在交换机上实现存储安全

核心提示： 尽管SAN和NAS的安全机制有诸多相似之处，其实它们之间也是有区别的，在交换机上实现存储安全(3)，很多NAS系统不仅支持SSH、SSL、Kerberos、RADIUS和LDAP安全机制，同时也支持访问控制列表（ACL）以及多级许可，仅有得到授权的主机才被允许链接到交换光纤，利用端口级的A

尽管SAN和NAS的安全机制有诸多相似之处，其实它们之间也是有区别的。很多NAS系统不仅支持SSH、SSL、Kerberos、RADIUS和LDAP安全机制，同时也支持访问控制列表（ACL）以及多级许可。这里面有一个很重要的因素是文件锁定，有很多产品商家和系统通过不同的方式来实现这一技术。例如，微软采用的为硬锁定，而基于Unix的系统采用的是相对较为松弛的建议级锁定。由此可以看到，如果在Windows－Unix混合环境下，将会带来一定的问题。

呼唤存储安全标准化

SAN安全的实现基础在交换机这一层。因此，存储交换机的标准对网络产品制造商的技术提供方式的影响是至关重要的。

存储安全标准化进程目前还处于萌芽阶段。ANSI成立了T11光纤通信安全协议（FC-SP）工作组来设计存储网络基础设施安全标准的框架。目前已经提交了多个协议草案，包括FCSec协议，它实现了IPSec和光纤通讯的一体化；同时提交的还有针对光纤通讯的挑战握手认证协议（CHAP）的一个版本；交换联结认证协议（SLAP）使用了数字认证使得多个交换机能够互相认证；光纤通信认证协议（FCAP）是SLAP的一个扩展协议。IEEE的存储安全工作组正在准备制定一个有关将加密算法和方法标准化的议案。

存储网络工业协会（SNIA）于2002年建立了存储安全工业论坛（SSIF），但是由于不同的产品商支持不同的协议，因此实现协议间的互操作性还有很长一段路要走。

关注存储交换安全

大家都已经注意到了为了保证存储安全，应该在存储交换机和企业网络中的其它交换机上应用相同的安全预警机制，因此，对于存储交换机也应有一些特殊的要求。

存储交换安全最重要的一个方面是保护光纤管理接口，如果管理控制台没有很好的安全措施，则一个非授权用户有可能有意或无意地入侵系统或改变系统配置。有一种分布锁管理器可以防止这类事情发生。用户需要输入ID和加密密码才能够访问交换机光纤的管理界面。为了将SAN设备的管理端口通过安全认证机制保护起来，最好是将SAN配置管理工作集中化，并且对管理控制台和交换机之间的通讯进行加密。另外一个方面，在将交换机接入到光纤网络之前，也应该通过ACL和PKI机制实现授权访问和安全认证。因此，交换机间链接应当建立在严密的安全防范措施下。那么，仅有得到授权的主机才被允许链接到交换光纤，利用端口级的ACL，网络管理员可以将具体的每个端口分派给可以允许联结的主机。