云存储技术应用 存储安全管理 8单元10_3存储网络安全实施方案.pptVIP

因为存储网络环境涉及范围广并且较复杂，所以这些环境是未经授权访问、窃取和滥用攻击的潜在目标。因此，安全策略将依据纵深防御 概念，即，建议采用多个集成的安全层。这可确保某安全控制机制的失败不会影响受保护的资产。该幻灯片中的图例演示必须加以保护的各个级别的存储网络环境（区域）。FC SAN 不仅易受到某些特定风险和漏洞的攻击，而且会受到与物理安全和远程管理访问关联的常见安全问题的困扰。除实施 SAN 特定的安全措施外，组织还必须同时利用企业内的其他安全实施方案。 下面列出了必须在各个安全区域中实施的保护策略的完整列表： 区域 A（在管理控制台进行身份验证）： (a) 限制对授权用户的管理 LAN 访问（锁定 MAC 地址）(b) 实施 VPN 隧道化，以保护对管理 LAN 的远程访问 (c) 使用二元身份验证来进行网络访问 区域 B（防火墙） 阻止不适当的通信，方法是 (a) 筛选出 LAN 上不应允许的地址 (b) 挑选未使用的允许协议块端口 续.. * 区域 C（访问控制交换机） 使用远程验证拨号用户服务 (RADIUS) 和 DH-CHAP（Diffie-Hellman 质询握手认证协议）验证 FC 交换机的用户/管理员身份 区域 D（主机到交换机） 限制对合法主机的结构访问，方法是实施 (a) ACL：只能在特定交换机端口上连接已知 HBA；(b) 安全分区方法，如端口分区（也称为硬分区） 区域 E（交换机到交换机/交换机到路由器） 保护结构上的通信，方法是 (a) 使用 E_Port 验证；(b) 加密传输中的通信；(c) 实施 FC 交换机控制和端口控制 区域 F（距离扩展） 对正在传输的数据进行加密 (a) FC-SP，针对远距离 FC 扩展，(b) IPSec，针对通过 FCIP 的 SAN 扩展 区域 G（交换机到存储） 保护 SAN 上的存储阵列，方法是 (a) 基于 WWPN 的 LUN 掩蔽和 (b) S_ID 锁定：基于源光纤通道地址的掩蔽 * NAS 会受到多种攻击，包括病毒、蠕虫、未经授权的访问、窥探和数据篡改。在 NAS 内实施了各种安全机制，以保护数据和存储网络基础架构。 权限和 ACL 可限制访问和共享，构成了 NAS 资源的第一级保护。这些权限部署在与文件和文件夹关联的默认行为和属性基础之上。另外，可实施 Kerberos 和目录服务等其他各种验证和授权机制，以验证网络用户的身份并定义其权限。类似地，防火墙可确保存储基础架构受到未经授权的访问和恶意攻击。 * Windows 支持两种类型的 ACL：随机访问控制列表 (DACL) 和系统访问控制列表 (SACL)。DACL 通常称为 ACL，用于确定访问控制。SACL 确定在已启用审核的情况下需要对哪些访问进行审核。 除这些 ACL 外，Windows 还支持对象所有权的概念。对象所有者对该对象具有硬编码权限，并且不必在 SACL 中明确授予这些权限。所有者、SACL 和 DACL 均作为每个对象的属性静态保存。Windows 还提供权限继承功能，以允许父对象中的现有子对象自动继承父对象的 ACL。 ACL 还应用于称为安全标识符 (SID) 的目录对象。这些 SID 由 Windows 服务器或域在创建用户或组时自动生成，是从用户信息中提取出来的。通过这种方式，尽管用户可能会将其登录 ID 标识为“User1”，但它仅仅是真实 SID 的文字表示，底层操作系统真正使用的是 SID。向对象授予访问权限时，Windows 中的内部流程引用的是帐户的 SID，而不是帐户的用户名或组名。可使用标准 Windows 资源管理器 GUI 设置 ACL，也可通过 CLI 命令或其他第三方工具配置 ACL。 * 对于 UNIX 操作系统，用户 是一个抽象概念，代表分配系统所有权和操作权限的逻辑实体。用户可以是人或系统操作。UNIX 系统只知道用户在系统上执行特定操作的权限，它按用户 ID (UID) 和用户名来识别每个用户，无论该用户是人、系统操作还是设备。 在 UNIX 中，用户可以构成一个或多个组。在为给定资源分配权限集以及在需要它们的多个用户之间共享这些权限时，即适用组的概念。例如，参与某个项目的一组人员可能需要对某组文件具有相同的权限。 UNIX 权限按与文件的所有权关系指定可以执行的操作。简言之，这些权限指定所有者、所有者组以及其他任意用户可对该文件执行的操作。对于任意给定所有权关系，使用三位来指定访问权限。第一位代表读取 (r) 访问权限，第二位代表写入 (w) 访问权限，第三位代表执行 (x) 访问权限。由于 UNIX 定义三种所有权关系（所有者、组和全部），而每种所有权关系都需要一个三元组（定义访问权限），因此，一共九位。可以设置或