安全防护技术
在存储虚拟化环境中,针对不同的、异构的虚拟存储对象,应根据各自存储设备的特点,综合运用不同存储设备之间的安全防护机制构建全方位的安全防护体系。
1资源隔离和访问控制
在应用存储虚拟化技术之后,应用不需要关心数据实际存储的位置,只需要将数据提交给虚拟卷或虚拟磁盘,由虚拟化管理软件将数据分配在不同的物理介质。这就可能导致不同保密要求的资源存在于同一个物理存储介质上,安全保密需求低的应用/主机有可能越权访问敏感资源或者高安全保密应用/主机的信息,为了避免这种情况的发生,虚拟化管理软件应采用多种访问控制管理手段对存储资源进行隔离和访问控制,保证只有授权的主机/应用能访问授权的资源,未经授权的主机/应用不能访问,甚至不能看到其他存储资源的存在。
对于资源隔离和访问控制手段可以通过基于主机的授权、基于用户认证和基于用户的授权来实现。基于主机的访问控制可以从加强主机认证、主机的WWN(光纤设备的全球惟一编号)与交换机物理端口绑定、交换机分区和逻辑单元屏蔽(LUN Masking)等方式实现。根据虚拟对象的不同采用不同的技术手段,如对于FC SAN构建的存储网络,采用光纤通道安全协议(FC-SP)实现主机认证;采用光纤交换机分区将连接在SAN网络中的设备(主机和存储)在逻辑上划为不同的分区,使得不同区域内的设备之间不能通过访问,实现网络中设备之间的相互隔离;在磁盘阵列上采用逻辑单元屏蔽控制主机对存储卷的访问,设定主机只能看到授权的逻辑单元,实现阵列中存储卷之间的隔离。对于IPSAN组成的网络,可以设置访问控制列表,利用网络交换机的VLAN和ACL控制隔离存储网络,确保只有授权的设备能访问存储网络;利用iSCSI协议的身份验证机制(使用CHAP、SRP、Kerberos和SPKM)实现发起方与目标方的双向身份验证,只允许授权节点访问,阻止未经授权的访问。对用户的认证可采用AAA认证安全策略,如在IP SAN网络中,利用IP SAN交换机提供的802.1x认证,在用户接入网络时输入用户名和登录密码来识别用户身份,防止非法用户接入存储网络。对于用户的授权主要采用访问控制列表,如NAS设备和主机服务器的操作系统(Windows或Linux)都提供针对不同用户对不同文件和目录授予不同的访问权限的功能。
在应用存储虚拟化后,虚拟化管理软件应能全面管理不同虚拟对象,如IP SAN和FC SAN、NAS等的访问控制策略配置,通过上层应用封装对用户提供一致的管理界面,屏蔽底层对象的差异性。
2数据加密保护
在各类安全技术中,加密技术是最常见也是最基础的安全防护手段,在应用存储虚拟化技术后,数据的加密保护仍然是数据保护的最后一道防线。在存储虚拟化实践中,对数据的加密存在于数据的传输过程中和存储过程中。
对数据传输过程中的加密保护能保护数据的完整性、机密性和可用性,防止数据被非法截获、篡改和丢失。针对不同虚拟化对象的特点,应采用不同的传输加密方式。如对IP SAN网络,可以采用IPSec Encryption(IPSec加密)或SSL加密功能防止数据被窃听,确保信息的保密性,采用IPSec摘要和防回复的功能防止信息被篡改,保证信息的完整性。
对数据存储的加密能实现数据的机密性,完整性和可用性,还能防止数据所在存储介质意外丢失或者不可控的情况下数据自身的安全。对数据存储的保护可以从三方面进行,一方面是在主机端完成,通常由应用系统先对数据进行加密,然后再传输到存储网络中,由于不同应用采用加密算法的多样性导致加密强度的不一致,不利于数据存储安全的统一防护。为了解决这个问题,IEEE安全数据存储协会提出了P1619安全标准体系,这个体系制定了对存储介质上的数据进行加密的通用标准,采用这种标准格式可使得各厂家生产的存储设备具有很好的兼容性。
对数据进行存储保护的另一种思路是在存储设备之前串接一个硬件加密装置,对所有流入存储网络的数据进行加密后,将密文提交给存储设备;对所有流出存储设备的数据进行解密后将明文提交给服务器;这种加密方式与上面提到的采用P1619的的解决方案类似,但这里的加密是由外部加密装置完成,而不是集成在存储网络中。这种解决思路与上层应用和存储无关,但在数据量大的情况下,对硬件加密装置的加解密性能和处理能力要求比较高。对数据加密保护的第三种解决办法是依靠存储设备自身的加密功能,如基于磁带机的数据加密技术,通过在磁带机上对数据进行加密,使数据得到保护;目前可信计算机组织(TCG,Trusted Computing Group)也已提出了针对硬盘的自加密标准,将加密单元放置在硬盘中,对数据进行保护。自加密硬盘提供用户认证密钥,由认证密钥保护加密密钥,通过加密密钥保护硬盘数据。认证密钥是用户访问硬盘的惟一凭证,只有通过认证后才能解锁硬盘并解密加密密钥,最终访问硬盘数据。
3基于存储的分布式入侵检测系统
目前常用的基于网络的入侵检测系统在防护针对存储设备的入侵检测中不能有效的发挥作用,因此2002年,Adam G.Pennington和JohnD.Strunk等人在第12届USENIX安全会议中提出基于存储的IDS(Storage based Intrusion Detection System)。基于存储的入侵检测系统嵌入在存储系统中,如SAN的光纤交换机、磁盘阵列控制器或HBA卡等设备中,能对存储设备的所有读写操作进行抓取、统计和分析,对可疑行为进行报警。由于基于存储的入侵检测系统是运行在存储系统之上,拥有独立的硬件和独立的操作系统,与主机独立,能够在主机被入侵后继续对存储介质上的信息提供保护。在存储虚拟化网络中,应在系统的关键路径上部署基于存储的入侵检测系统,建立全网统一的管理中心,统一管理入侵检测策略,实现特征库的实时更新和报警事件及时响应。基于存储的入侵检测系统提供如下的功能:
(1)检测存储设备中文件/属性的改变:基于存储的入侵检测系统能对任何文件或属性的修改进行实时检测,即便这些行为的发起者已经通过了系统的身份认证请求,在发现可疑行为后能实时报警;
(2)检测文件模式的非正常修改:根据系统中某些文件操作模式的规律制定检测依据。如系统日志文件在正常情况下,总是以增量的方式进行周期性滚动,当有背离以上模式的行为发生时可以认为是发生了非法入侵行为;系统中的另一种更新模式是时间的不可回溯性;如文件内容的更改只会引起文件属性的变化,而文件创建时间等属性是不能发生变化的,当发生以上行为时也应该认为发生了入侵行为并进行报警。
(3)监控文件结构的完整性:基于存储的入侵检测系统对存储信息进行结构化分析,并建立结构规则库,当违反规则库中结构的行为发生时应认为发生了入侵行为。典型的文件结构规则库如UNIX系统的口令文件(/etc/passwd文件)包含一组记录条,记录之间通过换行符分割,每一条记录都包含七个不同的字段,每个字段用冒号分开。入侵检测系统可以监控并校验/etc/passwd文件内容是否符合正常规则来判断是否发生入侵行为,但这种基于文件内容的检测将占用系统大量的运算资源,因此监控的对象应限制在较小的范围内。
(4)扫描检测可疑文件:对存储设备上所有文件的扫描发现病毒或木马的存在。在这点上,入侵检测系统类似与基于主机的病毒防护系统,通过对病毒或恶意代码的特征库匹配来发现可疑文件。
4自安全存储设备
提高存储虚拟化安全防护水平的另一个手段是选用具有自安全功能的存储设备。安全存储设备最早是由卡内基?梅隆大学并行数据实验室于2000年在USENIX协会的第四次操作系统设计和实现会议中提出来,目的是通过将以往存在于服务器上的安全机制嵌入到存储设备中来,防止入侵者永久性地删除存储数据或对方利用存储服务器和一定权限对用户进行攻击。在存储设备自身建立一套安全机制,通过内置的操作指令对存储行为进行管理。由于存储设备具有一定的独立性,因此在主机或客户端系统受到攻击的情况下,仍能确保数据不受到破坏,从而提高系统的安全性。在存储虚拟化环境下,应对自安全存储设备进行统一的安全策略配置,以保证全网达到一致的安全防护水平。
5数据删除或销毁
应用存储虚拟化技术后,数据的彻底删除也是必须考虑的问题。由于数据存放的物理位置是位于多个异构存储系统之上,对于应用而言,并不了解数据的具体存放位置,而普通的文件删除操作并不是真正删除文件,只是删掉了索引文件的入口。因此在应用存储虚拟化技术之后,应在虚拟化管理软件将安全保密需求相同的文件在物理存储上分配在同一块或多块磁盘上,在删除文件时,为了彻底清除这些磁盘上的敏感信息,将该磁盘或多块磁盘的文件所有位同时进行物理写覆盖。对于安全保密需求高的场合,还应采用消磁的方式来进行更进一步地销毁。
随着企业信息数字化的进一步深入发展,在面对不断膨胀的数据量和不断增多的物理存储设备下,存储虚拟化技术正逐渐成为共享存储管理的主流技术。基于这项技术建设的存储网络的安全也越来越引起人们的重视,由于目前存储虚拟化中应用的各项安全技术依然缺乏标准化,不同产品提供的安全技术不能完全兼容,因此,尽快出台业界公认的标准,解决不同厂商之间存储系统安全机制的互操作问题是迫在眉睫的事情。
热门专题
