數據中心安全域劃分與防護技術
為了消除數據中心存在的安全隱患,為核心數據提供可靠、便捷的使用環境,可以將數據中心安全體系劃分為以下3個安全區域。
1 管理訪問安全域
通常園區網絡存儲基礎設施,如圖l所示。圖中服務器被連接到一個SAN結構的存儲環境中,并且訪問主存儲陣列,主存儲陣列通過光纖網絡連接到備份存儲陣列。管理數據存儲通常是在一臺管理終端上安裝存儲管理平臺。通過IP網絡與存儲陣列互聯,這種為管理存儲陣列形成的區域稱為管理訪問域。管理訪問域存在2個威脅:一是由于通常是通過IP網絡來管理存儲陣列,這樣增加了未授權主機連接到存儲網絡的可能性;二是存儲管理軟件的遠程控制臺功能也增加了被攻擊的可能性。
圖1 校園網存儲基礎設施示意圖
針對數據中心基礎設施的訪問安全,常用的訪問安全防護技術包括:
(1)控制管理權限。控制管理權限目的在于防止攻擊者假冒管理員身份或提升用戶身份和使用權限,來非法獲得數據閉。訪問控制防護技術的使用通常包括3個方面:一是合理設置管理員使用權限,不要把存儲系統所有控制權授權給一個用戶:二是將存儲系統的身份管理與第三方的認證系統相結合,可以使用基于角色的訪問控制(RBAC)策略分配不同的管理權限;三是使用審計系統來加強安全管理。
(2)保護管理網絡。防護方法主要有3種:一是加密管理數據流,采用安全的通信通道SSH或SSI/TLS來傳送管理數據流;二是通過存儲設備和交換機的配置。只允許某些特定的主機擁有管理權限,并且對主機能夠發出什么命令操作做出限制,將訪問控制措施制定到存儲陣列級別,明確哪臺主機擁有對那個陣列的管理權限;三是增強IP網絡的安全措施,針對特定設備的數據流以及管理性協議的數據流,使用IP路由器和交換機在IP網絡層進行限制,從而將未授權設備的威脅降到最低。#p#
2應用程序訪問安全域
應用程序通常是通過文件系統或數據庫接口來訪問存儲陣列中的數據,通過應用程序訪問數據稱為應用程序訪問域。該域遇到的安全威脅主要包括2個方面:一是在訪問應用程序過程中偽造用戶身份或提升訪問權限來非法獲取數據;二是未授權的主機偽造合法主機的身份,訪問應用程序篡改數據,窺探網絡或執行DOS攻擊等。其常用的安全防護技術包括以下幾個方面。
2.1 控制用戶對數據的訪問
首先,進行主機認證。使用用戶身份認證授權系統實現應用程序的訪問控制,確保用戶身份不被假冒,也可以使用挑戰握手認證協議(challenge-handshake authentication protocol)、光纖通道安全協議(fibre channel security protocol)和IPsec來認證主機。其次。為數據資源指定安全控制措施。通過在交換機上將網絡劃分分區來控制存儲資源的訪問,分區可將網絡劃分為多個路徑,以便于在不同的路徑上傳輸不同的數據:也可以通過邏輯單元屏蔽決定哪些主機可以訪問哪些存儲設備。一些設備支持將一臺主機的WWN映射到一個特定的FC端口。從該端口連接到一個特定的邏輯單元,最安全的方法是將WWN和物理端口綁定。最后,通過在所有參與設備上記錄重要的日志來實現審計核查控制管理工作。
2.2保護存儲基礎設施
保護存儲基礎設備的安全控制措施要能夠應對以下威脅:一是對傳輸中的數據人為授權篡改。破壞數據完整性;二是對應用系統進行攻擊,實施降低可用性的拒絕服務;三是對網絡數據進行網絡窺探,造成數據保密性受損。
保護存儲網絡的安全控制分為網絡連接設施的完整性和存儲網絡加密性。網絡連接完整性通過認證系統,防止未經過適當認證的主機添加到存儲區域網中;存儲網絡加密方法使用IPsec來保護基于IP的存儲網絡以及FC-SP來保護FC網絡。
首先,在定義數據中心職責時,可通過基于角色的訪問控制來賦予用戶使用權限,使他們能夠行使他們的角色。其次,存儲系統的管理網絡應當在邏輯上與其他網絡隔離,這樣降低了管理難度,增強了安全性。IP網絡分段可以通過路由器或防火墻的基于IP地址的包過濾功能、交換機的基于MAC地址的VLAN和端口級的安全措施來實現。最后,控制對設備的訪問和FC開關的布線,以保證存儲設施得到保護。如果一個設備被一個未授權的用戶進行了物理訪問。那么所有其他已制定的安全措施就會失效。
2.3數據加密
保護數據安全的最重要的一方面是保護存儲陣列中的數據,這方面的主要威脅是數據被篡改和存儲介質丟失。防范措施是加密存儲在存儲介質上的數據或加密即將傳送的數據;在數據生命周期結束時將數據徹底從硬盤上清除,使其不能恢復。數據應當在生成時盡快加密,如果在主機上不能實施加密,可以在主機和存儲介質之間部署加密設備加密數據,這樣可以保護目標設備中靜態數據和傳輸中的數據。
3備份、恢復和存儲安全域
備份涉及到將數據從一個存儲陣列復制到備份介質,該安全域的威脅有假冒備份恢復站點的合法身份進行篡改數據、網絡窺探和DOS攻擊。防范方法主要是提高備份軟件安全性,制定好存儲備份環境的安全配置,嚴格控制遠程備份軟件的使用。
