云存储技术应用存储安全管理NAS安全实施方案.ppt

云存储技术应用存储安全管理NAS安全实施方案.ppt

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* 谢谢! * EMC 认证专家。版权所有 ? 2012 EMC Corporation。保留所有权利。 Module 14:Securing the Storage Infrastructure 本课程将讲述下列主题: NAS 安全实施方案 第 3 课:存储网络安全实施方案 * 保护存储基础架构的安全 NAS 中的安全实施方案 权限和 ACL 通过限制访问保护 NAS 资源 其他验证和授权机制 Kerberos 和目录服务 实施以验证网络用户的身份,并定义其权限 防火墙 防止存储基础架构遭遇未经授权的访问和恶意攻击 * NAS 文件共享:Windows ACL ACL 的类型 随机访问控制列表 (DACL) 通常称为 ACL,用于确定访问控制 系统访问控制列表 (SACL) 确定在启用审核的情况下需要审核哪些访问 对象所有权 对象所有者具有该对象的硬编码权限 父对象中的子对象自动继承父对象的 ACL 安全标识符 (SID) SID 唯一标识用户或用户组 ACL 使用 SID 来控制对象访问 * NAS 文件共享:UNIX 权限 UNIX 权限指定可对文件执行的操作和执行操作的人员 常见权限:读取/写入/执行 每个文件和目录(文件夹)都具有三种所有权关系: 文件所有者的权限 用户所属的组的权限 所有其他用户的权限 * 身份验证和授权 Windows 身份验证 Windows 域控制器/ Active Directory UNIX 身份验证 NIS 服务器 UNIX 对象 -rwxrwxrwx Windows 对象 ACL SID abc 拒绝写入 SID xyz 允许写入 授权 用户 SID — abc UNIX 客户端 Windows 客户端 root 用户 NAS 设备 使用 NIS 或 域控制器验证权限 * Kerberos - 网络身份验证协议 使用密钥加密 客户端可跨不安全的网络连接向服务器证实其身份(反之亦然) Kerberos 客户端 获得 Kerberos 服务票证的实体 Kerberos 服务器 指密钥分发中心 (KDC) 实施身份验证服务 (AS) 和票证授予服务 (TGS) * Kerberos 授权 Windows 客户端 KDC ID 证明 (1) TGT + 服务器名称 (3) TGT (2) KerbC (KerbS TKT) (5) Active Directory (4) NAS 设备 Keytab (7) * 网络层防火墙 防火墙在 NAS 环境中实施 抵御 IP 网络中的安全威胁 检查网络数据包并将它们与一组已配置的安全规则进行比较 删除安全规则未授权的数据包 隔离区 (DMZ) 保护内部资产,同时允许通过 Internet 访问各种资源 内部 网络 应用程序服务器 隔离区 (DMZ) 外部 网络 * 本课程介绍 SAN、NAS、IP SAN 环境中的各种安全实施方案。 * NAS 会受到多种攻击,包括病毒、蠕虫、未经授权的访问、窥探和数据篡改。在 NAS 内实施了各种安全机制,以保护数据和存储网络基础架构。 权限和 ACL 可限制访问和共享,构成了 NAS 资源的第一级保护。这些权限部署在与文件和文件夹关联的默认行为和属性基础之上。另外,可实施 Kerberos 和目录服务等其他各种验证和授权机制,以验证网络用户的身份并定义其权限。类似地,防火墙可确保存储基础架构受到未经授权的访问和恶意攻击。 * Windows 支持两种类型的 ACL:随机访问控制列表 (DACL) 和系统访问控制列表 (SACL)。DACL 通常称为 ACL,用于确定访问控制。SACL 确定在已启用审核的情况下需要对哪些访问进行审核。 除这些 ACL 外,Windows 还支持对象所有权的概念。对象所有者对该对象具有硬编码权限,并且不必在 SACL 中明确授予这些权限。所有者、SACL 和 DACL 均作为每个对象的属性静态保存。Windows 还提供权限继承功能,以允许父对象中的现有子对象自动继承父对象的 ACL。 ACL 还应用于称为安全标识符 (SID) 的目录对象。这些 SID 由 Windows 服务器或域在创建用户或组时自动生成,是从用户信息中提取出来的。通过这种方式,尽管用户可能会将其登录 ID 标识为“User1”,但它仅仅是真实 SID 的文字表示,底层操作系统真正使用的是 SID。向对象授予访问权限时,Windows 中的内部流程引用的是帐户的 SID,而不是帐户的用户名或组名。可使用标准 Windows 资源管理器 GUI 设置 ACL,也可通过 CLI 命令或其他第三方工具配置 ACL。 * 对于 UNIX 操

文档评论(0)

WanDocx + 关注
实名认证
内容提供者

大部分文档都有全套资料,如需打包优惠下载,请留言联系。 所有资料均来源于互联网公开下载资源,如有侵权,请联系管理员及时删除。

1亿VIP精品文档

相关文档