看上去存储区域网(SAN)所处的是一个安全的环境,用户往往没有对其安全性问题投入太多精力。然而,种种迹象都表明SAN的安全问题越来越突出,用户需要采取更多的有效措施。
毫无疑问,SAN是一个相对封闭的存储网络,在多数情况下,它在物理上就是一个独立的网络。因此,许多用户都不太在意SAN中的安全问题。
但是,当我们仔细探讨SAN中的安全问题时就会发现,其实在SAN中仍然存在许多的安全隐患:由于默认光纤通道协议的使用环境是安全的,因此该协议设计之初在安全方面并没有进行太多考虑;在存储区域网中进行的访问控制也几乎没有;在SAN中发生的一些人为操作错误会给关键业务应用带来极大危害。
McDATA中国区技术经理雷涛在谈到SAN安全话题时介绍说,随着存储区域网的日益普及,SAN的安全问题日益受到人们的关注,为了保证SAN的高度安全性,企业必需对SAN的常见风险和攻击有通盘的了解,然后才能对症下药,最大程度抵御这些威胁,尽可能避免系统停顿及经济损失。
SAN的安全威胁
SAN中最典型的安全威胁有未经授权的访问、欺骗(Spoofing)和数据盗窃(Sniffing)。
未经授权的访问是最为常见的安全威胁,它的成因可以是简单地接上了错误的连接线,也可以是将一台已被入侵的服务器连接到光纤网络上。未被授权的访问将导致其他形式的攻击。
欺骗是与未经授权访问有关的一种威胁。欺骗有多种形式和名称:仿冒、身份窃取、抢劫、伪装和WWN(全球名字)欺骗。其中一种形式是假冒用户,而另一种是伪装成一个已被授权的WWN。
数据会通过很多种途径被窃取,其中一种途径就是在数据还在传输的过程中进行盗窃,它对数据线进行窥探,例如“光纤通道分析器”就是一种可以完全监控数据传输的数据盗窃方法。如果数据盗窃做得巧妙,不会影响设备的操作。
严格的访问控制
示意图显示了攻击威胁对存储网络的各个可能切入点,每一个攻击点都有可能成为后续攻击的垫脚石。为了保证高度的安全保护,SAN系统管理员必须在入侵者和数据之间设置多个监测点。认识各个攻击点有助制定相应的防护对策。系统管理员可在下列攻击点控制未经授权访问的入侵。
1. 带外管理应用程序:交换机有非光纤通道端口,例如以太网端口和串行端口,以满足管理工作的需要。通过建立一个独立于公司内部网的专用网络来管理SAN,便可以限制对以太网端口的访问。如果交换机是与企业内部网络连接的,可以使用防火墙和VPN限制对以太网端口的访问。通过控制物理访问和对使用者授权以鉴别,可以限制对串行端口(RS 232)的访问。物理访问连接以太网端口后,交换机还可以根据访问控制列表,限制访问交换机的程序,交换机也可以限制通过3号攻击点进行访问的程序或个别用户。
2. 带内管理应用程序:未经授权访问也可通过带内管理应用程序入侵交换机。带内管理程序将访问诸如命名服务器和光纤网络配置服务器等光纤网络服务。管理访问控制列表(MACL)控制对光纤网络的访问。
3. 用户到应用程序:一旦用户获得一个管理程序的物理访问权,他们需要登录到这个应用程序上。管理应用程序是根据用户的工作性质来给予不同级别的访问授权。管理应用程序需要支持访问控制列表和每个用户的角色。
4. 设备到设备:当两个Nx_端口在光纤网络登录之后,一个Nx_端口可以端口登录到另一个Nx_端口,分区及逻辑单元屏蔽可以在这个环节限制设备的访问。每一个交换机上的活动区域设置会在光纤网络上执行分区限制。存储设备将维持有关逻辑单元屏蔽的信息。
5. 设备对光纤网络:当一个设备(Nx_端口)连接到光纤网络(Fx_端口),设备将发送一个F端口登录指令,这一指令包括了各种端口全球名字的参数。交换机可以批准端口在光纤网络登录或拒绝F端口登录并中止连接。交换机需要维持一个准许连接WWN的访问控制列表。真正的数据威胁发生在设备登录至光纤网络和进入攻击点4或5之后。
6. 交换机对交换机:当两台交换机连接时,交换链接参数(ELP)和内部链接服务(ILS)将发送类似交换机WWN的相关信息。一台交换机可以批准其他交换机组成一个更大的光纤网络,如果另一台交换机不被允许加入的话,则可以隔离链接。每个交换机都需维持一个授权交换机的访问控制列表。
7. 存储数据:存储的数据易于受到内部攻击、来自光纤网络的未经授权访问的攻击和基于主机的攻击。例如存储协议全都是明文,因此存储、备份及主机管理员能在没有访问限制及登录的情况下访问未经处理的原始存储数据。存储加密码设备为存储数据提供一层保护,在有些情况下提供附加的应用层身份鉴别和访问控制。
应对欺骗与数据盗窃
通过访问控制列表控制访问只可以防止意外事故,但它不能防御那些假伪身份的攻击者。不幸的是,大多数网络盗贼能很容易地取得假冒身份。为了阻止诈骗者(盗用他人身份者)渗透网络,那些获得授权的个体也必须经过身份鉴定。
抗击欺骗的方法就是让窃取者提供一些只有被授权的用户才知晓的特殊信息。对于用户来说,需要知道和提供的只是一个密码。对于设备而言,Nx_端口或交换机的WWN是与这个机密信息相连的。管理话路也可以进行身份鉴别,确保入侵者不能管理光纤网络或设备。
对于每一点的身份鉴别,以下是四种可能的方法:用户身份鉴别、以太网CHAP实体身份鉴别、CT讯息鉴别以及光纤通道DH-CHAP实体身份鉴别。
当实体及用户的身份被鉴别后,传输就可以在授权设备之间安全地流动,但在连接中流动的数据仍然会受到数据盗窃的威胁。
防止数据盗窃的方法是加密(encryption)。“封装安全净载”(ESP)可以对光纤传输数据进行加密,以确保安全性。以太网传输能通过SSL或者类似的协议来加密。这些加密技术可以使用不同的加密程度使得被窃数据没有可乘之机。目前,已经有一些厂商提供在SAN中进行加密的方案。由于光纤通道SAN尤其关注高性能,因此加密方案应该尽量不影响SAN的性能,所以多数方案都是基于硬件的加密。
防范意识有待提高
在国外,有些大型存储用户对安全问题已经足够重视,特殊用户甚至投入了与SAN硬件成本相当的资金来解决安全问题。与之相比,国内的用户则落后很多,雷涛说,目前几乎还没有看到国内用户在安全方面提出任何要求。但是,随着SAN的发展与演进,尤其是IP存储的广泛应用,用户会遇到更多安全挑战,这些都要求用户在安全方法意识方面亟待提高。