DoSTOR存储分析 法规遵从的标准呼吁安全措施

   DoSTOR存储分析 6月20日消息:除了存储容量扩展的要求以外,法规遵从的要求也使得长久以来被忽视的SAN潜在安全问题暴露到阳光底下。


    安全设备厂商,服务提供商及咨询顾问们也都纷纷探寻对策。仅仅在这一个月,厂商就推出如下举措:



  • Kasten Chase基于他们的安全设备推出了一项审计服务体系以帮助用户构建安全的存储基础架构并实现法规遵从的存档管理。

  • 数据保护公司Iron Mountain.启动了一项法规遵从记录管理计划(Compliant Records Management Program),以帮助客户评估诸如沙宾法案这些法规的遵从程度。

  • NetApp.和安全设备公司Decru联手推出了一款安全产品以期帮助商家实现强制性PCI(支付卡行业)安全标准的遵从需求。


    法规遵从或安全服务(产品)都不是什么新话题。它们之间的联系正变得更加紧密。GlassHouse的首席技术官Jim Damoulakis说,安全是他公司提供法规遵从咨询服务的主要部分,但并非他们客户所优先考虑的问题。


    他还讲道:“从广泛的意义来说,谈及法规遵从问题,大多人将注意力集中在了数据留存上,即怎样长期存储数据,怎样留存数据等。但存储的安全问题完全被忽略了。近期的一些新闻,让人们更加关注存储安全问题。


    最近不断有磁带丢失的事件被报道,这之所以能公诸于众,就是因为法规遵从强制要求相关公司承认过失责任。


    法规遵从对安全的要求有所增加,主要有以下几方面。首先,法规要求公司保留某些敏感的个人信息数十年之久,同时还要确保信息的私密性。磁带并不是唯一的软肋,存储在磁盘上的数据也存在许多安全隐患。举例来说,SAN管理界面为那些居心不良的内部人员提供数据中心所有信息的单独的视图。更甚之,SAN的交换机或HBA卡都为来自内部的攻击提供了潜在的突破口。


    Kasten Chaseq商业解决方案高级副总David de la Plante说:“存储厂商只想着增长、扩张,成本缩减,而非安全问题。因此存储安全问题从未被认真考虑过不足为奇,正是法规遵从促使人们改变了看法。”


    GlassHouse的Damoulakis提到许多IT人士现在正在考虑为存储系统设置与网络相同的安全策略,他说道:“人们最终还是只能转而依赖改变密码的方式来保证信息安全。由于很多年以来人们一直认为SAN似乎是独立的个体,安全人士并没有对此关注。”


    在上周举办的网络存储行业协会(SNIA)的存储安全行业论坛上,作为第二项提案,法规遵从被列为最值得关注的安全问题之一。


    该论坛主席、系统集成商Knowledge Transfer的管理合伙人LeRoy Budnik表示,管理员安装完存储磁盘陈列或设备连接后,即刻设置角色的密码帐户进行管理,就可关闭存储系统的后门。


    他还说:“不过至少需要有三个角色,即管理员、安全人员和审计员,在这些角色与命名帐户之间要有所联系。只有安全人员才可以将活动日志存放于安全服务器。管理员的活动将会被记录在日志上。不过,这仅仅是(存储安全管理)的开始。”