保護SAN數據安全的方法

 儘管目前對於在哪一級設備應用存儲安全控制是最優的尚未一個明確的結論，例如，IPSec可以在ASIC、×××設備、家電和軟件上實現，但目前已有不少商家在他們的數據存儲產品中實現了加密和安全認證功能。

FC、IP網絡的安全性

不管是光纖通道仍是IP網絡，主要的潛在威脅來自非受權訪問，特別是管理接口。例如，一旦得到和存儲區域網絡(SAN)相鏈接服務器管理員的權限，欺詐進入就能夠得逞。這樣***者能夠訪問任何一個和SAN鏈接的系統。所以，不管使用的是哪種存儲網絡，應該認識到應用充分的權限控制、受權訪問、簽名認證的策略對防止出現安全漏洞是相當重要的。

測錯***在IP網絡中也比在光纖通道的SAN中易於實現。針對這類***，通常是採用更爲複雜的加密算法。

儘管DoS彷佛不多發生，可是這並不意味着不可能。然而若是要在光纖通道SAN上實現DoS***，則不是通常的***軟件所能實現的，由於它每每須要更爲專業的安全知識。

實現SAN數據安全方法

保證SAN數據安全的兩個基本安全機制是分區制zoning和邏輯單元值(Logical Unit Number)掩碼。

分區制是一種分區方法。經過該方法，必定的存儲資源只對於那些經過受權的用戶和部門是可見的。一個分區能夠由多個服務器、存儲設備、子系統、交換機、HBA和其它計算機組成。只有處於同一個分區的成員才能夠互相通信。

分區制每每在交換級來實現。根據實現方式，能夠分爲兩種模式，一爲硬分區，一爲軟分區。硬分區是指根據交換端口來制定分區策略。全部試圖經過未受權端口進行的通信均是被禁止的。因爲硬分區是在系統電路里來實現，並在系統路由表中執行，所以，較之軟分區，具備更好的安全性。

在光纖通道網絡中，軟分區是基於廣域命名機制的(WWN)的。WWN是分配給網絡中光纖設備的惟一識別碼。因爲軟分區是經過軟件來保證在不一樣的分區中不會出現相同的WWNs，所以，軟分區技術比硬分區具備更好的靈活性，特別是在網絡配置常常變化的應用中具備很好的可管理性。

有些交換機具備端口綁定功能，從而能夠限制網絡設備只能和經過預約義的交換端口進行通信。利用這種技術，能夠實現對存儲池的訪問限制，從而保護SAN免受非受權用戶的訪問。

另外一種被普遍採用的技術是LUN掩碼。一個LUN就是對目標設備(如磁帶和磁盤陣列)內邏輯單元的SCSI識別標誌。在光纖通道領域，LUN是基於系統的WWN實現的。

LUN掩碼技術是將LUN分配給主機服務器，這些服務器只能看到分配給它們的LUN。若是有許多服務器試圖訪問特定的設備，那麼網絡管理者能夠設定特定的LUN或LUN組能夠訪問，從而能夠拒絕其它服務器的訪問，起到保護數據安全的目的。不只在主機上，並且在HBA、存儲控制器、磁盤陣列、交換機上也能夠實現各類形式的LUN屏蔽技術。

若是可以將分區制和LUN技術與其它的安全機制共同運用到網絡及其設備上的話，對網絡安全數據安全將是很是有效的。

呼喚存儲安全標準化

SAN數據安全的實現基礎在交換機這一層。所以，存儲交換機的標準對網絡產品製造商的技術提供方式的影響是相當重要的。

存儲安全標準化進程目前還處於萌芽階段。ANSI成立了T11光纖通訊安全協議(FC-SP)工做組來設計存儲網絡基礎設施安全標準的框架。目前已經提交了多個協議草案，包括FCSec協議，它實現了IPSec和光纖通信的一體化;同時提交的還有針對光纖通信的挑戰握手認證協議(CHAP)的一個版本;交換聯結認證協議(SLAP)使用了數字認證使得多個交換機可以互相認證;光纖通訊認證協議(FCAP)是SLAP的一個擴展協議。IEEE的存儲安全工做組正在準備制定一個有關將加密算法和方法標準化的議案。

存儲網絡工業協會(SNIA)於2002年創建了存儲安全工業論壇(SSIF)，可是因爲不一樣的產品商支持不一樣的協議，所以實現協議間的互操做性還有很長一段路要走。

關注存儲交換安全

你們都已經注意到了爲了保證存儲安全，應該在存儲交換機和企業網絡中的其它交換機上應用相同的安全預警機制，所以，對於存儲交換機也應有一些特殊的要求。

存儲交換安全最重要的一個方面是保護光纖管理接口，若是管理控制檯沒有很好的安全措施，則一個非受權用戶有可能有意或無心地***系統或改變系統配置。有一種分佈鎖管理器能夠防止這類事情發生。用戶須要輸入ID和加密密碼纔可以訪問交換機光纖的管理界面。爲了將SAN設備的管理端口經過安全認證機制保護起來，最好是將SAN配置管理工做集中化，而且對管理控制檯和交換機之間的通信進行加密。另一個方面，在將交換機接入到光纖網絡以前，也應該經過ACL和PKI機制實現受權訪問和安全認證。所以，交換機間連接應當創建在嚴密的安全防範措施下。那麼，僅有獲得受權的主機才被容許連接到交換光纖，利用端口級的ACL，網絡管理員能夠將具體的每一個端口分派給能夠容許聯結的主機。