保护SAN数据安全的方法

 尽管目前对于在哪一级设备应用存储安全控制是最优的尚未一个明确的结论，例如，IPSec可以在ASIC、×××设备、家电和软件上实现，但目前已有不少商家在他们的数据存储产品中实现了加密和安全认证功能。

FC、IP网络的安全性

不管是光纤通道仍是IP网络，主要的潜在威胁来自非受权访问，特别是管理接口。例如，一旦得到和存储区域网络(SAN)相链接服务器管理员的权限，欺诈进入就能够得逞。这样***者能够访问任何一个和SAN链接的系统。所以，不管使用的是哪种存储网络，应该认识到应用充分的权限控制、受权访问、签名认证的策略对防止出现安全漏洞是相当重要的。

测错***在IP网络中也比在光纤通道的SAN中易于实现。针对这类***，通常是采用更为复杂的加密算法。

尽管DoS彷佛不多发生，可是这并不意味着不可能。然而若是要在光纤通道SAN上实现DoS***，则不是通常的***软件所能实现的，由于它每每须要更为专业的安全知识。

实现SAN数据安全方法

保证SAN数据安全的两个基本安全机制是分区制zoning和逻辑单元值(Logical Unit Number)掩码。

分区制是一种分区方法。经过该方法，必定的存储资源只对于那些经过受权的用户和部门是可见的。一个分区能够由多个服务器、存储设备、子系统、交换机、HBA和其它计算机组成。只有处于同一个分区的成员才能够互相通信。

分区制每每在交换级来实现。根据实现方式，能够分为两种模式，一为硬分区，一为软分区。硬分区是指根据交换端口来制定分区策略。全部试图经过未受权端口进行的通信均是被禁止的。因为硬分区是在系统电路里来实现，并在系统路由表中执行，所以，较之软分区，具备更好的安全性。

在光纤通道网络中，软分区是基于广域命名机制的(WWN)的。WWN是分配给网络中光纤设备的惟一识别码。因为软分区是经过软件来保证在不一样的分区中不会出现相同的WWNs，所以，软分区技术比硬分区具备更好的灵活性，特别是在网络配置常常变化的应用中具备很好的可管理性。

有些交换机具备端口绑定功能，从而能够限制网络设备只能和经过预约义的交换端口进行通信。利用这种技术，能够实现对存储池的访问限制，从而保护SAN免受非受权用户的访问。

另外一种被普遍采用的技术是LUN掩码。一个LUN就是对目标设备(如磁带和磁盘阵列)内逻辑单元的SCSI识别标志。在光纤通道领域，LUN是基于系统的WWN实现的。

LUN掩码技术是将LUN分配给主机服务器，这些服务器只能看到分配给它们的LUN。若是有许多服务器试图访问特定的设备，那么网络管理者能够设定特定的LUN或LUN组能够访问，从而能够拒绝其它服务器的访问，起到保护数据安全的目的。不只在主机上，并且在HBA、存储控制器、磁盘阵列、交换机上也能够实现各类形式的LUN屏蔽技术。

若是可以将分区制和LUN技术与其它的安全机制共同运用到网络及其设备上的话，对网络安全数据安全将是很是有效的。

呼唤存储安全标准化

SAN数据安全的实现基础在交换机这一层。所以，存储交换机的标准对网络产品制造商的技术提供方式的影响是相当重要的。

存储安全标准化进程目前还处于萌芽阶段。ANSI成立了T11光纤通讯安全协议(FC-SP)工做组来设计存储网络基础设施安全标准的框架。目前已经提交了多个协议草案，包括FCSec协议，它实现了IPSec和光纤通信的一体化;同时提交的还有针对光纤通信的挑战握手认证协议(CHAP)的一个版本;交换联结认证协议(SLAP)使用了数字认证使得多个交换机可以互相认证;光纤通讯认证协议(FCAP)是SLAP的一个扩展协议。IEEE的存储安全工做组正在准备制定一个有关将加密算法和方法标准化的议案。

存储网络工业协会(SNIA)于2002年创建了存储安全工业论坛(SSIF)，可是因为不一样的产品商支持不一样的协议，所以实现协议间的互操做性还有很长一段路要走。

关注存储交换安全

你们都已经注意到了为了保证存储安全，应该在存储交换机和企业网络中的其它交换机上应用相同的安全预警机制，所以，对于存储交换机也应有一些特殊的要求。

存储交换安全最重要的一个方面是保护光纤管理接口，若是管理控制台没有很好的安全措施，则一个非受权用户有可能有意或无心地***系统或改变系统配置。有一种分布锁管理器能够防止这类事情发生。用户须要输入ID和加密密码才可以访问交换机光纤的管理界面。为了将SAN设备的管理端口经过安全认证机制保护起来，最好是将SAN配置管理工做集中化，而且对管理控制台和交换机之间的通信进行加密。另一个方面，在将交换机接入到光纤网络以前，也应该经过ACL和PKI机制实现受权访问和安全认证。所以，交换机间连接应当创建在严密的安全防范措施下。那么，仅有获得受权的主机才被容许连接到交换光纤，利用端口级的ACL，网络管理员能够将具体的每一个端口分派给能够容许联结的主机。