SAN存儲(chǔ)網(wǎng)絡(luò)安全建設(shè)探析

孫煒剛　王焱

摘 要：隨著大容量網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)的大規(guī)模應(yīng)用，存儲(chǔ)環(huán)境及存儲(chǔ)結(jié)構(gòu)發(fā)生了顯著的變化，網(wǎng)絡(luò)存儲(chǔ)安全面臨嚴(yán)峻的挑戰(zhàn)。SAN存儲(chǔ)網(wǎng)絡(luò)由于通常使用專(zhuān)用局域網(wǎng)絡(luò)，專(zhuān)門(mén)處理在數(shù)據(jù)中心內(nèi)的主機(jī)與目標(biāo)設(shè)備之間的數(shù)據(jù)通訊問(wèn)題，從而給人感覺(jué)具有比較高的安全性。然而由于存儲(chǔ)區(qū)域網(wǎng)絡(luò)能夠共享存儲(chǔ)資源，使得SAN具有潛在的不安全性，該文針對(duì)SAN存儲(chǔ)中企業(yè)核心數(shù)據(jù)的安全問(wèn)題，從物理存儲(chǔ)區(qū)域部署、數(shù)據(jù)傳輸、數(shù)據(jù)冗余、數(shù)據(jù)授權(quán)訪(fǎng)問(wèn)等各個(gè)環(huán)節(jié)進(jìn)行了安全建設(shè)的探討，提出了全方位多層次保障SAN存儲(chǔ)網(wǎng)絡(luò)安全的方法。

關(guān)鍵詞：SAN 安全 分區(qū) 數(shù)據(jù)加密 鏡像 授權(quán)訪(fǎng)問(wèn)

中圖分類(lèi)號(hào)：TP30 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2015）11（b）-0122-03

近年來(lái)，隨著互聯(lián)網(wǎng)及電子政務(wù)、電子商務(wù)以及其他相關(guān)應(yīng)用的迅速發(fā)展，數(shù)據(jù)成為網(wǎng)絡(luò)中最珍貴的資產(chǎn)，數(shù)據(jù)存儲(chǔ)在容量上和性能上的要求越來(lái)越高，存儲(chǔ)系統(tǒng)日益成為企業(yè)信息系統(tǒng)的核心。SAN是使用高速鏈路將存儲(chǔ)設(shè)備和服務(wù)器連接在一起而形成的網(wǎng)絡(luò)，SAN存儲(chǔ)網(wǎng)絡(luò)在存儲(chǔ)規(guī)模、可擴(kuò)展性、靈活性、存儲(chǔ)速度、集成化管理等方面具有優(yōu)勢(shì)，已經(jīng)被越來(lái)越多地使用在存儲(chǔ)系統(tǒng)的構(gòu)建中。有效解決SAN存儲(chǔ)網(wǎng)絡(luò)在數(shù)據(jù)使用、傳輸和存儲(chǔ)中的安全問(wèn)題，成為SAN存儲(chǔ)系統(tǒng)建設(shè)的重要任務(wù)。

1 SAN架構(gòu)存在的主要安全問(wèn)題

（1）與傳統(tǒng)單臺(tái)服務(wù)器直接連接自己的專(zhuān)屬存儲(chǔ)設(shè)備不同，一個(gè)SAN存儲(chǔ)陣列通常供多臺(tái)運(yùn)行著不同操作系統(tǒng)的服務(wù)器訪(fǎng)問(wèn)，這就意味著必須有嚴(yán)格的措施來(lái)控制數(shù)據(jù)訪(fǎng)問(wèn)的范圍，同時(shí)影響SAN的安全因素?cái)U(kuò)大，不可能僅僅依賴(lài)于單臺(tái)服務(wù)器操作系統(tǒng)的安全性。此外，SAN存儲(chǔ)網(wǎng)絡(luò)中還包含F(xiàn)C交換機(jī)、管理控制設(shè)備、備份服務(wù)器等許多其他設(shè)備，也大大增加了SAN存儲(chǔ)網(wǎng)絡(luò)遭到安全威脅的風(fēng)險(xiǎn)和被攻擊的幾率。

（2）任何網(wǎng)絡(luò)主要的數(shù)據(jù)安全威脅來(lái)自非授權(quán)訪(fǎng)問(wèn)，尤其是管理接口。一旦惡意用戶(hù)獲得到與存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN）相連接服務(wù)器管理員的權(quán)限，入侵者就可以訪(fǎng)問(wèn)任何一個(gè)和SAN連接的系統(tǒng)，從而造成嚴(yán)重的數(shù)據(jù)失竊。

（3）一些網(wǎng)絡(luò)嗅探工具會(huì)攔截SAN中傳輸?shù)臄?shù)據(jù)，如果數(shù)據(jù)是以明文形式傳輸?shù)?，就很容易被黑客解析還原，從而導(dǎo)致敏感信息被竊。

（4）存儲(chǔ)設(shè)備中以明文存儲(chǔ)的數(shù)據(jù)，如果存儲(chǔ)介質(zhì)被竊取，將造成敏感數(shù)據(jù)失密事件。數(shù)據(jù)在靜態(tài)存儲(chǔ)下的安全問(wèn)題是至關(guān)重要的，應(yīng)避免數(shù)據(jù)以明文的形式存儲(chǔ)。

（5）由于某種原因，存儲(chǔ)系統(tǒng)遭到破壞時(shí)，損毀的部件可能導(dǎo)致整個(gè)存儲(chǔ)系統(tǒng)癱瘓，因此必須保證存儲(chǔ)系統(tǒng)擁有足夠的冗余性，以確保數(shù)據(jù)安全和數(shù)據(jù)恢復(fù)。

（6）來(lái)自外部的存儲(chǔ)網(wǎng)絡(luò)安全威脅有：拒絕服務(wù)攻擊、中間人、電子欺騙等。拒絕服務(wù)攻擊使資源過(guò)載，從而阻止了合法用戶(hù)訪(fǎng)問(wèn)資源；中間人攻擊冒合法交換機(jī)地址，一旦數(shù)據(jù)流向該偽造交換機(jī)，傳輸?shù)臄?shù)據(jù)就被竊聽(tīng)和泄漏；電子欺騙攻擊利用有漏洞的合法程序向存儲(chǔ)網(wǎng)絡(luò)發(fā)出請(qǐng)求，從而竊取數(shù)據(jù)。

2 SAN存儲(chǔ)安全問(wèn)題的主要應(yīng)對(duì)技術(shù)介紹

2.1 SAN分區(qū)

SAN分區(qū)就是通過(guò)在SAN交換機(jī)上進(jìn)行ZONE（區(qū)域）的劃分，將連接在SAN網(wǎng)絡(luò)中的設(shè)備，邏輯上劃分為不同的區(qū)域。一個(gè)分區(qū)可以由多個(gè)服務(wù)器、存儲(chǔ)設(shè)備、光纖交換機(jī)、HBA卡等組成。只有同一個(gè)分區(qū)的設(shè)備才可以互相通訊，不同分區(qū)的設(shè)備相互間不能訪(fǎng)問(wèn)，從而達(dá)到SAN中服務(wù)器和設(shè)備相互隔離的目的。區(qū)域的劃分是在光纖交換機(jī)上進(jìn)行的，對(duì)服務(wù)器或其他存儲(chǔ)設(shè)備是完全透明的，在它們上面不需要進(jìn)行任何的配置。SAN網(wǎng)絡(luò)的區(qū)域劃分通常有以下幾種方法。

2.1.1 端口分區(qū)

使用光纖交換機(jī)物理端口的FC地址來(lái)定義分區(qū)，也稱(chēng)為硬分區(qū)。在端口分區(qū)里，是否可訪(fǎng)問(wèn)數(shù)據(jù)取決于節(jié)點(diǎn)連接到哪個(gè)物理交換端口。使用這種分區(qū)安全性比軟分區(qū)高，但該方法要求在光纖通道的連接變更時(shí)，必須修改分區(qū)配置信息。

2.1.2 WWN分區(qū)

WWN分區(qū)使用設(shè)備的WWN（萬(wàn)維網(wǎng)名稱(chēng)，World Wide Name）名稱(chēng)來(lái)定義分區(qū)。WWN分區(qū)也被稱(chēng)為軟分區(qū)。WWN分區(qū)的一個(gè)主要優(yōu)點(diǎn)就是它的靈活性：它允許在SAN中變更連線(xiàn)但并不需要重新配置分區(qū)信息。

2.1.3 混合分區(qū)

混合分區(qū)結(jié)合了WWN分區(qū)和端口分區(qū)的優(yōu)點(diǎn)。使用混合分區(qū)可以將光纖交換機(jī)的一個(gè)特定的端口綁定到一個(gè)節(jié)點(diǎn)的WWN上。

2.2 邏輯單元屏蔽（LUN masking）

LUN是SAN中磁盤(pán)邏輯單元的SCSI標(biāo)志，在光纖通道領(lǐng)域，LUN是基于系統(tǒng)的WWN實(shí)現(xiàn)的。分區(qū)一般與LUN掩碼結(jié)合，來(lái)加強(qiáng)控制服務(wù)器對(duì)存儲(chǔ)器的訪(fǎng)問(wèn)。但是，兩者在不同過(guò)程層面進(jìn)行控制：分區(qū)工作在光纖通道層，而LUN掩碼工作在陣列層。

在SAN存儲(chǔ)網(wǎng)絡(luò)中，任何一個(gè)服務(wù)器和所有存儲(chǔ)系統(tǒng)在物理上是相通的。采用LUN掩碼技術(shù)，可限制特定的服務(wù)器只能訪(fǎng)問(wèn)分配給它的特定的邏輯存儲(chǔ)空間（LUN）。如果有多個(gè)服務(wù)器訪(fǎng)問(wèn)同一特定設(shè)備，可以通過(guò)設(shè)定特定的LUN組，并允許組內(nèi)服務(wù)器可訪(fǎng)問(wèn)該特定設(shè)備。這樣就可以拒絕其他服務(wù)器對(duì)該LUN的訪(fǎng)問(wèn)，從而起到保護(hù)數(shù)據(jù)安全的目的。

2.3 保護(hù)存儲(chǔ)管理網(wǎng)絡(luò)

存儲(chǔ)設(shè)備都設(shè)有專(zhuān)門(mén)的管理端口，可通過(guò)串口和以太網(wǎng)口進(jìn)行管理。管理口通常只有用戶(hù)名口令等基本安全校驗(yàn)，沒(méi)有更多的安全防護(hù)措施，這使管理口本身容易招收攻擊而成為安全的短板。應(yīng)該采取措施使管理口不直接與數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行連接。

2.4 數(shù)據(jù)加密

存儲(chǔ)中存放的數(shù)據(jù)和在連接中流動(dòng)的數(shù)據(jù)均會(huì)受到數(shù)據(jù)盜竊的威脅，包括傳輸時(shí)篡改數(shù)據(jù)（破壞數(shù)據(jù)完整性）、私密信息泄露和存儲(chǔ)介質(zhì)失竊（損害數(shù)據(jù)可用性和保密性）。為了阻止這些威脅，需要加密存儲(chǔ)在存儲(chǔ)介質(zhì)上的數(shù)據(jù)或加密即將傳送到磁盤(pán)上的數(shù)據(jù)。

常用的數(shù)據(jù)加密方法有：（1）文件系統(tǒng)加密。（2）采用加密設(shè)備加密。通常文件系統(tǒng)加密會(huì)略微降低系統(tǒng)性能；采用加密設(shè)備，則成本較高。

“封裝安全凈載”（ESP）可以對(duì)光纖傳輸數(shù)據(jù)進(jìn)行加密，以確保安全性。以太網(wǎng)傳輸能通過(guò)SSL或者類(lèi)似的協(xié)議來(lái)加密。這些加密技術(shù)可以使用不同的加密程度使得被竊數(shù)據(jù)沒(méi)有可乘之機(jī)。目前，已經(jīng)有一些廠商提供在SAN中進(jìn)行加密的方案。由于光纖通道SAN尤其關(guān)注高性能，因此加密方案應(yīng)該盡量不影響SAN的性能，所以多數(shù)方案都是基于硬件的加密。

2.5 鏡像技術(shù)

鏡像技術(shù)用于存儲(chǔ)設(shè)備內(nèi)部，或者主存儲(chǔ)和備存儲(chǔ)之間，或者主數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的數(shù)據(jù)冗余備份。鏡像是在兩個(gè)或多個(gè)磁盤(pán)或磁盤(pán)子系統(tǒng)上產(chǎn)生同一個(gè)數(shù)據(jù)的鏡像視圖的信息存儲(chǔ)過(guò)程，一個(gè)叫主鏡像系統(tǒng)，另一個(gè)叫從鏡像系統(tǒng)。按主從鏡像存儲(chǔ)系統(tǒng)所處的位置可分為本地鏡像和遠(yuǎn)程鏡像。遠(yuǎn)程鏡像按請(qǐng)求鏡像的主機(jī)是否需要遠(yuǎn)程鏡像站點(diǎn)的確認(rèn)信息，有可分為同步遠(yuǎn)程鏡像和異步遠(yuǎn)程鏡像。

同步遠(yuǎn)程鏡像是指通過(guò)遠(yuǎn)程鏡像軟件，將本地?cái)?shù)據(jù)以完全同步的方式復(fù)制到異地，本地的每一個(gè)I/O事物均需等待遠(yuǎn)程復(fù)制的內(nèi)容完成確認(rèn)信息，方予以釋放。同步鏡像使遠(yuǎn)程拷貝總能與本地機(jī)要求復(fù)制的內(nèi)容相匹配。同步鏡像使遠(yuǎn)程拷貝總能與本地機(jī)要求復(fù)制的內(nèi)容相匹配，但它存在往返傳播造成延時(shí)較長(zhǎng)的缺點(diǎn)，只限于在相對(duì)較近的距離上的應(yīng)用。

異步遠(yuǎn)程鏡像保證在更新遠(yuǎn)程存儲(chǔ)視圖前完成向本地存儲(chǔ)系統(tǒng)的基本I/O操作，而由本地存儲(chǔ)系統(tǒng)提供給請(qǐng)求鏡像主機(jī)的I/O操作完成確認(rèn)信息。遠(yuǎn)程的數(shù)據(jù)復(fù)制是以后臺(tái)同步的方式進(jìn)行的，這使本地系統(tǒng)性能受到的影響很小，傳輸距離長(zhǎng)，對(duì)網(wǎng)絡(luò)帶寬要求小。但是，如果出現(xiàn)傳輸失敗，可能出現(xiàn)數(shù)據(jù)一致性問(wèn)題。

2.6 快照技術(shù)

快照技術(shù)通過(guò)控制軟件對(duì)要備份的磁盤(pán)子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個(gè)要備份數(shù)據(jù)的快照邏輯單元號(hào)LUN和快照Cache，在快速掃描時(shí)，把備份過(guò)程中即將要修改的數(shù)據(jù)塊同時(shí)快速拷貝到快照Cache中。快照LUN是一組指針，它指向快照Cache和磁盤(pán)子系統(tǒng)中不變的數(shù)據(jù)塊。在正常業(yè)務(wù)進(jìn)行的同時(shí)，利用快照LUN實(shí)現(xiàn)對(duì)原數(shù)據(jù)的一個(gè)完全且快速的備份。

2.7 基于磁帶庫(kù)的備份系統(tǒng)

基于磁帶庫(kù)的備份系統(tǒng)可以提供基本自動(dòng)備份和數(shù)據(jù)恢復(fù)功能，且備份存儲(chǔ)容量達(dá)到TB級(jí)。在專(zhuān)用備份軟件管理下可進(jìn)行集中式網(wǎng)絡(luò)數(shù)據(jù)備份，實(shí)現(xiàn)連續(xù)備份、智能恢復(fù)、實(shí)時(shí)監(jiān)控統(tǒng)計(jì)等功能，為保證數(shù)據(jù)完整性和安全性提供了保障。

3 SAN存儲(chǔ)架構(gòu)的全方位、多層次安全措施

3.1 劃分SAN存儲(chǔ)網(wǎng)絡(luò)安全區(qū)域

通過(guò)前述的SAN存儲(chǔ)風(fēng)險(xiǎn)要素分析，可以看出為保護(hù)信息資產(chǎn)安全，必須建立一個(gè)包含多層次安全措施的SAN安全架構(gòu)。利用現(xiàn)有安全技術(shù)，通常將SAN網(wǎng)絡(luò)化分為5個(gè)不同功能的區(qū)域，然后在各個(gè)切入點(diǎn)進(jìn)行安全建設(shè)，分別為：主機(jī)連接交換機(jī)區(qū)域、管理機(jī)連接交換機(jī)區(qū)域、存儲(chǔ)器連接交換機(jī)區(qū)域、遠(yuǎn)程主機(jī)區(qū)域和交換機(jī)連接交換機(jī)區(qū)域。針對(duì)5種功能區(qū)通常采用的安全防護(hù)手段如圖1所示。

3.2 安全區(qū)域A（主機(jī)連接交換機(jī)區(qū)域）的安全措施

僅允許授權(quán)的服務(wù)器進(jìn)行FC訪(fǎng)問(wèn)，防護(hù)措施如下。

（1）使用訪(fǎng)問(wèn)控制列表：使已知的HBA（光纖通道總線(xiàn)適配器）只可以連接到指定交換機(jī)的指定端口。

（2）使用端口分區(qū)和WWN分區(qū)等的安全分區(qū)方法，進(jìn)行區(qū)域隔離，使只有指定端口之間可以訪(fǎng)問(wèn)存儲(chǔ)資源。

（3）通過(guò)采用基于磁帶庫(kù)的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)，實(shí)現(xiàn)自動(dòng)的完全備份、增量備份、快速數(shù)據(jù)恢復(fù)等功能，保證了數(shù)據(jù)的安全性。

3.3 安全區(qū)域B（交換機(jī)連接交換機(jī)區(qū)域）

重點(diǎn)保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)信息流，防護(hù)措施有以下幾種。

（1）使用E_Port綁定認(rèn)證。E端口是專(zhuān)門(mén)用于連接交換機(jī)和交換機(jī)的端口，通過(guò)網(wǎng)絡(luò)綁定可以防止未經(jīng)授權(quán)的交換機(jī)加入網(wǎng)絡(luò)中任何已存在的交換機(jī)。

（2）加密傳輸數(shù)據(jù)。采用SAN加密交換機(jī)實(shí)現(xiàn)基于光纖的加密，可在不影響性能的情況下，對(duì)傳輸數(shù)據(jù)進(jìn)行加密。

（3）實(shí)施FC交換機(jī)端口控制。進(jìn)行端口綁定可以：限制連接到交換機(jī)特定端口的設(shè)備數(shù)量；只允許相應(yīng)交換機(jī)連接到一個(gè)節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)；可以禁用暫時(shí)不用的端口，防止閑置端口被非法使用。

3.4 安全區(qū)域C（存儲(chǔ)器連接交換機(jī)區(qū)域）

保護(hù)SAN上的存儲(chǔ)陣列，措施如下。

（1）采用基于WWN的LUN掩碼技術(shù)，使不同的主機(jī)只能訪(fǎng)問(wèn)指定的存儲(chǔ)資源。

（2）利用SOURCE ID鎖定，實(shí)現(xiàn)基于源FCID（光纖通道ID/地址）的屏蔽，使偽裝的HBA WWN無(wú)法登入系統(tǒng)。

（3）采用SAN存儲(chǔ)設(shè)備的鏡像技術(shù)和快照技術(shù)，提高存儲(chǔ)系統(tǒng)的可靠性。

（4）采用文件系統(tǒng)等加密方法對(duì)數(shù)據(jù)進(jìn)行加密，以實(shí)現(xiàn)存儲(chǔ)系統(tǒng)中靜態(tài)數(shù)據(jù)的保密。

3.5 安全區(qū)域D（管理機(jī)連接交換機(jī)區(qū)域）

授權(quán)訪(fǎng)問(wèn)管理網(wǎng)段，措施如下。

（1）建立專(zhuān)用的管理網(wǎng)絡(luò)。為管理數(shù)據(jù)流創(chuàng)建一個(gè)單獨(dú)的私有的管理網(wǎng)絡(luò)，將存儲(chǔ)系統(tǒng)相關(guān)設(shè)備管理功能集中到該存儲(chǔ)管理網(wǎng)絡(luò)，從而將管理數(shù)據(jù)流與生產(chǎn)數(shù)據(jù)流隔離開(kāi)。設(shè)立專(zhuān)門(mén)的存儲(chǔ)管理服務(wù)器用于管理存儲(chǔ)系統(tǒng)，限制管理網(wǎng)絡(luò)中網(wǎng)絡(luò)活動(dòng)和訪(fǎng)問(wèn)只發(fā)生在一個(gè)有限的主機(jī)集合，從而防止未授權(quán)設(shè)備訪(fǎng)問(wèn)獲取網(wǎng)絡(luò)內(nèi)各存儲(chǔ)設(shè)備接口的訪(fǎng)問(wèn)權(quán)。

（2）建立基于角色的訪(fǎng)問(wèn)控制，使指定角色的管理員只能進(jìn)行指定權(quán)限的訪(fǎng)問(wèn)及管理操作。認(rèn)證FC交換機(jī)的管理員，使用雙因素認(rèn)證服務(wù)器對(duì)登錄管理機(jī)的人員進(jìn)行身份認(rèn)證。

3.6 安全區(qū)域E（與遠(yuǎn)程主機(jī)或遠(yuǎn)程存儲(chǔ)網(wǎng)絡(luò)連接）

（1）與遠(yuǎn)程主機(jī)或存儲(chǔ)網(wǎng)絡(luò)連接需要通過(guò)第三方網(wǎng)絡(luò)或設(shè)備，必須對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密。

（2）連接遠(yuǎn)程FC網(wǎng)絡(luò)的，可采用專(zhuān)門(mén)的存儲(chǔ)加密網(wǎng)關(guān)，實(shí)現(xiàn)統(tǒng)一的加密存儲(chǔ)服務(wù)。

（3）連接遠(yuǎn)程IP網(wǎng)絡(luò)的，可采用IP網(wǎng)絡(luò)加密方法，通常使用IPSec協(xié)議實(shí)現(xiàn)傳輸中的數(shù)據(jù)進(jìn)行加密。

4 結(jié)語(yǔ)

總體來(lái)說(shuō)，SAN存儲(chǔ)網(wǎng)絡(luò)環(huán)境中的安全性是一個(gè)復(fù)雜的問(wèn)題，必須針對(duì)各種常見(jiàn)風(fēng)險(xiǎn)和攻擊對(duì)癥下藥，綜合考慮包括數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、設(shè)備管理安全、系統(tǒng)應(yīng)用安全等多方面的因素，從傳統(tǒng)的邊界安全向全方位深度防御轉(zhuǎn)移，將各種安全措施嵌入、集成到所有安全相關(guān)組件中，才能構(gòu)建一個(gè)全方位、多層次的安全防護(hù)系統(tǒng)，最大程度抵御這些威脅，安全地提高數(shù)據(jù)資源的可訪(fǎng)問(wèn)性及利用率。

參考文獻(xiàn)

[1] 韓得志，余順爭(zhēng)，謝長(zhǎng)生.融合NAS和SAN的存儲(chǔ)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].電子學(xué)報(bào)，2006，34（11）：2012-2017.

[2] 張民，徐躍進(jìn).網(wǎng)絡(luò)安全試驗(yàn)教程[M].北京：清華大學(xué)出版社，2007.

[3] 姜明華，周敬利，丁益洋.基于三方傳送的存儲(chǔ)管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用，2007，43（33）：37-40.

[4] 郭玉東，尹青.基于對(duì)象的網(wǎng)絡(luò)存儲(chǔ)[M].北京：電子工業(yè)出版社，2007.

[5] 殷偉.計(jì)算機(jī)安全與病毒防治[M].合肥：安徽科學(xué)技術(shù)出版社，2004.