Upload
lee-hewitt
View
52
Download
0
Embed Size (px)
DESCRIPTION
信息存储与管理. 国家天文台 (科技处)信息与计算中心. 上一讲:远程复制. 确保存储基础设施安全. 下一讲:管理存储基础设施. 第十五讲. 确保存储基础设施安全. 主讲人:滕一民. 网络安全与存储安全. 一个没有连接到存储网络的存储设备不是那么脆弱 , 因为它们没有通过网络暴露在安全威胁之下 . 许多存放个人信息 , 金融交易等重要信息的存储阵列 , 由于业务需要也被连接在互联网上 , 以便用户通过网络进行访问 - PowerPoint PPT Presentation
Citation preview
信息存储与管理
国家天文台(科技处)信息与计算中心
确保存储基础设施安全
下一讲:管理存储基础设施
上一讲:远程复制
确保存储基础设施安全
主讲人:滕一民
第十五讲
网络安全与存储安全 一个没有连接到存储网络的存储设备不是那么脆弱 , 因为
它们没有通过网络暴露在安全威胁之下 . 许多存放个人信息 , 金融交易等重要信息的存储阵列 , 由
于业务需要也被连接在互联网上 , 以便用户通过网络进行访问
象 google, 网上购物 , 网上订票 , 网上银行等网站 , 用户都可以通过网络访问网站 , 搜索信息 , 购物 , 办理业务 , 这些网站的存储阵列就被以某种方式连接在互联网上了 .
互联网连接着个人计算机 , 服务器 , 网络和存储设备 , 这使得互联网容易受到各种攻击 . 对于互联网的安全问题我们大家都会有一些感受和体验 , 计算机中病毒的情况大家可能都遇到过 .
网络安全与存储安全存储设备连到互联网上 , 就使存储设备暴露于多
种安全威胁之下 , 如病毒 , 木马 , 黑客攻击等这些威胁有可能破坏关键业务数据 , 中断关键服
务 . 比如一个购物网站的业务数据被破坏 , 该给用户送货 , 也无法送货 , 比如网上订票网站的业务数据被破坏 , 该给用户送票却没有送 , 会给用户带来很大不便 , 也会损害网站的信誉 . 如果金融服务网站由于业务数据被破坏而出现问题 , 可能会给用户或银行造成更大损失
确保存储网络安全已成为存储管理过程中不可缺少的组成部分
网络安全与存储安全
网络安全是相对的 , 存储网络安全作为网络安全的一部分也是相对的 . 网络上没有绝对的安全 .Google 这样的大公司都会受到攻击就说明了这一点 . 在考虑存储网络安全时也需要根据数据的重要性考虑成本 .
对于象银行这类非常重要的部门的存储系统就需要采取尽可能充分的安全措施来保证系统安全 ,对于一般的单位就要根据实际情况以及经济上的承受能力来考虑存储系统的安全解决方案
网络安全与存储安全这次讲座介绍一些存储安全的概念和各种技术措
施 , 在实际应用中需要根据情况有选择的采用这些技术措施
存储安全是一个综合性的问题,涉及相关的每一个设备,需要采取综合措施,因此会涉及到前面几章讲的各种技术和内容,如 RAID , FC 交换机的分区,存储的 LUN 屏蔽,存储虚拟化 , 备份等
本讲主要内容存储安全框架风险三要素存储安全域安全措施的实施
存储安全框架基础的安全框架是构建在四个主要的安全服务上
的 : 可稽核性 , 保密性 , 完整性和可用性 .
可稽核性服务 : 发生在数据中心基础设施的所有事件和操作都可核查 . 主
要指建立事件日志 , 可以审计和追溯发生的事件 .保密性服务 : 提供信息所要求的保密性 , 保证只有被授权的用户才能访
问数据 . 如用户认证 , 对传输中的数据和静态数据加密等 .
存储安全框架
完整性服务 :保证信息不被篡改 ,探测和防御对信息的未授权的更改
和删除 .用户认证 (既是保密性服务的一部分 , 也是完整性服务
的一部分 ,防止未被授权的用户访问和篡改信息 ).完整性服务对传输中的数据和静态数据都要采取保护
措施 .传输中的数据如果不加密也有被篡改的危险 .可用性服务 :
保证已授权用户能够可靠和及时地访问计算机系统和这些系统上的数据、应用程序
存储安全框架
可稽核性 , 保密性 , 完整性和可用性是存储安全措施所要实现的目的
这四方面是相互关联的 , 比如如果数据被非法用户删除或篡改了 ,其可用性显然就谈不上了 , 这说明数据的可用性依赖于数据的完整性 . 如果数据的保密性丧失 , 比如超级用户口令被非法用户掌握 , 那么数据以及日志就有被非法访问和删除篡改的危险 , 可见数据的完整性和可稽核性也依赖于数据的保密性
风险三要素
风险的定义 风险发生在一个威胁方 ( 攻击者 )试图利用
一个存在的漏洞来访问资产的时侯 . 威胁 , 漏洞和资产构成了风险三要素 .
资产
信息是任何组织最重要的一项资产 ,其他的资产包括硬件 , 软件以及网络基础设施
实施安全措施的两个目标 :保证已授权用户能够可靠和及时地访问数据 .(即前面
讲的可用性 )使攻击者访问和危害系统变得非常困难 .增加攻击的难
度 , 成本和代价 .
资产
安全措施提供保护 ,阻止未授权访问阻止病毒、蠕虫、木马和其他恶意程序攻击加密关键数据停止所有不用的服务 , 尽量减少潜在的安全漏洞
定期安装对操作系统和其他软件的更新复制和备份数据 ,提供冗余度 ,防止意外故障导致数据损失
资产
衡量存储安全方案的标准花费只占被保护数据价值的一小部分使潜在的攻击者得不偿失
威胁威胁是对 IT 基础设施可能实施的潜在攻击未授权访问篡改 未授权用户篡改数据 ,包括静态数据和传输中的数据拒绝服务 对一个网络或网站发送洪水般的垃圾数据阻止授权用户
的合法访问抵赖 针对信息可稽核性的攻击,如篡改日志文件 与前面讲的病毒 ,蠕虫 , 木马等相比 , 这里讲的是更有针对
性的威胁
威胁
漏洞 对于潜在的攻击来说 ,提供信息访问的路径是最脆弱的环节
纵深防御 尽可能保护一个环境内的所有访问点评估网络环境对安全的威胁度 攻击面 攻击者可以发起攻击的各种入口点 , 如硬件接口 , 各种协议 , 管理接口 , 各种网络服务如 ftp,telnet 等
攻击向量 完成一次攻击所必需的一个或一系列步骤 功系数 开发一个攻击向量需要投入的时间和精力
漏洞
计划和部署控制措施减少安全漏洞 最小化攻击面 最大化功系数 技术性措施通过计算机系统实施 非技术措施通过管理和物理控制实施 物理控制 保安人员 ,防盗门 ,监控系统 ,天文台的中心机房就安装
了防盗门和监控系统 管理控制 规则制度 , 如进出机房要登记
漏洞
控制措施又可分为 防御性的 : 部署系统时所能预想到并实现的控制
措施 侦测性的 :入侵检测系统 矫正性的 : 攻击被发现后采取矫正措施
存储安全域 对于潜在的攻击来说 ,提供信息访问的路径是最脆弱的环
节 , 因此需要对存储资源的访问路径有一个清晰的理解 ,通往数据存储的访问路径可以分为三个安全域 :
应用程序访问 涉及应用程序通过存储网络对存储数据的访问 , 用户访问路径
管理访问 包括对存储 , 互联设备以及存储数据的管理访问 , 管理人员 的访问路径
BURA( 备份 , 恢复和归档 ) 备份也需要安全保护
存储安全域
保证应用程序访问域的安全
控制用户对数据的访问保护存储基础设施数据加密
控制用户对数据的访问 主机 A 可以访问所有 V1卷,主机 B 可以访问所有 V2卷,一种可能的
威胁是主机 A伪造身份或提升特权访问主机 B 的资源,另一个威胁可能是一个未授权的主机获得访问权限,访问或篡改数据,另外存储介质失窃也会危害安全
控制用户对数据的访问 用户认证 用户授权 如访问控制表 ,NAS 设备和一些服务器的操作系统 , 如
Windows 和 Linux 都支持访问控制的功能 , 管理和控制用户对文件和目录的访问权限
主机级别的限制访问 主机认证 , 不同的存储网络技术使用不同的认证协议来认
证主机的访问 , 如挑战握手认证协议 (CHAP),光纤通道安全协议 (FC-SP) 和 IPSec.
交换机上的分区将网络划分为多个路径 , 在不同的路径上传输不同的数据
逻辑单元屏蔽 (LUN masking) 决定哪些主机可以访问哪些存储设备
主机的 WWN 与物理端口绑定 ,从该端口连接到一个特定的逻辑单元 (LUN)
控制用户对数据的访问
定期审计核查日志记录防止对日志记录的未授权访问 , 如果日志记录被
攻击者篡改 , 就会丧失审计、稽核的功能
保护存储基础设施
防止未经认证的主机添加到存储局域网 (SAN)存储网络加密 : 用 IPSec 保护基于 IP 的存储网络 用 FC-SP 保护 FC 网络基于角色的访问控制,赋予用户必要的权限,行
使角色网络分段 : 存储系统的管理网络应在逻辑上与其他的企业网络隔
离 ,只允许访问同一区域内的组件,增强了安全性
保护存储基础设施
IP 网络分段的实现 路由器或防火墙的基于 IP地址的包过滤功能 交换机的基于 MAC地址的 VLAN 端口级的安全措施必须控制对设备的物理访问和 FC开关的布线 , 如
果一个设备被未授权用户进行物理访问 , 那么所有其他安全措施都会失效 ,导致设备不可靠
数据加密
数据应在生成后尽快被加密如果在主机不能加密 , 可以在进入存储网络的节
点处使用加密设备来加密数据数据在其生命周期结束时应从硬盘上彻底清除
保证管理访问域的安全
管理访问包括监视 ,配置 , 管理存储资源绝大多数管理软件支持一定形式的命令行界面 ,
系统管理控制台或 Web界面 , 这些是管理访问的基本路径
如果管理访问路径出现漏洞 , 会比服务器的漏洞造成更大危害 , 因为管理员比普通用户的权限更高
保证管理访问域的安全 主机 B 有一个存储管理平台 , 远程管理增加了攻击面,为减少远程管
理访问带来的风险 , 应使用安全的通信通道 , 如 SSH,SSL,TLS,加密管理数据流 ,避免使用 telnet,ftp 等不安全的服务
控制管理权限
安全常识:不应该有一个用户对系统的所有方面都有控制权 , 因为一旦非法用户掌握了这一权限 ,整个系统就被非法用户控制了
应使用基于角色的访问控制 ,将各种不同的管理功能分配给不同的管理用户 , 例如 ARP 系统就有多个管理帐号 , 不同的管理功能由不同的管理用户负责
审计日志记录控制和保护日志记录,防止篡改 部署同步时间的网络时间协议 , 保证各个设备的日志记录
在时间上的一致性
保护管理网络基础设施
加强管理访问控制 如一些存储设备和交换机可以规定几台主机有管
理权 ,并规定每台主机能使用的管理命令为管理数据流与其他生产数据流分开 , 如在交换
机上为管理主机划分单独的 VLAN不用的服务必须在存储网络的每个设备中禁用 ,
使每个设备可访问的接口最小化 ,减小攻击面
保证备份 ,恢复和存档的安全 (BURA)防止攻击者假冒备份服务器的身份 , 这可能使远程备份在未授权的主机上实施
防止备份磁带 ,磁盘丢失
存储网络中安全措施的实施 (SAN)
FC-SP(Fiber Channel Security Protocol, 光纤通道安全协议 )
将 IP 和 FC 互连的安全机制和算法标准化了
SAN 安全架构 安全战略是基于纵深防御理念,推荐多层安全综合层,在
网络存储环境的各种区域和设备上部署安全措施,如服务器,交换机,防火墙,存储阵列上都要部署安全措施
表 15 - 2提供了可以在各种安全区域实施的保护策略的一个列表,表中列出的一些安全机制并不是只针对 SAN ,如二因素认证已被广泛应用 : 使用用户名、密码和一个另外的安全组件(如一张智能卡)进行认证。
SAN 的安全机制
逻辑单元屏蔽 (LUN masking) 决定一个主机可以访问哪些 LUN分区 保证只有已授权的区域成员才能进行通信端口绑定 主机与交换机端口绑定 ,从该端口连接到一个特定的逻辑单元 (LUN)
SAN 的安全机制
全面的交换机控制和全面的网络访问控制 FC 交换机上的访问控制表 确定哪些 HBA 和存储器端口可以作为网络的一部
分 ,防止未授权的设备访问 确定哪些交换机可以作为网络的一部分 ,防止未授权的交换机加入
SAN 的安全机制
虚拟 SAN(VSAN) VSAN 可以在一个物理 SAN创建多个逻辑的
SAN, 可以把不同 VSAN看作独立运行的网络 , VSAN 通过隔离网络事件,并提供更高级别的认证控制,增强了信息的可用性和安全
表 15 - 6描述了一个 VSAN 中的逻辑分区,三个部门共享交换机设备,但都有自己的逻辑网络,可以当作独立运行的网络 .
存储网络中安全措施的实施 (NAS)
许可证明和访问控制列表通过限制存取和共享构成了 NAS资源的第一层保护
Windows 访问控制列表 自主访问控制列表 - 决定访问控制 系统访问控制列表 - 决定哪些访问应该被审计 UNIX权限 所有者、组、全部 rwxr-xr-x
存储网络中安全措施的实施 (NAS)
认证和授权 NAS 设备使用标准的文件共享协议: NFS
和 CIFS , NAS 设备上实施和支持的认证和授权与 UINX 系统或 Windows 系统文件共享环境下的方法相同,对 UINX 系统用网络信息系统( NIS)服务器验证网络用户,对Windows 系统用户通过一个拥有活动目录的 Windows域控制器进行验证
存储网络中安全措施的实施 (NAS) 图 15 - 7描述了 NAS环境下的认证过程
Kerberos Kerberos 是一个网络认证协议 , 为客户 / 服务器应用程序提供强认证技术,使用密钥加密的方法实现,先进行身份认证,再进行权限认证
存储网络中安全措施的实施 (NAS)
网络层防火墙保护 NAS 设备不受公共 IP 网络的各种攻击的侵
害检查网络数据包 , 与设定的安全规则比较 , 没有
通过安全规则的数据包被丢弃宽松的规则会降低安全性如下图服务器被放在两套防火墙之间 ,特定端口的应用程序 , 如 HTTP,允许通过防火墙访问服务器 .
存储网络中安全措施的实施 (NAS) 网络层防火墙
如下图服务器被放在两套防火墙之间 ,特定端口的应用程序 , 如HTTP,允许通过防火墙访问服务器 .
存储网络中安全措施的实施 (IP SAN)
挑战握手认证协议 (CHAP) 是一个基本的认证机制 ,广泛地应用在网络设备和主机上
存储网络中安全措施的实施 (NAS)
小结
存储网络的持续扩张暴露了数据中心资源和存储基础设施新的安全漏洞 , 基于 IP 的存储网络已经将存储资源暴露在传统的网络攻击之下 , 本章为存储安全构建了一个框架 ,提供了减轻危害的方法 .
谢谢