业界对存储安全的做法
尽管目前对于在哪一级设备应用存储安全控制是最优的还没有一个明确的结论,例如,IPSec能够在ASIC、VPN设备、家电和软件上实现,但目前已有很多商家在他们的数据存储产品中实现了加密和安全认证功能。
IPSec对于其它基于IP协议的安全问题,比如互联网小型计算机接口(iSCSI)、IP上的光纤通道 (FCIP)和互联网上的光线通道 (IFCP)等,也能起到一定的的作用。
通常使用的安全认证、授权访问和加密机制包括轻量级的路径访问协议Lightweight Directory Access Protocol (LDAP)、远程认证拨入用户服务(RADIUS), 增强的终端访问控制器访问控制系统(TACACS+)、Kerberos、 Triple DES、高级加密标准(AES)、安全套接层 (SSL)和安全Shell(SSH)。
尽管SAN和NAS的安全机制有诸多相似之处,其实它们之间也是有区别的。很多NAS系统不仅支持SSH、SSL、Kerberos、RADIUS和LDAP安全机制,同时也支持访问控制列表(ACL)以及多级许可。这里面有一个很重要的因素是文件锁定,有很多产品商家和系统通过不同的方式来实现这一技术。例如,微软采用的为硬锁定,而基于Unix的系统采用的是相对较为松弛的建议级锁定。由此可以看到,如果在Windows-Unix混合环境下,将会带来一定的问题。
呼唤存储安全标准化
SAN安全的实现基础在交换机这一层。因此,存储交换机的标准对网络产品制造商的技术提供方式的影响是至关重要的。
存储安全标准化进程目前还处于萌芽阶段。ANSI成立了T11光纤通信安全协议(FC-SP)工作组来设计存储网络基础设施安全标准的框架。目前已经提交了多个协议草案,包括FCSec协议,它实现了IPSec和光纤通讯的一体化;同时提交的还有针对光纤通讯的挑战握手认证协议(CHAP)的一个版本;交换联结认证协议(SLAP)使用了数字认证使得多个交换机能够互相认证;光纤通信认证协议(FCAP)是SLAP的一个扩展协议。IEEE的存储安全工作组正在准备制定一个有关将加密算法和方法标准化的议案。
存储网络工业协会(SNIA)于2002年建立了存储安全工业论坛(SSIF),但是由于不同的产品商支持不同的协议,因此实现协议间的互操作性还有很长一段路要走。
关注存储交换安全
大家都已经注意到了为了保证存储安全,应该在存储交换机和企业网络中的其它交换机上应用相同的安全预警机制,因此,对于存储交换机也应有一些特殊的要求。
存储交换安全最重要的一个方面是保护光纤管理接口,如果管理控制台没有很好的安全措施,则一个非授权用户有可能有意或无意地入侵系统或改变系统配置。有一种分布锁管理器可以防止这类事情发生。用户需要输入ID和加密密码才能够访问交换机光纤的管理界面。为了将SAN设备的管理端口通过安全认证机制保护起来,最好是将SAN配置管理工作集中化,并且对管理控制台和交换机之间的通讯进行加密。另外一个方面,在将交换机接入到光纤网络之前,也应该通过ACL和PKI机制实现授权访问和安全认证。因此,交换机间链接应当建立在严密的安全防范措施下。那么,仅有得到授权的主机才被允许链接到交换光纤,利用端口级的ACL,网络管理员可以将具体的每个端口分派给可以允许联结的主机。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
与分析师 Jon Toigo 探讨当今的磁带介质(下)
虽然多年以来客户对磁带存储的应用需求呈现日渐萎缩趋势,但兼具众多优点的磁带介质本身在长期归档和灾难恢复等方面的贡献不容小觑。
-
存储安全:最后一道防线
一般来说,黑客都是从获得root访问权开始的,一旦获得root访问权,可以说你的任何文件,只要入侵者想要,他们都是可以取走的,那么数据安全从何谈起?
-
企业实现数据安全加密备份的方法
数据安全加密对于企业来说是十分重要的,现在很多备份软件都提供数据安全加密功能,因此如何应用这些备份软件进行数据安全加密备份变得十分重要。
-
应用实例分析 云存储面临安全风险
在我们日常的生活应用中都接触过云存储,那么云存储到底能用来干什么?云存储能用在什么样的业务系统中?以下是云存储的应用实例。