数据存储产业服务平台

浅说存储网络的威胁隐患及防护

1威胁

存储网络已在部分企业单位安装部署,不少企业在实施后面临新的安全问题,安全正在超越服务器,进入存储网络。当存储环境处于隔离状态时,只需控制对于应用的访问和实施存储数据物理保护措施就足以限制网络漏洞,最大限度地减少存储基础设施所面临的威胁。但是随着网络存储的发展,新的漏洞层出不穷。新的互相连接的接入点让存储环境直接面临着新的威胁和漏洞所带来的影响。

2隐患

在主机上目前主要漏洞来自于不安全的主机对存储网络的访问。可以是对方控制了主机,或者某个应用中隐藏的特洛伊木马。如为了访问存储而伪造主机身份;为了监控存储数据而窃听存储网络;对于存储网络的拒绝服务攻击。

在网络河能存在对方利用存储管理应用执行非法操作,通过某个未经允许的服务器伪装控制台或者存储管理服务器,从而执行未经授权的操作。

在数据上,复制和复制管理服务很容易受到源自于网络或者存储管理的不当使用所造成的安全漏洞,如存储管理员未经授权的复制操作;通过对复制网络的窃听活动,窃取机密信息;伪装成一台故障恢复服务器,以窃取数据;在网络上窜改所复制的数据。

3安全理念

3.1全面的安全保护

安全是存储网络的一个关键特性。它可能会影响到存储解决方案的所有组成部乐一个完整的存储安全解决方案需要考虑所有可能的存储接人点和安全机制的管理。在静态数据的保护中关注的是保护存储在阵列中的数据,它包括防病毒、电子数据销毁或者静态数据加密,这种保护主要是为了防止数据受到用户对阵列的物理访问的影响。还必须保护主机和存储管理应用对存储的访问:存储分隔通过只向主机提供对主机应用需要访问的部分存储的访问权限,降低了存储被主机访问的可能性,它可以利用LUN屏蔽和分区,对主机的存储访问和在数据复制过程中进行统一的控制。存储管理安全可以保护和控制存储管理应用对存储的访问。基于政策的存储区域网络安全管理可以确保对存储区域网络安全参数的管理和监控。

3.2静态数据的保护

当新的威胁和攻击试图访问或者破坏存储数据时,存储平台必须能够与可以消除这些威胁的专业技术进行交互操作。从专门针对网络附加存储的防病毒保护、电子数据销毁到静态数据的加密。

3.3防病毒和内容安全

网络存储必须与内容安全技术紧密地结合起来。在内容被存储到存储平台时和被恢复到某个备用存储时对内容进行动态扫描,扫描存储内容中是否存在恶意代码和非法的、不适当的内容。

3.4静态数据的加密

对于加密数据的需求通常取决于数据的敏感性或者数据所在的存储的类型,敏感信息的加密。信息的敏感性取决于业务和政策要求,敏感信息的数据加密为其他数据访问控制机制增加了一个保护层,有助于达到隐私权法规的要求。

3.5远程服务的安全性

有些存储管理应用可以提供在互联网上的远程存储服务。在这种情况下,互联网的使用将会大大增加人们对于保护管理组件之间的通信安全的需求。在大多数情况下,SSL被用作远程存储管理服务的一个安全的通信渠道。

3.6基于政策的安全管理

目前,基于政策的管理在安全领域中发展得比较完善,安全政策的实例包括基于角色的用户管理政策,它可以设定关于添加和移除用户的应用访问权限的规则;或者参考配置政策,它可以为安全的应用实施定义配置模板。为了加强和监控这些安全实施,企业已经部署了很多覆盖整个企业的安全管理工具,并组建了集中 的安全管理团队,以执行一些过往由系统或应用管理员负责的安全管理任务。并采用一些技术,例如目录管理技术、身份管理解决方案、入侵检测或者日志管理应用来加强和监控他们的安全政策。

4防护策略

目前在我公司内部,采用的是2家主流的大型存储设备厂商的产品(EMC2和Netapp),在具体防护措施手段上不同,但防护策略基本一致。一是保持网络运行的完整性,防止未经授权的主机或者交换机接人网络或者导致网络中断:采用冗余的交换机,设置ZONE,进一步提高存储系统访问控制。二是重要数 据存放到存储网络上。三是阵列内的数据采用RAID保护及系统自带保护措施。四是分隔主机对存储卷和阵列的访问,禁止未经授权的跨组访问,保护和隔离数 据。五是存储网络阵列内部可利用SnapVie,功能做数据的备份。六是建立远程容灾机房,远距离复制数据。七是采取多级备份措施,将备份出来的数据再进 行异地磁带备份。

未经允许不得转载:存储在线-存储专业媒体 » 浅说存储网络的威胁隐患及防护