存儲域網(SAN)的安全策略解析-網絡運維

2020-05-06 16:33 作者：艾銻無限 瀏覽量：

對于網絡存儲，存在著太多可能的威脅，包括數據更改、破壞、竊取、拒絕服務攻擊、惡意軟件、硬件竊取，以及未授權訪問等。
 
    要保證SAN（存儲域網）的安全，必須逐個殲滅這些可能威脅。
 
    近年來，對于網絡存儲安全，存在著太多威脅，包括數據更改、破壞、竊取、拒絕服務攻擊、惡意軟件、硬件竊取，以及未授權訪問等。要保證SAN（存儲域網）的安全，必須逐個殲滅這些可能威脅。值得慶幸的是，許多用于解決傳統網絡漏洞的安全策略和協議也可以幫助保證存儲網絡的可用性。
 
    不可否認，當今有不少網絡仍舊缺乏高效的安全機制。本文主要講述基本的安全概念和原理、支撐這些概念的協議，以及它們組織成一套整體的SAN安全策略方式。事實上，無論什么樣的安全策略，底層都包括基本的安全概念，包括驗證性、授權性、機密性、完整性、確認性以及訪問控制。    
    訪問控制
 
    在設計安全網絡環境時，訪問控制是一個基礎性概念，指的是控制某用戶可以或不可以訪問網絡、資源、文件等。
 
    為了有效地保證這些資源的安全，必須認真考慮并控制授予每個網絡用戶的訪問級別，然后設置策略來保證只有合法用戶才能真正獲得資源的訪問權。這是強健安全網絡環境的基礎。
 
    訪問控制策略主要包括：強制訪問控制（MAC）、自主訪問控制（DAC）和基于角色的訪問控制（RBAC）。
 
    MAC是最嚴格的訪問控制。這種策略中，不允許任何信息的制作者控制對數據的訪問和修改權。相反，由管理人員或管理程序控制對數據、系統、資源的訪問和修改權限。強制訪問控制系統通常用于對安全要求非常高的網絡環境，比如軍事部署、財政系統、醫療系統等。
 
    自主訪問控制不受管理員或操作系統策略的約束。相反，由被訪問對象的所有者控制訪問權。在DAC模型中，如果用戶創建了一個文件夾，則由此用戶來決定誰將擁有對此文件夾的訪問權。
 
    DAC要用到訪問控制列表（ACL）。ACL管理用戶對像文件、目錄、網絡資源等特定系統對象的訪問權信息。每個對象都有一個安全屬性來標識訪問控制列表，列表對于擁有相關訪問權的每位系統用戶都有一個入口。最普通的訪問權包括讀、寫、執行文件。
 
    在一個基于角色的訪問控制的配置中，訪問權是由用戶在組織中所代表的角色決定的。網絡用戶被賦予特定的角色，比如銷售員、經理、秘書等。同類角色的用戶自成一組，通過這些用戶在網絡上的角色決定訪問控制權?；诮巧脑L問需要對組織的運作方式、用戶的數目以及他們在組織中的職責有全面的了解。
 
    當某個用戶和角色聯系起來時，應該給該用戶只授予做本職工作需要的權限。這條安全規則是最基本的，稱為“最少權限”，用于所有的訪問控制方法。在一個基于角色的情景中，當組織機構雇用了新員工，首先要清晰定義其角色：教師、秘書、銷售員、經理等。為該用戶創建一個新賬號，將其放入該組織中有相同角色的組里。不必設置個人許可，因為訪問控制的級別從組里繼承就可獲得。實際上，基于角色的訪問控制是MAC的一種形式，因為控制是由管理員決定的，且訪問級別的標準也不掌握在對象所有者手中。
 
    用戶驗證策略
 
    用戶驗證策略包括：驗證性、授權性、確認性。弱的用戶驗證性及授權性是常見的網絡缺陷，存儲域網絡也不例外。
 
    驗證性指的是檢驗核實某人確實是他所聲稱的那個人。通常情況下，包括一個用戶名、密碼對，也可以包括其它表明身份的方法，比如智能卡、語音識別、指紋識別等。從網絡和系統的安全角度來講，驗證性是實施安全訪問控制的一個重要組成部分。
 
    授權性是指確定已被識別和驗證的用戶是否可以訪問某特定資源的過程。通常是通過檢驗該用戶是否屬于某一擁有訪問權的組來決定的。
 
    確認性指在系統上記錄事件的跟蹤機制，這里常用到審計。審計是監測事件的發生并為之做日志的過程。至于哪類事件應該跟蹤，哪類事件無需跟蹤，基本上是由管理員決定的。通過在系統上跟蹤事件，期望能夠記錄下嘗試訪問網絡或其它試圖破壞數據的行為，并采取相應的防御措施。
 
    反入侵策略
 
    在任一安全策略中，都需要對入侵者有所防范，制定響應的反入侵策略，在反入侵策略中，關鍵是保證數據的機密性來保護數據不被入侵者獲取和判斷數據在傳輸過程中是否已被篡改的完整性。
 
    為防止入侵者獲得數據，采用了加密機制。把原始數據加密后，如果沒有密鑰，則密文不可讀，即使被竊也毫無意義，被竊的數據仍然保持機密性。例如，在IPSec中，ESP協議可以加密將要通過光纖通道連接傳輸的數據。普通的以太網通信也可以使用IPSec或其它加密協議，比如SSL等。所有的加密協議都是為了使被竊數據不可讀，從而保證機密性的。完整性指的是檢驗數據，以確保未被篡改。舉例來講，在IPSec密鑰交換過程中，最初的交互使用MD5或SHA完整性驗證方法，來保證在此過程中數據未被篡改。