Download
1 / 49
490 likes | 582 Views
信息存储与管理. 国家天文台 (科技处)信息与计算中心. 上一讲:远程复制. 确保存储基础设施安全. 下一讲:管理存储基础设施. 第十五讲. 确保存储基础设施安全. 主讲人:滕一民. 网络安全与存储安全. 一个没有连接到存储网络的存储设备不是那么脆弱 , 因为它们没有通过网络暴露在安全威胁之下 . 许多存放个人信息 , 金融交易等重要信息的存储阵列 , 由于业务需要也被连接在互联网上 , 以便用户通过网络进行访问
E N D
信息存储与管理 国家天文台 (科技处)信息与计算中心
上一讲:远程复制 确保存储基础设施安全 下一讲:管理存储基础设施
第十五讲 确保存储基础设施安全 主讲人:滕一民
网络安全与存储安全 • 一个没有连接到存储网络的存储设备不是那么脆弱,因为它们没有通过网络暴露在安全威胁之下. • 许多存放个人信息,金融交易等重要信息的存储阵列,由于业务需要也被连接在互联网上,以便用户通过网络进行访问 • 象google,网上购物,网上订票,网上银行等网站,用户都可以通过网络访问网站,搜索信息,购物,办理业务,这些网站的存储阵列就被以某种方式连接在互联网上了. • 互联网连接着个人计算机,服务器,网络和存储设备,这使得互联网容易受到各种攻击.对于互联网的安全问题我们大家都会有一些感受和体验,计算机中病毒的情况大家可能都遇到过.
网络安全与存储安全 • 存储设备连到互联网上,就使存储设备暴露于多种安全威胁之下,如病毒,木马,黑客攻击等 • 这些威胁有可能破坏关键业务数据,中断关键服务.比如一个购物网站的业务数据被破坏,该给用户送货,也无法送货,比如网上订票网站的业务数据被破坏,该给用户送票却没有送,会给用户带来很大不便,也会损害网站的信誉.如果金融服务网站由于业务数据被破坏而出现问题,可能会给用户或银行造成更大损失 • 确保存储网络安全已成为存储管理过程中不可缺少的组成部分
网络安全与存储安全 • 网络安全是相对的,存储网络安全作为网络安全的一部分也是相对的.网络上没有绝对的安全.Google这样的大公司都会受到攻击就说明了这一点.在考虑存储网络安全时也需要根据数据的重要性考虑成本. • 对于象银行这类非常重要的部门的存储系统就需要采取尽可能充分的安全措施来保证系统安全,对于一般的单位就要根据实际情况以及经济上的承受能力来考虑存储系统的安全解决方案
网络安全与存储安全 • 这次讲座介绍一些存储安全的概念和各种技术措施,在实际应用中需要根据情况有选择的采用这些技术措施 • 存储安全是一个综合性的问题,涉及相关的每一个设备,需要采取综合措施,因此会涉及到前面几章讲的各种技术和内容,如RAID,FC交换机的分区,存储的LUN屏蔽,存储虚拟化,备份等 • 本讲主要内容 • 存储安全框架 • 风险三要素 • 存储安全域 • 安全措施的实施
存储安全框架 • 基础的安全框架是构建在四个主要的安全服务上的:可稽核性,保密性,完整性和可用性. • 可稽核性服务: 发生在数据中心基础设施的所有事件和操作都可核查.主要指建立事件日志,可以审计和追溯发生的事件. • 保密性服务: 提供信息所要求的保密性,保证只有被授权的用户才能访问数据. 如用户认证,对传输中的数据和静态数据加密等.
存储安全框架 • 完整性服务: • 保证信息不被篡改,探测和防御对信息的未授权的更改和删除. • 用户认证(既是保密性服务的一部分,也是完整性服务的一部分,防止未被授权的用户访问和篡改信息). • 完整性服务对传输中的数据和静态数据都要采取保护措施.传输中的数据如果不加密也有被篡改的危险. • 可用性服务: 保证已授权用户能够可靠和及时地访问计算机系统和这些系统上的数据、应用程序
存储安全框架 • 可稽核性,保密性,完整性和可用性是存储安全措施所要实现的目的 • 这四方面是相互关联的,比如如果数据被非法用户删除或篡改了,其可用性显然就谈不上了,这说明数据的可用性依赖于数据的完整性.如果数据的保密性丧失,比如超级用户口令被非法用户掌握,那么数据以及日志就有被非法访问和删除篡改的危险,可见数据的完整性和可稽核性也依赖于数据的保密性
风险三要素 • 风险的定义 风险发生在一个威胁方(攻击者)试图利用一个存在的漏洞来访问资产的时侯. 威胁,漏洞和资产构成了风险三要素.
资产 • 信息是任何组织最重要的一项资产,其他的资产包括硬件,软件以及网络基础设施 • 实施安全措施的两个目标: • 保证已授权用户能够可靠和及时地访问数据.(即前面讲的可用性) • 使攻击者访问和危害系统变得非常困难.增加攻击的难度,成本和代价.
资产 • 安全措施 • 提供保护,阻止未授权访问 • 阻止病毒、蠕虫、木马和其他恶意程序攻击 • 加密关键数据 • 停止所有不用的服务,尽量减少潜在的安全漏洞 • 定期安装对操作系统和其他软件的更新 • 复制和备份数据,提供冗余度,防止意外故障导致数据损失
资产 • 衡量存储安全方案的标准 • 花费只占被保护数据价值的一小部分 • 使潜在的攻击者得不偿失
威胁 • 威胁是对IT基础设施可能实施的潜在攻击 • 未授权访问 • 篡改 未授权用户篡改数据,包括静态数据和传输中的数据 • 拒绝服务 对一个网络或网站发送洪水般的垃圾数据阻止授权用户的合法访问 • 抵赖 针对信息可稽核性的攻击,如篡改日志文件 • 与前面讲的病毒,蠕虫,木马等相比,这里讲的是更有针对性的威胁
漏洞 • 对于潜在的攻击来说,提供信息访问的路径是最脆弱的环节 • 纵深防御 尽可能保护一个环境内的所有访问点 • 评估网络环境对安全的威胁度 攻击面 攻击者可以发起攻击的各种入口点,如硬件接口,各种协议,管理接口,各种网络服务如ftp,telnet等 攻击向量 完成一次攻击所必需的一个或一系列步骤 功系数 开发一个攻击向量需要投入的时间和精力
漏洞 • 计划和部署控制措施减少安全漏洞 最小化攻击面 最大化功系数 • 技术性措施通过计算机系统实施 • 非技术措施通过管理和物理控制实施 物理控制 保安人员,防盗门,监控系统,天文台的中心机房就安装了防盗门和监控系统 管理控制 规则制度,如进出机房要登记
漏洞 • 控制措施又可分为 防御性的:部署系统时所能预想到并实现的控制措施 侦测性的:入侵检测系统 矫正性的:攻击被发现后采取矫正措施
存储安全域 • 对于潜在的攻击来说,提供信息访问的路径是最脆弱的环节,因此需要对存储资源的访问路径有一个清晰的理解,通往数据存储的访问路径可以分为三个安全域: • 应用程序访问 涉及应用程序通过存储网络对存储数据的访问,用户访问路径 • 管理访问 包括对存储,互联设备以及存储数据的管理访问,管理人员 的访问路径 • BURA(备份,恢复和归档) 备份也需要安全保护
保证应用程序访问域的安全 控制用户对数据的访问 保护存储基础设施 数据加密
控制用户对数据的访问 主机A可以访问所有V1卷,主机B可以访问所有V2卷,一种可能的威胁是主机A伪造身份或提升特权访问主机B的资源,另一个威胁可能是一个未授权的主机获得访问权限,访问或篡改数据,另外存储介质失窃也会危害安全
控制用户对数据的访问 • 用户认证 • 用户授权 如访问控制表,NAS设备和一些服务器的操作系统,如Windows和Linux都支持访问控制的功能,管理和控制用户对文件和目录的访问权限 • 主机级别的限制访问 主机认证,不同的存储网络技术使用不同的认证协议来认证主机的访问,如挑战握手认证协议(CHAP),光纤通道安全协议(FC-SP)和IPSec. 交换机上的分区将网络划分为多个路径,在不同的路径上传输不同的数据 逻辑单元屏蔽(LUN masking)决定哪些主机可以访问哪些存储设备 主机的WWN与物理端口绑定,从该端口连接到一个特定的逻辑单元(LUN)
控制用户对数据的访问 • 定期审计核查日志记录 • 防止对日志记录的未授权访问,如果日志记录被攻击者篡改,就会丧失审计、稽核的功能
保护存储基础设施 • 防止未经认证的主机添加到存储局域网(SAN) • 存储网络加密: 用IPSec保护基于IP的存储网络 用FC-SP保护FC网络 • 基于角色的访问控制,赋予用户必要的权限,行使角色 • 网络分段: 存储系统的管理网络应在逻辑上与其他的企业网络隔离,只允许访问同一区域内的组件,增强了安全性
保护存储基础设施 • IP网络分段的实现 路由器或防火墙的基于IP地址的包过滤功能 交换机的基于MAC地址的VLAN 端口级的安全措施 • 必须控制对设备的物理访问和FC开关的布线,如果 一个设备被未授权用户进行物理访问,那么所有其他安全措施都会失效,导致设备不可靠
数据加密 • 数据应在生成后尽快被加密 • 如果在主机不能加密,可以在进入存储网络的节点处使用加密设备来加密数据 • 数据在其生命周期结束时应从硬盘上彻底清除
保证管理访问域的安全 • 管理访问包括监视,配置,管理存储资源 • 绝大多数管理软件支持一定形式的命令行界面,系统管理控制台或Web界面,这些是管理访问的基本路径 • 如果管理访问路径出现漏洞,会比服务器的漏洞造成更大危害,因为管理员比普通用户的权限更高
保证管理访问域的安全 • 主机B有一个存储管理平台,远程管理增加了攻击面,为减少远程管理访问带来的风险,应使用安全的通信通道,如SSH,SSL,TLS,加密管理数据流,避免使用telnet,ftp等不安全的服务
控制管理权限 • 安全常识:不应该有一个用户对系统的所有方面都有控制权,因为一旦非法用户掌握了这一权限,整个系统就被非法用户控制了 • 应使用基于角色的访问控制,将各种不同的管理功能分配给不同的管理用户, 例如ARP系统就有多个管理帐号,不同的管理功能由不同的管理用户负责 • 审计日志记录 • 控制和保护日志记录,防止篡改 • 部署同步时间的网络时间协议,保证各个设备的日志记录在时间上的一致性
保护管理网络基础设施 • 加强管理访问控制 如一些存储设备和交换机可以规定几台主机有管理权,并规定每台主机能使用的管理命令 • 为管理数据流与其他生产数据流分开,如在交换机上为管理主机划分单独的VLAN • 不用的服务必须在存储网络的每个设备中禁用,使每个设备可访问的接口最小化,减小攻击面
保证备份,恢复和存档的安全(BURA) • 防止攻击者假冒备份服务器的身份,这可能使远程备份在未授权的主机上实施 • 防止备份磁带,磁盘丢失
存储网络中安全措施的实施(SAN) FC-SP(Fiber Channel Security Protocol,光纤通道安全协议) 将IP和FC互连的安全机制和算法标准化了
SAN安全架构 • 安全战略是基于纵深防御理念,推荐多层安全综合层,在网络存储环境的各种区域和设备上部署安全措施,如服务器,交换机,防火墙,存储阵列上都要部署安全措施
表15-2提供了可以在各种安全区域实施的保护策略的一个列表,表中列出的一些安全机制并不是只针对SAN,如二因素认证已被广泛应用:使用用户名、密码和一个另外的安全组件(如一张智能卡)进行认证。表15-2提供了可以在各种安全区域实施的保护策略的一个列表,表中列出的一些安全机制并不是只针对SAN,如二因素认证已被广泛应用:使用用户名、密码和一个另外的安全组件(如一张智能卡)进行认证。
SAN的安全机制 • 逻辑单元屏蔽(LUN masking) 决定一个主机可以访问哪些LUN • 分区 保证只有已授权的区域成员才能进行通信 • 端口绑定 主机与交换机端口绑定,从该端口连接到一个特定的逻辑单元(LUN)
SAN的安全机制 • 全面的交换机控制和全面的网络访问控制 FC交换机上的访问控制表 确定哪些HBA和存储器端口可以作为网络的一部分,防止未授权的设备访问 确定哪些交换机可以作为网络的一部分,防止未授权的交换机加入
SAN的安全机制 • 虚拟SAN(VSAN) VSAN可以在一个物理SAN创建多个逻辑的SAN,可以把不同VSAN看作独立运行的网络, VSAN通过隔离网络事件,并提供更高级别的认证控制,增强了信息的可用性和安全
表15-6描述了一个VSAN中的逻辑分区,三个部门共享交换机设备,但都有自己的逻辑网络,可以当作独立运行的网络.表15-6描述了一个VSAN中的逻辑分区,三个部门共享交换机设备,但都有自己的逻辑网络,可以当作独立运行的网络.
存储网络中安全措施的实施(NAS) • 许可证明和访问控制列表通过限制存取和共享构成了NAS资源的第一层保护 Windows访问控制列表 自主访问控制列表-决定访问控制 系统访问控制列表-决定哪些访问应该被审计 UNIX权限 所有者、组、全部 rwxr-xr-x
存储网络中安全措施的实施(NAS) • 认证和授权 NAS设备使用标准的文件共享协议:NFS和CIFS, NAS设备上实施和支持的认证和授权与UINX系统或Windows系统文件共享环境下的方法相同,对UINX系统用网络信息系统(NIS)服务器验证网络用户,对Windows系统用户通过一个拥有活动目录的Windows域控制器进行验证
存储网络中安全措施的实施(NAS) • 图15-7描述了NAS环境下的认证过程
Kerberos • Kerberos是一个网络认证协议,为客户/服务器应用程序提供强认证技术,使用密钥加密的方法实现,先进行身份认证,再进行权限认证
存储网络中安全措施的实施(NAS) • 网络层防火墙 • 保护NAS设备不受公共IP网络的各种攻击的侵害 • 检查网络数据包,与设定的安全规则比较,没有通过安全规则的数据包被丢弃 • 宽松的规则会降低安全性 • 如下图服务器被放在两套防火墙之间,特定端口的应用程序,如HTTP,允许通过防火墙访问服务器.
存储网络中安全措施的实施(NAS) • 网络层防火墙 如下图服务器被放在两套防火墙之间,特定端口的应用程序,如HTTP,允许通过防火墙访问服务器.
存储网络中安全措施的实施(IP SAN) • 挑战握手认证协议(CHAP)是一个基本的认证机制,广泛地应用在网络设备和主机上 存储网络中安全措施的实施(NAS)
小结 • 存储网络的持续扩张暴露了数据中心资源和存储基础设施新的安全漏洞,基于IP的存储网络已经将存储资源暴露在传统的网络攻击之下,本章为存储安全构建了一个框架,提供了减轻危害的方法.
