安全措施,来防止这种误操作。
目前,SAN厂家已经提供的仅仅是简单的存储访问保护功能。逻辑单元数(LUN)掩码(masking)和分区是通常使用的技术,用来确保只有得到授权的服务器,才能访问指定的存储阵列。但这两个参数,可以通过管理界面来改变,于是就制造了如下机会:当授权从一台已授权服务器转移到未经授权的服务器或者工作站。访问控制列表(ACL)是另外一种原始的验证措施,可以防止新加入的服务器自动登陆SAN架构。
这些原始的防护手段是用来对付管理失误的,并不能对付有意绕过认证设置的千行为。管理界面也许有口令保护,但一旦密码被破解,这些设计的易于使用并常附有帮助手册的管理工具就可能被任何人轻松使用。
两种场合下的风险漏洞
在网络存储环境中,在如下两种场合中存在暴露的风险。当数据在SAN结构中,从出发点传输到目的地的过程中,数据有泄漏的危险。传输时,数据可以被捕捉,复制,或者重定向到未经授权的用户。另外一种场合,对于静态的数据,在存入硬盘或者磁带时,也有泄漏的风险。硬盘可以从壁柜中取走,或者磁带也可能从别处被偷走,以及初始的恢复数据被偷走。这些潜在的弱点通常被厂家和客户所忽略,因为他们认为似乎不会有人会闯进SAN架构中搞破坏。
例如,光纤通道分析软件仅仅捕捉1到2秒的数据传输。就可以捕获到这段时间传输的数百兆字节的客户数据,甚至包括银行帐号信息和PIN号码。一个起来似乎无害的由第三方服务技术人员提供的光纤通道分析软件,可以用于分析备份操作,发送email到支持机构,这样的软件就具有严重的安全隐患。
加密技术(鉴定和数据加密)为传输过程和静态的数据添加了保护手段,但这也不是绝对的。对于传输过程中的数据,鉴定和加密可确保SAN传输中嗅探(sniffing)不易得到可用的数据,这在IP存储环境中特别有用,其中数据可能会流经不可信的局域网段或者广域网段。
目前的加密产品可以对千兆网络以接近数据传输的速度的进行高速数据加密,所以在传输过程中的安全方案中,不再有性能的瓶颈制约了。对于静态的数据,NeoScale公司和其他厂家提供的新型安全产品可以在把数据写到硬盘或者磁带之前,在光纤通道链路上进行加密。窃走经过加密的硬盘或者磁带的任何人都将需要花费巨大的处理资源和时间的代价,来进行数据的复原。
高端的安全警戒技术为SAN的安全性注入了新活力
虽然对于更为复杂的SAN安全方案,政府机构是主要的目标,然而高端的安全技术也已经开始渗入商用的和财务金融机构市场。最近的事件已经表明,现代商业是在脆弱的技术架构之下运作的,还受到动荡不安的社会,政治,地理要素的影响。
公司已经认识到生存的前提是必须保护好自己的信息财富。存储数据的复制地点必须同数据中心保持有一定的距离,以防崩溃,数据的可用性需要得到增强,传输和静态中的数据要得到保护,要防止因管理员失误而导致的系统灾难。以往主要针对外部IP网络的安全审计现在也必须包括存储设备和SAN部件。
一家公司的SAN体系结构是否脆弱,是否能够防止有意的或者无意的安全入侵,如果要让该公司自己来感觉,这就具有一定的主观性。客观地讲,任何基于点到点的网络都有安全漏洞。另外一方面,基于预算和维护的考虑,公司也可能会推迟安全措施的实施,至少等到出了大事,不得以而为之。对于灾难恢复,许多客户只在事故发生之后,才有所行动。对于那些认识到SAN安全性的客户,在对传统网络建立完善的安全措施的同时,也采用适用于SAN的新型安全产品,这样,对于他们的存储数据,其安全性得到了提高。