科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网存储频道分析:企业存储不安全,小心看护IP SAN

分析:企业存储不安全,小心看护IP SAN

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

从DAS到NAS,再到后来的SAN,存储世界经历了许多年的发展。在此期间,存储业界对于SAN的理解都仅仅是光纤区域网络存储(FC SAN)。

作者:胡援兵 2008年3月24日

关键字: 数据划分 FC通道 存储系统 IoSafe SAN

  • 评论
  • 分享微博
  • 分享邮件

  IP SAN快速扩张的现状

  从DAS到NAS,再到后来的SAN,存储世界经历了许多年的发展。在此期间,存储业界对于SAN的理解都仅仅是光纤区域网络存储(FC SAN)。一直到2003年2月,IETF正式发布iSCSI标准,该标准融合了IP与存储的概念,并将IP应用于以往神圣而不可侵犯的SAN存储中。

  其实,IP SAN的出现也是有其背景的:在DAS落伍,NAS在稳定性与传输速度方面逐渐不支时,基于FC传输通道的SAN区域网络存储出现了。

  在SAN出现的第一天起,眼光深远的存储业专家,已经从SAN的各项优良特性中感到了NAS的末日。事实证明,在很短的时间内,NAS就被大企业用户仅仅当作文件存储系统存在。

  不过,在占据市场绝对主流的中小企业用户来说,虽然FC SAN存储高速、稳定、安全的优良特性让人看着眼谗,但是它高高在上的采购成本却成为大家望而却步的第一阻力。

  那可怎么办?SAN与NAS之间的差距也太大了,SAN无论是在实际使用效果还是心理上,都让用户在关键存储应用上无法向NAS再伸出手去。

  其实也容易解决,寻找两者之间的平衡点!大量市场需求的出现,往往成为新技术面市的动力,也就是在这个基础上,协调了相对高速、稳定、安全等特性与相对较低成本的iSCSI标准出现了(大众意义的IP SAN概念)。  

  IP SAN产品的多方平衡,让中小企业主找到了部署关键存储的希望,而中小企业占据市场绝大多数的量,也成为IP SAN快速扩张市场分额的关键。

  IP SAN替代FC SAN的观点愚不可及

  自2003年iSCSI标准面世以来,不少存储业内专家甚至部分存储厂商都预言,IP SAN将完全取代FC SAN,成为下一代存储技术发展的方向,而随着万兆以态网与IP SAN的结合,附庸者更是日增。

  难道IP SAN真的要将FC SAN这曾经被所有人认为不可动摇的存储贵族清理出市场吗?

  个人认为,这是一种愚不可及的想法!

  我们可以这样假设,一个白领和一个普通的职员同时需要买一部车改善现有的工作与生活交通状况,有两个方案供选择:

  一辆价值10万人民币的轿车,极限速度是160迈,其本身在性能、稳定性、安全性等各方面综合参数都相对优越;一辆价值5千人民币的摩托车,其极限速度是80迈,要将其改装到180迈的水平,并同时满足摩托车性能、稳定性等各参数要求,需要再投入2万人民币,再考虑到车手的安全防护,需继续投入5千人民币。

  3万对10万,两车的初次购置成本相差够大了,再加上摩托车的保养费用相对轿车更是少了一大截。

  可结果我们可以预见,白领会毫不犹豫地选择轿车,而普通职员也会选择更适合他的摩托车。

  为什么?轿车与摩托车两类产品的市场定位不同!

  这就仿佛是FC SAN与IP SAN的存储系统差异,大型企业考虑到的是存储系统在性能、稳定、安全性、整体可管理性等综合的更高级别,而中小企业却更加侧重考虑成本。

  持有IP SAN将取代FC SAN这一观念的出发点,是看到IP SAN对于主流中小企业关键存储市场分额的大面积蚕食,却没看到高端FC SAN本身所定位的就是那一小撮大型企业关键存储应用。

  IP SAN存储的安全隐患

  话说回来,要谈到IP SAN存储的安全性,难免要提到大家对于所有SAN存储安全性的认识。

  由于早期的SAN存储仅仅是建立在高端的FC通道传输基础上,而且各存储系统还采用区别于企业IT各应用服务器操作系统的专用操作系统,这在一定程度上增加了FC SAN存储的安全性,部分大企业用户在部署安全防范策略时,仅仅在企业内网外部建立了整局防御线,这也造成后来出现的SAN关键存储被黑客攻击的巨大损失。

  IP SAN对于FC SAN中诸多优良特性延续的事实,加上FC SAN小范围应用带来的安全威胁信息相对不透明性,麻痹了不少中小企业用户。结果可想而知,越来越多IP SAN存储用户被黑客攻击的个案开始浮现在大众面前。

  许多中小企业用户可能会想:难道仅仅是将FC通道换成IP通道、管理软体从易用性上稍做改进,这区域网络存储方案的安全性就变得不堪一击了吗?

  答案非常肯定:不!

  其实就像前文所说,即便高端如FC SAN,也存在同样的安全威胁,IP SAN的大量应用,只是将安全个案的量增加了而已,而采用不同通道与不同协议、简化软体的存储方案,对于黑客攻击来说,在手段上几乎是没有区别的。

  那么,IP SAN的安全威胁都存在于哪些方面?

  许多存储业的专家都将IP SAN存储的安全性定格在管理软体漏洞、数据本身的安全、来自内外网的访问授权与授权欺骗等方面,而事实上,我们可以看到,以上几方面的安全隐患更侧重于企业内网范围内,对于来自企业外网的二层安全威胁,却并未更全面的考虑。

  这样一来,从全局的方向看,我们可以确定IP SAN存储安全隐患所在:区域网络存储与企业内网之间、企业内网与外网之间这两层安全隐患的叠加。

  IP SAN安全解决方案思路

  前文提到,IP SAN存储要从内外网的全局考虑其安全性。那么内外网的安全解决方案应该从哪些方面入手呢?

  首先,我们把区域网络存储系统看作企业内网中一个缩小的独立工作组级网络系统,这样我们就能明了区域存储网络安全解决方案的思路了:

  企业内网的安全部署

  关于企业内网的安全部署,涉及的面很广,不过很多地方都有关于企业内网安全设置比较详细的介绍,相信大家已经非常明了,这里不再赘述,只是提醒大家:这是区域网络存储系统的第一道安全屏障!

  区域网络存储专项安全部署

  区域网络存储与企业内网之间的安全部署,也是IP SAN的第二道安全屏障,需要从以下几个方面考虑;

  1)完善IT部门日常工作管理机制,定时检查区域网络连线状况以保障基础网络线路的正确性,不定时检查IP SAN存储系统的访问记录,以确认存储系统访问者都经过授权许可;

  2)限制管理区域网络存储系统的终端与内外网的互访,设置高保密级别的管理员密码并不定时更换,以确认对管理终端的控制;

  3)将区域网络存储系统内的重要数据划分不同的区块并进行屏蔽,将不同区块与对应部门相关授权人员不同级别的访问权限对应,不定时更换访问密码以避免黑客的授权欺骗攻击;

  4)在区域网络存储与企业内网连接的位置建立能够智能分析虚假IP的防火墙或路由节点,并设置相关访问策略为具备访问权限的内网特定IP和不定时更换的密码,以降低被黑客通过虚假IP入侵的可能性;

  5)在拥有高速交换设备的区域网络存储系统中,要在区域网络存储与企业内网间的路由节点上设置对各交换设备的高保密级别的完全控制权限密码,并不定时确认该节点对各交换设备完全控制权限的有效性;

  6)在存储系统访问控制表上进行二次访问控制,并使用非标准的用户身份验证机制,两者结合以增加对非法授权者访问控制的安全系数;

  7)对内网与区域网络存储之间传输的所有数据本身进行加密解密控制,以避开黑客通过常规基于IP传输技术的数据侦听。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章