存储安全介绍及实现存储安全的方法
2008-12-17 12:09:16 来源:WEB开发网数据访问安全和管理安全将在下一部分进行详细讨论。
数据访问安全
怎样阻止未经授权的访问,修改数据,破坏数据?有三个广泛的技术领域涉及到这一点,即身份(认证)、授权(LUN安全)以及机密性/完整性(加密)。
1、身份认证
与存储有关的验证分为三个级别:不验证、FC WWN验证、询问/响应设备来证明自己的身份。原来根本不验证。最近FC WWN (World Wide Name)被用来验证设备的身份。将来,FC和iSCSI,以及更高级的询问/ 响应(challenge/response)协议将用于确认设备的身份。
不认证
早期的FC安装将SAN划分为几个区域。与某个区域连接的系统被假定属于那个区域。就像是SCSI缆线上的系统。由于互操作性或错误隔离等原因,分区仍然很重要。
Fibre Channel WWN
现在FC验证的最好方法是在线存储识别发出请求的系统的唯一WWN,把WWN作为其身份。对于应付简单的管理员错误或偶然的攻击,这种方法足以应付了。在理论上,经验丰富的黑客可以伪造属于另一个系统的WWN。
光纤安全协定
在FC-SP规格下,FC设备利用最高级别的询问/响应协议互相之间进行认证。几年之后,支持FC-SP的设备才能得到普及,将非FC-SP设备锁定在预先存在的SAN之外。
iSCSI
问询-握手身份验证协议(Challenge-Handshake Authentication Protocol,CHAP)通过匹配用户名和登陆密码,来识别用户的身份。密码不需要以纯文本的形式在网络中传输,从而避免了掉包和被拦截的情况发生,所以,该协议赢得了许多网络管理员的信任。不过,值得一提的是,这些密码必须存放在连接节点的终端,有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service,RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上,对终端进行认证、授权和统计,即使如此,网络黑客仍然可以通过伪设置的办法,侵入客户端。
更多精彩
赞助商链接