云存储技术应用存储安全管理SAN安全实施方案.pptVIP

* 谢谢！ * EMC 认证专家。版权所有 ? 2012 EMC Corporation。保留所有权利。 Module 14：Securing the Storage Infrastructure 本课程将讲述下列主题： SAN 安全实施方案 第 3 课：存储网络安全实施方案 * 保护存储基础架构的安全 SAN 中的安全实施方案 常见 SAN 安全机制包括： LUN 掩蔽和分区 保护 FC 交换机端口 交换机范围和结构范围的访问控制 对结构进行逻辑分区：VSAN * 保护 FC 交换机端口 端口绑定 限制可连接至特定交换机端口的设备 仅允许相应交换机端口连接到节点进行结构访问 端口锁定和端口停用 限制交换机端口的初始化类型 永久禁用端口 阻止启用交换机端口，即使在交换机重新启动后也一样 * 交换机范围内和结构范围内的访问控制 访问控制列表 (ACL) 包括设备连接和交换机连接控制策略 设备连接控制策略指定哪些 HBA、存储端口可连接到特定交换机 交换机连接控制策略阻止未经授权的交换机连接特定交换机 结构绑定 阻止未经授权的交换机连接结构 基于角色的访问控制 (RBAC) 支持将角色分配给明确指定访问权限的用户 * 支持通过常见物理 SAN 创建多个逻辑 SAN 一个 VSAN 中的结构事件不会传播到其他 VSAN 应为每个 VSAN 配置分区 结构的逻辑分区：VSAN VSAN 20 HR VSAN 10 工程 存储 阵列 存储 阵列 主机 主机 主机 FC 交换机 FC 交换机 虚拟机管理程序 * SAN 安全体系结构：纵深防御 安全区 D 主机 — 交换机 安全区 G 交换机 - 存储 WAN 安全区 F 距离扩展 LAN 安全区 C 访问控制 - 交换机 防火墙 安全区 B 安全区 E 交换机 - 交换机/路由器 安全区 A 管理员 * 虚拟机管理程序 本课程介绍 SAN、NAS、IP SAN 环境中的各种安全实施方案。 * 与基于 IP 的网络相比，传统的 FC SAN 具有一种天然的安全优势。FC SAN 已配置为孤立的专用环境，其节点数少于 IP 网络的节点数。因此，FC SAN 面临的安全威胁比较少。但是，这种状况因混合网络和存储整合而有所改变，它在推动快速增长的同时促使企业设计可横跨整个企业内多个站点的大型复杂 SAN。目前，没有适用于 FC SAN 的单个全面的安全解决方案。很多 FC SAN 安全机制是从 IP 网络中的相似安全机制转变而来的，因此形成了成熟的安全解决方案。 光纤通道安全协议 (FC-SP) 标准（T11 标准）发布于 2006 年，它对 IP 和 FC 互连之间的安全机制和算法进行了调整。这些标准描述了用于在 FC 结构中以及在结构内的结构元素和 N_Port 之间实施安全措施的协议。其中还包括相关指导原则，例如 FC 实体身份验证、设置会话密钥、协商确保逐帧完整性和机密性所需的参数、跨 FC 结构建立和分发策略。 LUN 掩蔽和分区、FC 交换机端口安全、交换机范围内和结构范围内的访问控制以及结构（虚拟 SAN）的逻辑分区都是最常用的 SAN 安全方法。有时会提供 LUN 掩蔽的一种更强的变化形式，即，可以根据源 FC 地址进行掩蔽。它可提供一种将给定节点端口的 FC 地址锁定到其 WWN 的机制。 * 除分区和 LUN 掩蔽外，还可以在交换机端口上实施端口绑定、端口锁定、端口停用和永久禁用端口等其他安全措施。 端口绑定：限制可连接到特定交换机端口的设备，仅允许相应交换机端口连接到节点以进行结构访问。端口绑定减少了 WWPN 假冒情况，但无法消除这种威胁。 端口锁定 和端口停用：限制交换机端口的初始化类型。端口停用的常见变化形式可确保交换机端口不能用作 E-Port，并且无法用于创建 ISL，例如欺骗性交换机。某些变化形式可确保端口角色仅限于 F-Port、E-Port 或它们的组合。 永久禁用端口：阻止启用交换机端口，即使在交换机重新启动后也一样。 * 由于组织已在本地或远距离扩展其 SAN，因此更加需要有效地管理 SAN 安全。可以通过使用访问控制列表 (ACL) 在 FC 交换机上，以及使用结构绑定的结构上配置网络安全。 ACL 融合了设备连接控制和交换机连接控制策略。设备连接控制策略指定哪些 HBA 和存储端口可以连接到特定交换机，以防止未经授权的设备访问它。类似，交换机连接控制策略可指定允许哪些交换机连接特定交换机，以防止未经授权的交换机连接它。 结构绑定可阻止未经授权的交换机连接结构内的任何现有交换机。它可确保授权成员数据位于每个交换机上，并且任何试图使用 ISL 连接结构中的任何交换机的行为都会导致结构分段。 通过阻止在结构上进行未经授权