2007秋季SNW:高端用户讨论时下面临的存储安全

DoSTOR存储新闻 10月16日SNW大会·达拉斯报道:TD Ameritrade公司信息安全架构工程师Alan Lustiger警告说,首席技术官和IT经理们在同黑客做斗争时必须重新捡起基础知识。

今天,在SNW上的一次演讲上,Lustiger解释道,来自黑客的威胁一直在变化,使得存储安全的工作变得更加困难。在暗指近来抬头的网络犯罪时,他说"直到几年前,我们面对的主要威胁还是那些"快乐骑士"(炫耀技术的人)和"脚本小子"(使用别人技术的人)。"

Luster补充道:"几年过去,威胁已经演变成更加专业的黑客行为–而且现在更加严重"。他解释道一种新形式的"网络黑手党"正在迫使企业重新考虑他们的存储安全策略。

虽然他们的数据面临更加严峻的威胁,厂商还是敦促用户增加厂商提供的安全补丁。"他们好像希望变成预警者–我非常不喜欢这样,"他说,"你不想为了这些"杞人忧天"的事情而跑来跑去,每次厂商都会自己过来。"

Lustiger认为加密就是一个很好的例子。"如果那些坏小子们像那些好小子们那样进入[你的存储系统],那你还有什么好方法吗?",他问下面那些首席技术官和IT经理听众,"一般来说,要想侵入存储系统,那些黑客就必须已经侵入到你们的网络。"

存储厂商当然已经倾听了用户关于数据被侵入的种种抱怨。他们在本周发布了一大堆信息来配合这次SNW大会。

但是Lustiger解释道,用户还需要将他们的精力集中在其他地方,特别是那些接受后台存储系统访问的Web服务器。"如果你不想做其他事,就锁上你的网络前门",他说,"必须时刻检查Web服务器应用程序的安全性。"

另一个黑客们的潜在目标就是存储设备的操作系,而这些操作系统经常被置于用户的安全策略之外。Lustiger问道:"如果你为你的服务器制定了安全策略,但是却没有为你的存储应用程序设置同样的策略,那么你的胜算能有多大?"

"如果Linux系统被修改,你能知道在你的存储设备上运行的是不是原来的Linux版本吗?",他说,"大部分人都不会知道。"

在现今流行的几个主要的存储技术里,Lustiger觉得,因为CIFS和NFS协议的脆弱性,NAS可能最容易被侵入。他说"许多黑客已经有了这样的工具",并重点强调了来自盗贼服务器的能够使协议降级的攻击方法。

事实是CIFS和NFS在传输未加密的明文过程中还是有可能导致其他问题。Lustiger说"即使你拥有了完美的数据库安全策略,他们还是可以侵入你的操作系统。"

另一个严重依赖明文的技术是iSCSI,Lustiger认定这是另一个可能的软肋。根据厂商的说法,黑客们可以侵入iSCSI传输过程,甚至可以查到iSCSI存储名称服务(ISNS)并获得设备的有关信息。

他补充道:"通过整合IPSec(IP安全协议)以及良好的授权策略,可能可以保护iSCSI"。

iSCSI正在被厂商们极力推荐为光纤通道的替代技术,在最近几个月被普遍看好。在类似于10GB以太网这样的新技术崛起的过程中,人们越来越把iSCSI看作是让用户可以从中获益的技术。

今天大会的另一个发言人也敦促用户重新检查他们的安全策略,但是他告诫那些首席技术官和IT经理们将移动设备作为安全的最优先级。EDS公司的全球产品经理Craig Edland说"公司里安全性最低的就是笔记本电脑",并援引FBI的研究报告说在美国每隔53秒就有一台笔记本电脑被盗。

他解释道"要进行完全加密",并补充道EDS已将其所有笔记本电脑进行加密。