存储虚拟化环境中的安全防护分析

    安全防护技术

    在存储虚拟化环境中，针对不同的、异构的虚拟存储对象，应根据各自存储设备的特点，综合运用不同存储设备之间的安全防护机制构建全方位的安全防护体系。

    1资源隔离和访问控制

    在应用存储虚拟化技术之后，应用不需要关心数据实际存储的位置，只需要将数据提交给虚拟卷或虚拟磁盘，由虚拟化管理软件将数据分配在不同的物理介质。这就可能导致不同保密要求的资源存在于同一个物理存储介质上，安全保密需求低的应用/主机有可能越权访问敏感资源或者高安全保密应用/主机的信息，为了避免这种情况的发生，虚拟化管理软件应采用多种访问控制管理手段对存储资源进行隔离和访问控制，保证只有授权的主机/应用能访问授权的资源，未经授权的主机/应用不能访问，甚至不能看到其他存储资源的存在。

    对于资源隔离和访问控制手段可以通过基于主机的授权、基于用户认证和基于用户的授权来实现。基于主机的访问控制可以从加强主机认证、主机的WWN（光纤设备的全球惟一编号）与交换机物理端口绑定、交换机分区和逻辑单元屏蔽（LUN Masking）等方式实现。根据虚拟对象的不同采用不同的技术手段，如对于FC SAN构建的存储网络，采用光纤通道安全协议（FC-SP）实现主机认证；采用光纤交换机分区将连接在SAN网络中的设备（主机和存储）在逻辑上划为不同的分区，使得不同区域内的设备之间不能通过访问，实现网络中设备之间的相互隔离；在磁盘阵列上采用逻辑单元屏蔽控制主机对存储卷的访问，设定主机只能看到授权的逻辑单元，实现阵列中存储卷之间的隔离。对于IPSAN组成的网络，可以设置访问控制列表，利用网络交换机的VLAN和ACL控制隔离存储网络，确保只有授权的设备能访问存储网络；利用iSCSI协议的身份验证机制（使用CHAP、SRP、Kerberos和SPKM）实现发起方与目标方的双向身份验证，只允许授权节点访问，阻止未经授权的访问。对用户的认证可采用AAA认证安全策略，如在IP SAN网络中，利用IP SAN交换机提供的802.1x认证，在用户接入网络时输入用户名和登录密码来识别用户身份，防止非法用户接入存储网络。对于用户的授权主要采用访问控制列表，如NAS设备和主机服务器的操作系统（Windows或Linux）都提供针对不同用户对不同文件和目录授予不同的访问权限的功能。

    在应用存储虚拟化后，虚拟化管理软件应能全面管理不同虚拟对象，如IP SAN和FC SAN、NAS等的访问控制策略配置，通过上层应用封装对用户提供一致的管理界面，屏蔽底层对象的差异性。

    2数据加密保护

    在各类安全技术中，加密技术是最常见也是最基础的安全防护手段，在应用存储虚拟化技术后，数据的加密保护仍然是数据保护的最后一道防线。在存储虚拟化实践中，对数据的加密存在于数据的传输过程中和存储过程中。

    对数据传输过程中的加密保护能保护数据的完整性、机密性和可用性，防止数据被非法截获、篡改和丢失。针对不同虚拟化对象的特点，应采用不同的传输加密方式。如对IP SAN网络，可以采用IPSec Encryption（IPSec加密）或SSL加密功能防止数据被窃听，确保信息的保密性，采用IPSec摘要和防回复的功能防止信息被篡改，保证信息的完整性。

    对数据存储的加密能实现数据的机密性，完整性和可用性，还能防止数据所在存储介质意外丢失或者不可控的情况下数据自身的安全。对数据存储的保护可以从三方面进行，一方面是在主机端完成，通常由应用系统先对数据进行加密，然后再传输到存储网络中，由于不同应用采用加密算法的多样性导致加密强度的不一致，不利于数据存储安全的统一防护。为了解决这个问题，IEEE安全数据存储协会提出了P1619安全标准体系，这个体系制定了对存储介质上的数据进行加密的通用标准，采用这种标准格式可使得各厂家生产的存储设备具有很好的兼容性。

    对数据进行存储保护的另一种思路是在存储设备之前串接一个硬件加密装置，对所有流入存储网络的数据进行加密后，将密文提交给存储设备；对所有流出存储设备的数据进行解密后将明文提交给服务器；这种加密方式与上面提到的采用P1619的的解决方案类似，但这里的加密是由外部加密装置完成，而不是集成在存储网络中。这种解决思路与上层应用和存储无关，但在数据量大的情况下，对硬件加密装置的加解密性能和处理能力要求比较高。对数据加密保护的第三种解决办法是依靠存储设备自身的加密功能，如基于磁带机的数据加密技术，通过在磁带机上对数据进行加密，使数据得到保护；目前可信计算机组织（TCG，Trusted Computing Group）也已提出了针对硬盘的自加密标准，将加密单元放置在硬盘中，对数据进行保护。自加密硬盘提供用户认证密钥，由认证密钥保护加密密钥，通过加密密钥保护硬盘数据。认证密钥是用户访问硬盘的惟一凭证，只有通过认证后才能解锁硬盘并解密加密密钥，最终访问硬盘数据。

    3基于存储的分布式入侵检测系统

    目前常用的基于网络的入侵检测系统在防护针对存储设备的入侵检测中不能有效的发挥作用，因此2002年，Adam G.Pennington和JohnD.Strunk等人在第12届USENIX安全会议中提出基于存储的IDS（Storage based Intrusion Detection System）。基于存储的入侵检测系统嵌入在存储系统中，如SAN的光纤交换机、磁盘阵列控制器或HBA卡等设备中，能对存储设备的所有读写操作进行抓取、统计和分析，对可疑行为进行报警。由于基于存储的入侵检测系统是运行在存储系统之上，拥有独立的硬件和独立的操作系统，与主机独立，能够在主机被入侵后继续对存储介质上的信息提供保护。在存储虚拟化网络中，应在系统的关键路径上部署基于存储的入侵检测系统，建立全网统一的管理中心，统一管理入侵检测策略，实现特征库的实时更新和报警事件及时响应。基于存储的入侵检测系统提供如下的功能：

    （1）检测存储设备中文件/属性的改变：基于存储的入侵检测系统能对任何文件或属性的修改进行实时检测，即便这些行为的发起者已经通过了系统的身份认证请求，在发现可疑行为后能实时报警；

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!