存储虚拟化安全防护技术研究.docVIP

存储虚拟化安全防护技术研究 存储虚拟化安全防护技术研究 李锐 (,东电网公司惠州供电局,广东惠州5I6001) 摘要:从资源隔离和访问控制,数据加密,入侵检测,自安全存储设备以及数据删除等方面描述了存储虚拟化中应用的各项 安全防护机制. 关键词:存储虚拟化;资源隔离;访问控制;数据加密;入侵检测 StudyofStorageVirtualizationSecurityTechnology LIRUi (Hu/YhouPowerSupplyBureauofGuanddongPowerG/?dCorporatlon,Hu/zhou,GuangdonA516001,Chlna) Abstract:Thisisolationfromtheresourcesandaccesscontrol,dataencryption, intrusiondetection, securestorageofequipmentanddatafrom thedeletionofthestoragevirtualizationtodescribetheapplicationofsecuritymechanisms. Keywords:Storagevirtualization;Poesourceisolation;Accesscontrol;Dataencryption;Intrusiondetection 1概述 由于企业数据量的大量增加,导致存储系统的 容量和复杂度也大大增加,同时,由于存储设备之 间的异构性,导致企业中存储设备的资源不能得到 有效整合和利用,形成了大量的信息孤岛.在这样 的背景下,存储虚拟化技术应运而生并得到了迅速 的发展,存储虚拟化技术能提高存储系统的利用率, 简化存储系统的管理工作,屏蔽存储设备地理位置, 底层硬件设备架构的差异,实现不同存储平台或者 不同站点之间数据的迁移. 随着存储虚拟化技术的大量应用,在存储网络 中数据的安全成为迫切需要解决的问题,本文将对 存储技术的安全防护机制进行研究,并提出应用存 储虚拟化环境后安全防护措施的部署. 2存储虚拟化的定义 存储虚拟化是将实际的物理存储实体与存储的 逻辑表示分离开来,应用系统只与所分配的逻辑卷 打交道,而不用关心其数据具体是在哪个物理存储 实体上.存储虚拟化的核心工作是实现物理存储设 备到单一逻辑资源池的映射.通过虚拟化技术,为 应用程序提供虚拟磁盘或虚拟卷,并且可以由用户 根据需要进行任意分割,合并,重新组合等操作, 并分配给特定的主机或应用程序,为用户隐藏或屏 蔽具体的物理设备的各种物理特性. 存储行业独立机构一一全球网络存储工业协会 (StorageNetworkingIndustryAssociation)对 存储虚拟化的解释包含两方面: (1)存储虚拟化是为了便于应用和服务进行数据 管理而采取的针对应用,服务器以及一般网络资源 45;图霸晒圈201106 进行的存储子系统或存储服务的内部功能抽象,隐 藏和隔离的行为; (2)存储虚拟化是针对存储设备或存储服务进行 的虚拟化手段,以便对底层存储资源实施存储汇聚, 隐藏复杂性以及添加新功能等. 3安全防护技术 在存储虚拟化环境中,针对不同的,异构的虚 拟存储对象,应根据各自存储设备的特点,综合运 用不同存储设备之间的安全防护机制构建全方位的 安全防护体系. 3.1资源隔离和访问控制 任应用存储虚拟化技术之后,应用不需要关心 数据实际存储的位置,只需要将数据提交给虚拟卷 或虚拟磁盘,由虚拟化管理软件将数据分配任不同 的物理介质.这就可能导致不同保密要求的资源存 在于同一个物理存储介质上,安全保密需求低的应 用/主机有可能越权访问敏感资源或者高安全保密 应用/主机的信息,为了避免这种情况的发生,虚 拟化管理软件应采用多种访问控制管理手段对存储 资源进行隔离和访问控制,保证只有授权的主机 /应用能访问授权的资源,未经授权的主机/应用 不能访问,甚至不能看到其他存储资源的存在. 对于资源隔离和访问控制手段可以通过基于主 机的授权,基于用户认证和基于用户的授权来实现. 基于主机的访问控制可以从加强主机认证,主 机的WWN(光纤设备的全球惟一编号)与交换机 物理端口绑定,交换机分区和逻辑单元屏蔽(LUN Masking)等方式实现.根据虚拟对象的不同采用不 同的技术手段,如对于FCSAN构建的存储网络, 采用光纤通道安全协议(FC-SP)实现主机认证;采 用光纤交换机分区将连接在SAN网络中的设备(主 机和存储)在逻辑上划为不同的分区,使得不同区 域内的设备之间不能通过访问,实现网络中设备之 间的相互隔离;在磁盘阵列上采用逻辑单元屏蔽控 制主机对存储卷的访问,设定主机只能看到授权的 逻辑单元,实现阵列中存储卷之间的隔离.对于IP S