/ 中存储网

技巧:存储安全介绍及实现存储安全的方法

2010-07-28 13:13:04 来源:中国存储网

现在必须保障存储设备的安全性,因此,现在必须要做到的是:保护机密的数据;保证数据的完整性;防止数据被破坏或丢失。

通常,保护数据安全的方法有:

身份认证(管理员必须登陆之后才能进行管理操作,发展中的技术:设备在加入存储网络之前必须登陆注册)

授权(每个管理员只能执行某些特定的操作,存储设备对每个IO操作进行检查,防止非法的数据源写入数据)、

审计跟踪(存储系统通过日志记录管理员的操作和发生的事件,这样可以有效追踪问题的原因)、加密(有效地保护数据的保密性和完整性)

存储安全是数据中心安全和业务安全的一部分。因此,任何产品级的产品模式必须得到客户业务策略和执行的补充,包括网络安全和系统安全。

实现存储安全首先要做的是:

1. 确保交换机、阵列等的管理接口和管理端口的安全。

-利用复杂的密码

- 禁止设备上未用过的管理端口

2. 确保LUN安全。

3. 在特别的案例中,或者为了满足特定业务目标时,进行加密。

最重要的是,首先要制定一个完整而周详的存储安全计划,内容包含具体实施人员、程序、设备。其次,这个存储安全计划还要符合整个数据中心和业务计划。再次,在情况允许和技术允许的情况下,不断修改完善计划。最后,测试计划。

一、存储安全简介

在过去十年中,存储已经演变为多个系统共享的一种资源。很多案例都表明,只保护存储设备所在的系统的安全已经不能满足需要了。存储设备现在连接到很多系统上,因此,必须保护各个系统上的有价值的数据,防止其他系统未经授权访问数据,或者破坏数据。相应的,存储设备必须要防止未被授权的配置改变,对所有的更改都要做审计跟踪。

存储安全是客户整个安全计划的一部分,也是数据中心安全和组织安全的一部分。如果只小心翼翼地保护存储的安全而将整个系统向互联网开放,那这样的存储安全是丝毫没有意义的。应该认识到,安全计划可能需要满足各种数据库和应用的不同层次的安全需求。

当前主要有三种存储架构:DAS(直连存储)、NAS(网络附加存储)、SAN(存储区域网络)。DAS是直接连接到一个单一的系统。NAS是通过Ethernet LAN网络的方式来访问文件。SAN是通过一个存储网络来访问,现在典型的是FC(光纤通道)SAN。iSCSI SAN 基于Ethernet LAN,但是目前使用并不广泛。Object storage是一种新兴的技术,结合SAN和NAS。本文指的存储主要是SAN和NAS。

存储安全不是附加在SAN上的一个设备。存储安全是一种属性,是每个系统,每个交换机,每个SAN中的设备的一种属性。存储安全意味着要应付多种威胁,不是所有的危险都能提前预知的。存储安全还包括一整套程序,即定义数据访问权力,授权管理设备,当安全问题出现时给予合适的回应。最后,或许也是最重要的是,被授权访问数据或管理设备的人必须是可靠的,经过精心挑选的。