SAN存儲網絡安全建設探析

孫煒剛　王焱

摘 要：隨著大容量網絡存儲系統的大規模應用，存儲環境及存儲結構發生了顯著的變化，網絡存儲安全面臨嚴峻的挑戰。SAN存儲網絡由于通常使用專用局域網絡，專門處理在數據中心內的主機與目標設備之間的數據通訊問題，從而給人感覺具有比較高的安全性。然而由于存儲區域網絡能夠共享存儲資源，使得SAN具有潛在的不安全性，該文針對SAN存儲中企業核心數據的安全問題，從物理存儲區域部署、數據傳輸、數據冗余、數據授權訪問等各個環節進行了安全建設的探討，提出了全方位多層次保障SAN存儲網絡安全的方法。

關鍵詞：SAN 安全 分區 數據加密 鏡像 授權訪問

中圖分類號：TP30 文獻標識碼：A 文章編號：1674-098X（2015）11（b）-0122-03

近年來，隨著互聯網及電子政務、電子商務以及其他相關應用的迅速發展，數據成為網絡中最珍貴的資產，數據存儲在容量上和性能上的要求越來越高，存儲系統日益成為企業信息系統的核心。SAN是使用高速鏈路將存儲設備和服務器連接在一起而形成的網絡，SAN存儲網絡在存儲規模、可擴展性、靈活性、存儲速度、集成化管理等方面具有優勢，已經被越來越多地使用在存儲系統的構建中。有效解決SAN存儲網絡在數據使用、傳輸和存儲中的安全問題，成為SAN存儲系統建設的重要任務。

1 SAN架構存在的主要安全問題

（1）與傳統單臺服務器直接連接自己的專屬存儲設備不同，一個SAN存儲陣列通常供多臺運行著不同操作系統的服務器訪問，這就意味著必須有嚴格的措施來控制數據訪問的范圍，同時影響SAN的安全因素擴大，不可能僅僅依賴于單臺服務器操作系統的安全性。此外，SAN存儲網絡中還包含FC交換機、管理控制設備、備份服務器等許多其他設備，也大大增加了SAN存儲網絡遭到安全威脅的風險和被攻擊的幾率。

（2）任何網絡主要的數據安全威脅來自非授權訪問，尤其是管理接口。一旦惡意用戶獲得到與存儲區域網絡（SAN）相連接服務器管理員的權限，入侵者就可以訪問任何一個和SAN連接的系統，從而造成嚴重的數據失竊。

（3）一些網絡嗅探工具會攔截SAN中傳輸的數據，如果數據是以明文形式傳輸的，就很容易被黑客解析還原，從而導致敏感信息被竊。

（4）存儲設備中以明文存儲的數據，如果存儲介質被竊取，將造成敏感數據失密事件。數據在靜態存儲下的安全問題是至關重要的，應避免數據以明文的形式存儲。

（5）由于某種原因，存儲系統遭到破壞時，損毀的部件可能導致整個存儲系統癱瘓，因此必須保證存儲系統擁有足夠的冗余性，以確保數據安全和數據恢復。

（6）來自外部的存儲網絡安全威脅有：拒絕服務攻擊、中間人、電子欺騙等。拒絕服務攻擊使資源過載，從而阻止了合法用戶訪問資源；中間人攻擊冒合法交換機地址，一旦數據流向該偽造交換機，傳輸的數據就被竊聽和泄漏；電子欺騙攻擊利用有漏洞的合法程序向存儲網絡發出請求，從而竊取數據。

2 SAN存儲安全問題的主要應對技術介紹

2.1 SAN分區

SAN分區就是通過在SAN交換機上進行ZONE（區域）的劃分，將連接在SAN網絡中的設備，邏輯上劃分為不同的區域。一個分區可以由多個服務器、存儲設備、光纖交換機、HBA卡等組成。只有同一個分區的設備才可以互相通訊，不同分區的設備相互間不能訪問，從而達到SAN中服務器和設備相互隔離的目的。區域的劃分是在光纖交換機上進行的，對服務器或其他存儲設備是完全透明的，在它們上面不需要進行任何的配置。SAN網絡的區域劃分通常有以下幾種方法。

2.1.1 端口分區

使用光纖交換機物理端口的FC地址來定義分區，也稱為硬分區。在端口分區里，是否可訪問數據取決于節點連接到哪個物理交換端口。使用這種分區安全性比軟分區高，但該方法要求在光纖通道的連接變更時，必須修改分區配置信息。

2.1.2 WWN分區

WWN分區使用設備的WWN（萬維網名稱，World Wide Name）名稱來定義分區。WWN分區也被稱為軟分區。WWN分區的一個主要優點就是它的靈活性：它允許在SAN中變更連線但并不需要重新配置分區信息。

2.1.3 混合分區

混合分區結合了WWN分區和端口分區的優點。使用混合分區可以將光纖交換機的一個特定的端口綁定到一個節點的WWN上。

2.2 邏輯單元屏蔽（LUN masking）

LUN是SAN中磁盤邏輯單元的SCSI標志，在光纖通道領域，LUN是基于系統的WWN實現的。分區一般與LUN掩碼結合，來加強控制服務器對存儲器的訪問。但是，兩者在不同過程層面進行控制：分區工作在光纖通道層，而LUN掩碼工作在陣列層。

在SAN存儲網絡中，任何一個服務器和所有存儲系統在物理上是相通的。采用LUN掩碼技術，可限制特定的服務器只能訪問分配給它的特定的邏輯存儲空間（LUN）。如果有多個服務器訪問同一特定設備，可以通過設定特定的LUN組，并允許組內服務器可訪問該特定設備。這樣就可以拒絕其他服務器對該LUN的訪問，從而起到保護數據安全的目的。

2.3 保護存儲管理網絡

存儲設備都設有專門的管理端口，可通過串口和以太網口進行管理。管理口通常只有用戶名口令等基本安全校驗，沒有更多的安全防護措施，這使管理口本身容易招收攻擊而成為安全的短板。應該采取措施使管理口不直接與數據網絡進行連接。

2.4 數據加密

存儲中存放的數據和在連接中流動的數據均會受到數據盜竊的威脅，包括傳輸時篡改數據（破壞數據完整性）、私密信息泄露和存儲介質失竊（損害數據可用性和保密性）。為了阻止這些威脅，需要加密存儲在存儲介質上的數據或加密即將傳送到磁盤上的數據。

常用的數據加密方法有：（1）文件系統加密。（2）采用加密設備加密。通常文件系統加密會略微降低系統性能；采用加密設備，則成本較高。

“封裝安全凈載”（ESP）可以對光纖傳輸數據進行加密，以確保安全性。以太網傳輸能通過SSL或者類似的協議來加密。這些加密技術可以使用不同的加密程度使得被竊數據沒有可乘之機。目前，已經有一些廠商提供在SAN中進行加密的方案。由于光纖通道SAN尤其關注高性能，因此加密方案應該盡量不影響SAN的性能，所以多數方案都是基于硬件的加密。

2.5 鏡像技術

鏡像技術用于存儲設備內部，或者主存儲和備存儲之間，或者主數據中心和備援數據中心之間的數據冗余備份。鏡像是在兩個或多個磁盤或磁盤子系統上產生同一個數據的鏡像視圖的信息存儲過程，一個叫主鏡像系統，另一個叫從鏡像系統。按主從鏡像存儲系統所處的位置可分為本地鏡像和遠程鏡像。遠程鏡像按請求鏡像的主機是否需要遠程鏡像站點的確認信息，有可分為同步遠程鏡像和異步遠程鏡像。

同步遠程鏡像是指通過遠程鏡像軟件，將本地數據以完全同步的方式復制到異地，本地的每一個I/O事物均需等待遠程復制的內容完成確認信息，方予以釋放。同步鏡像使遠程拷貝總能與本地機要求復制的內容相匹配。同步鏡像使遠程拷貝總能與本地機要求復制的內容相匹配，但它存在往返傳播造成延時較長的缺點，只限于在相對較近的距離上的應用。

異步遠程鏡像保證在更新遠程存儲視圖前完成向本地存儲系統的基本I/O操作，而由本地存儲系統提供給請求鏡像主機的I/O操作完成確認信息。遠程的數據復制是以后臺同步的方式進行的，這使本地系統性能受到的影響很小，傳輸距離長，對網絡帶寬要求小。但是，如果出現傳輸失敗，可能出現數據一致性問題。

2.6 快照技術

快照技術通過控制軟件對要備份的磁盤子系統的數據快速掃描，建立一個要備份數據的快照邏輯單元號LUN和快照Cache，在快速掃描時，把備份過程中即將要修改的數據塊同時快速拷貝到快照Cache中。快照LUN是一組指針，它指向快照Cache和磁盤子系統中不變的數據塊。在正常業務進行的同時，利用快照LUN實現對原數據的一個完全且快速的備份。

2.7 基于磁帶庫的備份系統

基于磁帶庫的備份系統可以提供基本自動備份和數據恢復功能，且備份存儲容量達到TB級。在專用備份軟件管理下可進行集中式網絡數據備份，實現連續備份、智能恢復、實時監控統計等功能，為保證數據完整性和安全性提供了保障。

3 SAN存儲架構的全方位、多層次安全措施

3.1 劃分SAN存儲網絡安全區域

通過前述的SAN存儲風險要素分析，可以看出為保護信息資產安全，必須建立一個包含多層次安全措施的SAN安全架構。利用現有安全技術，通常將SAN網絡化分為5個不同功能的區域，然后在各個切入點進行安全建設，分別為：主機連接交換機區域、管理機連接交換機區域、存儲器連接交換機區域、遠程主機區域和交換機連接交換機區域。針對5種功能區通常采用的安全防護手段如圖1所示。

3.2 安全區域A（主機連接交換機區域）的安全措施

僅允許授權的服務器進行FC訪問，防護措施如下。

（1）使用訪問控制列表：使已知的HBA（光纖通道總線適配器）只可以連接到指定交換機的指定端口。

（2）使用端口分區和WWN分區等的安全分區方法，進行區域隔離，使只有指定端口之間可以訪問存儲資源。

（3）通過采用基于磁帶庫的數據存儲備份系統，實現自動的完全備份、增量備份、快速數據恢復等功能，保證了數據的安全性。

3.3 安全區域B（交換機連接交換機區域）

重點保護網絡中的數據信息流，防護措施有以下幾種。

（1）使用E_Port綁定認證。E端口是專門用于連接交換機和交換機的端口，通過網絡綁定可以防止未經授權的交換機加入網絡中任何已存在的交換機。

（2）加密傳輸數據。采用SAN加密交換機實現基于光纖的加密，可在不影響性能的情況下，對傳輸數據進行加密。

（3）實施FC交換機端口控制。進行端口綁定可以：限制連接到交換機特定端口的設備數量；只允許相應交換機連接到一個節點進行網絡訪問；可以禁用暫時不用的端口，防止閑置端口被非法使用。

3.4 安全區域C（存儲器連接交換機區域）

保護SAN上的存儲陣列，措施如下。

（1）采用基于WWN的LUN掩碼技術，使不同的主機只能訪問指定的存儲資源。

（2）利用SOURCE ID鎖定，實現基于源FCID（光纖通道ID/地址）的屏蔽，使偽裝的HBA WWN無法登入系統。

（3）采用SAN存儲設備的鏡像技術和快照技術，提高存儲系統的可靠性。

（4）采用文件系統等加密方法對數據進行加密，以實現存儲系統中靜態數據的保密。

3.5 安全區域D（管理機連接交換機區域）

授權訪問管理網段，措施如下。

（1）建立專用的管理網絡。為管理數據流創建一個單獨的私有的管理網絡，將存儲系統相關設備管理功能集中到該存儲管理網絡，從而將管理數據流與生產數據流隔離開。設立專門的存儲管理服務器用于管理存儲系統，限制管理網絡中網絡活動和訪問只發生在一個有限的主機集合，從而防止未授權設備訪問獲取網絡內各存儲設備接口的訪問權。

（2）建立基于角色的訪問控制，使指定角色的管理員只能進行指定權限的訪問及管理操作。認證FC交換機的管理員，使用雙因素認證服務器對登錄管理機的人員進行身份認證。

3.6 安全區域E（與遠程主機或遠程存儲網絡連接）

（1）與遠程主機或存儲網絡連接需要通過第三方網絡或設備，必須對傳輸中的數據進行加密。

（2）連接遠程FC網絡的，可采用專門的存儲加密網關，實現統一的加密存儲服務。

（3）連接遠程IP網絡的，可采用IP網絡加密方法，通常使用IPSec協議實現傳輸中的數據進行加密。

4 結語

總體來說，SAN存儲網絡環境中的安全性是一個復雜的問題，必須針對各種常見風險和攻擊對癥下藥，綜合考慮包括數據傳輸安全、數據存儲安全、設備管理安全、系統應用安全等多方面的因素，從傳統的邊界安全向全方位深度防御轉移，將各種安全措施嵌入、集成到所有安全相關組件中，才能構建一個全方位、多層次的安全防護系統，最大程度抵御這些威脅，安全地提高數據資源的可訪問性及利用率。

參考文獻

[1] 韓得志，余順爭，謝長生.融合NAS和SAN的存儲網絡設計與實現[J].電子學報，2006，34（11）：2012-2017.

[2] 張民，徐躍進.網絡安全試驗教程[M].北京：清華大學出版社，2007.

[3] 姜明華，周敬利，丁益洋.基于三方傳送的存儲管理系統設計與實現[J].計算機工程與應用，2007，43（33）：37-40.

[4] 郭玉東，尹青.基于對象的網絡存儲[M].北京：電子工業出版社，2007.

[5] 殷偉.計算機安全與病毒防治[M].合肥：安徽科學技術出版社，2004.