存储安全机制

存储培训教材———————存储安全机制日期：2011-05-21亿通国际主机组学习目标了解IPSAN存储安全机制了解FCSAN存储安全机制12存储安全机制泛信息安全模型是基于信息安全策略，保证信息在不同环境、不同状态下的安全模型。数据通信存储人机交互环境系统外部环境信息世界计算管理策略信息安全策略技术策略泛安全模型信息安全技术就是保证信息在“计算”、“通信”和“存储”三种状态下的安全计算安全服务提供终端与服务器的安全保障提供业务连续性保障通讯安全服务提供面向业务的端到端的安全保障存储安全服务提供基于数据保护的快速恢复性保障提供基于存储和网络的访问控制保障提供基于数据加密的数据保密性保障基于信息状态的信息安全服务结构SAN安全访问控制允许授权访问拒绝非授权访问身份验证保证传输、消息、发起端的合法性数据加密数据只让合法接收方能使用防止恶意窃听存储区域网安全机制独立网络FCSAN或IPSANSAN磁带库磁盘阵列磁盘阵列LAN业务网络和存储网络分离，降低外来威胁风险业务网SAN安全基本思想－网络隔离FCSAN安全实现访问控制发现域VLANLUN映射/掩码（LUNMapping/LunMasking）传输安全IPSec/VPNACL管理安全IPSec/SNMPv3/SSH/SSL/RadiusIPSAN安全实现存储安全现状•访问控制–分区（Zoning）–LUN映射/掩码（LUNMapping/LunMasking）•传输安全–未全面规划•管理安全–IPSec/SNMPv3/SSH/SSL/Radius通用服务FC-ATMFC链路封装FC-LESCSI–3命令集映射IPI-3命令集映射(IPI-3STD)FC-4FC-AL-2FC-3FC-0FC-1FC-2光纤物理与信号接口(FC-PH,FC-PH2,FC-PH3)物理变换编码/解码结构协议FC-AL8b/10b编码铜,光连接FC-3通用服务层是安全(如加密、认证等)的预留层FC通用服务一直没有统一规划和制定清晰的标准，这就是FC安全问题的根源！FC的安全标准尚在制定中网络接口(链路层)IP(网络层)TCP(传输层)SOCKSSSL,TLSIPSec(AH,ESP)PacketFilteringTunnelingProtocolsCHAP,PAP,MS-CHAPiSCSIiSCSI与TCP/IP的VPN协议功能技术访问控制访问控制列表（ACL）、LUN掩码（LUNMasking）、分区、VLAN管理数据安全SNMPv2/v3、SSL、SSH管理身份验证ID、密码RADIUS机密管理密码散列（hash）、证书安全配置数据安全、密钥安全实体身份验证CHAP消息验证和完整性MD5数据加密IPSecESPDES、3DES、AESIPSAN可利用成熟的安全工具主机A交换机主机BS1S3S2S4S5HOSTNAMEIPADDRNICMACiSCSIIQNHBAWWN安全保障技术对比－FCvsIPZONINGVLANVPNLUNMASKINGLUNMaskingCHAPIPSecFCSANIPSAN存储设备IPSeciSCSIHBACardiSCSI磁盘阵列FCHBACardFC磁盘阵列IPSec：数据加密标准(DES40位)、数据加密标准(DES56位)、3DES(168位)FC协议为二层协议，无加密功能主机GECard防止网络窃听SAN的访问控制－分区存储区域网络(SAN)磁带库磁盘阵列分区4分区1分区2分区3FC：ZoningiSCSI：1、发现域2、VLAN存储区域网络(SAN)FCSNS/iSNS基于名称服务的SAN分区磁带库磁盘阵列Zone4Zone1Zone2Zone3WWNWWNWWNWWNWWUIWWUIWWUIWWUIFCSAN称这类分区为“软分区”，而IPSAN采用发现域可实现FC基于名称服务的分区功能基于交换机端口的分区zone2磁带库磁盘阵列zone1zone3zone4主机交换机FCSAN称这类分区为“硬分区”IPSAN采用VLAN实现，但是VLAN功能远比FC交换机分区功能标准和强大VLAN2磁带库iSCSI磁盘阵列VLAN1VLAN3VLAN4主机交换机VLANtablePortVLANPort1VLAN1，4…………Port4VLAN2，4…………Port6VLAN3，4Port9VLAN1Port11VLAN2Port13VLAN3………………………………Port16VLAN4…………基于端口的VLAN服务器服务器HBA卡LUN0LUN1LUN2阵列1YYN阵列2YYN阵列3NNNAccessMapSANLUN0LUN1LUN2阵列1NNY阵列2NNY阵列3YYYAccessMap阵列3阵列2阵列1LUN2LUN1LUN0LUN2LUN1LUN0LUN2LUN1LUN0基于HBA的LUNMapping/Masking主机1主机3SANLUN0LUN1LUN2主机1YNN主机2NYN主机3NNYAccessMap阵列LUN2LUN1LUN0主机2基于控制器的LUNMapping/MaskingQ/A谢谢！