當(dāng)災(zāi)難備份被作為應(yīng)對信息安全事件的主要手段時，存儲技術(shù)變得日趨重要。由于企業(yè)數(shù)據(jù)的重要性及集中性，網(wǎng)絡(luò)存儲資源成了黑客主要的攻擊目標(biāo)之一。與IP網(wǎng)絡(luò)一樣，存儲設(shè)備也容易受到已公布的各類安全威脅的攻擊。對于存儲區(qū)域網(wǎng)系統(tǒng)(SAN)，如何保護(hù)它的安全?一般認(rèn)為，存儲區(qū)域網(wǎng)在系統(tǒng)與連接、存儲結(jié)構(gòu)、子系統(tǒng)與介質(zhì)方面都存在被攻擊的危險。

對系統(tǒng)與連接的安全威脅來自計算機系統(tǒng)與存儲基礎(chǔ)設(shè)施相連的網(wǎng)關(guān)設(shè)備。網(wǎng)關(guān)設(shè)備往往用于遠(yuǎn)程備份、復(fù)制及災(zāi)難恢復(fù)等情況。這些網(wǎng)關(guān)設(shè)備通過專用的、共享的或公用的網(wǎng)絡(luò)把遠(yuǎn)程的SAN互相連接起來。由于網(wǎng)關(guān)設(shè)備通常與TCP／IP網(wǎng)絡(luò)連接，當(dāng)發(fā)生對系統(tǒng)設(shè)備的訪問時，存儲網(wǎng)絡(luò)就面臨著TCP／IP網(wǎng)絡(luò)上的安全風(fēng)險，如未授權(quán)的數(shù)據(jù)訪問和拒絕服務(wù)攻擊等。造成這種危險的原因是由于系統(tǒng)訪問權(quán)往往是通過簡單的系統(tǒng)配置或默認(rèn)配置得到的。封堵這方面系統(tǒng)漏洞的防御措施有應(yīng)用/設(shè)備訪問控制、配置策略評估及系統(tǒng)/設(shè)備監(jiān)控。成本較低的解決方案通�；�于信元、幀中繼、分組交換或路由實現(xiàn)，但通過ping掃描和端口掃描往往可以發(fā)現(xiàn)它們有很多漏洞。訪問配置不當(dāng)與管理控制簡單化，常常導(dǎo)致漏洞發(fā)生。例如設(shè)備的默認(rèn)設(shè)置或開放式端口管理很容易為黑客的攻擊所利用。由于缺少支持經(jīng)過驗證的存儲訪問設(shè)備功能協(xié)議，攻擊者還可能通過新的光纖通道接入系統(tǒng)。由于基于光纖協(xié)議的純數(shù)據(jù)傳輸并不支持本地隧道與VPN服務(wù)，用這類光纖傳輸數(shù)據(jù)和路由信息將很容易暴露數(shù)據(jù)。建議采用VPN服務(wù)，結(jié)合可以把光纖協(xié)議轉(zhuǎn)換成IP協(xié)議的存儲路由器，保護(hù)基于IP的SAN網(wǎng)關(guān)之間的數(shù)據(jù)和路由信息。

存儲結(jié)構(gòu)通常與光纖通道連在一起，網(wǎng)絡(luò)集線器、路由器、交換機和應(yīng)用系統(tǒng)通過存儲陣列連接和管理系統(tǒng)數(shù)據(jù)，并不考慮采用的是什么傳輸協(xié)議。多數(shù)存儲設(shè)備廠商都部署了安全訪問功能，以減小設(shè)備或應(yīng)用被劫持的危險。這些功能包括：在Telnet服務(wù)中用SSH或在Web服務(wù)中用SSL實現(xiàn)連接，結(jié)合雙因素驗證技術(shù)進(jìn)行保護(hù)等。這些防御措施同樣可以用于SAN管理。然而，由于這些設(shè)備和應(yīng)用大多支持遠(yuǎn)程管理，使得物理安全措施無法防御遠(yuǎn)程邊界之外的攻擊。一旦交換機或管理設(shè)備被黑客攻破，就會嚴(yán)重威脅存儲網(wǎng)絡(luò)的安全。

一些未授權(quán)的網(wǎng)絡(luò)設(shè)備也會對存儲結(jié)構(gòu)造成嚴(yán)重的安全威脅。如果有人利用被劫持的網(wǎng)站，把配有光纖主機總線卡的服務(wù)器連接到存儲結(jié)構(gòu)中，由于它與交換機之間沒有驗證協(xié)議，光纖通道的這個漏洞是敞開的。一旦配有網(wǎng)卡的服務(wù)器騙過了驗證過的IP地址，就能夠連接到存儲隔離網(wǎng)中，帶來數(shù)據(jù)失竊、破壞及拒絕服務(wù)等危險。為盡量降低這類危險，網(wǎng)絡(luò)管理員可采取分區(qū)措施，讓特定的通信流量通過隔離的交換機端口，盡可能減小與存儲結(jié)構(gòu)漏洞有關(guān)的安全風(fēng)險。

來自存儲子系統(tǒng)和介質(zhì)的風(fēng)險常常高于數(shù)據(jù)傳輸中的風(fēng)險。通常，存儲子系統(tǒng)和便攜式介質(zhì)在管理上是開放的。管理及支持這些子系統(tǒng)的系統(tǒng)管理員和產(chǎn)品供應(yīng)商能夠訪問有關(guān)數(shù)據(jù)。一旦這種訪問權(quán)被濫用，就會出現(xiàn)未授權(quán)訪問、偷竊信息和破壞數(shù)據(jù)等嚴(yán)重的危險。就連系統(tǒng)出現(xiàn)故障，也會被用做數(shù)據(jù)被竊的機會。在許多情況下，攻擊者除了采用直接手段獲取數(shù)據(jù)外，采用間接手段也能訪問到存儲數(shù)據(jù)，如暫存的磁帶，利用磁帶輪換及保管磁帶等，因而需要更嚴(yán)格的介質(zhì)管理。    為了確保存儲區(qū)域網(wǎng)的安全，應(yīng)該認(rèn)真制定應(yīng)對策略和實施步驟。可操作性存儲策略應(yīng)該根據(jù)存儲功能和業(yè)務(wù)的必要性，對安全風(fēng)險進(jìn)行評估。為了確保安全，可以采用多層防御策略，內(nèi)容包括系統(tǒng)和設(shè)備配置、測試、審查和監(jiān)控、訪問驗證、LUN屏蔽、端口分區(qū)、物理訪問控制，以及傳輸期間的存儲數(shù)據(jù)保護(hù)。采用存儲安全設(shè)備同樣非常重要。存儲安全設(shè)備具有高性能、集中管理及操作透明的優(yōu)點，只要為專用的網(wǎng)絡(luò)設(shè)備賦予加密功能，就可以將服務(wù)器或應(yīng)用系統(tǒng)解脫出來。這類設(shè)備能夠分析存儲流量、動態(tài)地對數(shù)據(jù)進(jìn)行合理加密、并把流量重新轉(zhuǎn)發(fā)到線路上。存儲安全設(shè)備在部署上非常靈活、經(jīng)濟，可以部署在存儲結(jié)構(gòu)里面、網(wǎng)關(guān)連接端前后，以及存儲子系統(tǒng)前面。

標(biāo)簽： ssl 安全 服務(wù)器 漏洞 企業(yè) 通信 網(wǎng)絡(luò) 網(wǎng)站 信息安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。