安全防護(hù)技術(shù)

在存儲(chǔ)虛擬化環(huán)境中，針對(duì)不同的、異構(gòu)的虛擬存儲(chǔ)對(duì)象，應(yīng)根據(jù)各自存儲(chǔ)設(shè)備的特點(diǎn)，綜合運(yùn)用不同存儲(chǔ)設(shè)備之間的安全防護(hù)機(jī)制構(gòu)建全方位的安全防護(hù)體系。

1資源隔離和訪問(wèn)控制

在應(yīng)用存儲(chǔ)虛擬化技術(shù)之后，應(yīng)用不需要關(guān)心數(shù)據(jù)實(shí)際存儲(chǔ)的位置，只需要將數(shù)據(jù)提交給虛擬卷或虛擬磁盤，由虛擬化管理軟件將數(shù)據(jù)分配在不同的物理介質(zhì)。這就可能導(dǎo)致不同保密要求的資源存在于同一個(gè)物理存儲(chǔ)介質(zhì)上，安全保密需求低的應(yīng)用/主機(jī)有可能越權(quán)訪問(wèn)敏感資源或者高安全保密應(yīng)用/主機(jī)的信息，為了避免這種情況的發(fā)生，虛擬化管理軟件應(yīng)采用多種訪問(wèn)控制管理手段對(duì)存儲(chǔ)資源進(jìn)行隔離和訪問(wèn)控制，保證只有授權(quán)的主機(jī)/應(yīng)用能訪問(wèn)授權(quán)的資源，未經(jīng)授權(quán)的主機(jī)/應(yīng)用不能訪問(wèn)，甚至不能看到其他存儲(chǔ)資源的存在。

對(duì)于資源隔離和訪問(wèn)控制手段可以通過(guò)基于主機(jī)的授權(quán)、基于用戶認(rèn)證和基于用戶的授權(quán)來(lái)實(shí)現(xiàn)。基于主機(jī)的訪問(wèn)控制可以從加強(qiáng)主機(jī)認(rèn)證、主機(jī)的WWN（光纖設(shè)備的全球惟一編號(hào)）與交換機(jī)物理端口綁定、交換機(jī)分區(qū)和邏輯單元屏蔽（LUN Masking）等方式實(shí)現(xiàn)。根據(jù)虛擬對(duì)象的不同采用不同的技術(shù)手段，如對(duì)于FC SAN構(gòu)建的存儲(chǔ)網(wǎng)絡(luò)，采用光纖通道安全協(xié)議（FC-SP）實(shí)現(xiàn)主機(jī)認(rèn)證；采用光纖交換機(jī)分區(qū)將連接在SAN網(wǎng)絡(luò)中的設(shè)備（主機(jī)和存儲(chǔ)）在邏輯上劃為不同的分區(qū)，使得不同區(qū)域內(nèi)的設(shè)備之間不能通過(guò)訪問(wèn)，實(shí)現(xiàn)網(wǎng)絡(luò)中設(shè)備之間的相互隔離；在磁盤陣列上采用邏輯單元屏蔽控制主機(jī)對(duì)存儲(chǔ)卷的訪問(wèn)，設(shè)定主機(jī)只能看到授權(quán)的邏輯單元，實(shí)現(xiàn)陣列中存儲(chǔ)卷之間的隔離。對(duì)于IPSAN組成的網(wǎng)絡(luò)，可以設(shè)置訪問(wèn)控制列表，利用網(wǎng)絡(luò)交換機(jī)的VLAN和ACL控制隔離存儲(chǔ)網(wǎng)絡(luò)，確保只有授權(quán)的設(shè)備能訪問(wèn)存儲(chǔ)網(wǎng)絡(luò)；利用iSCSI協(xié)議的身份驗(yàn)證機(jī)制（使用CHAP、SRP、Kerberos和SPKM）實(shí)現(xiàn)發(fā)起方與目標(biāo)方的雙向身份驗(yàn)證，只允許授權(quán)節(jié)點(diǎn)訪問(wèn)，阻止未經(jīng)授權(quán)的訪問(wèn)。對(duì)用戶的認(rèn)證可采用AAA認(rèn)證安全策略，如在IP SAN網(wǎng)絡(luò)中，利用IP SAN交換機(jī)提供的802.1x認(rèn)證，在用戶接入網(wǎng)絡(luò)時(shí)輸入用戶名和登錄密碼來(lái)識(shí)別用戶身份，防止非法用戶接入存儲(chǔ)網(wǎng)絡(luò)。對(duì)于用戶的授權(quán)主要采用訪問(wèn)控制列表，如NAS設(shè)備和主機(jī)服務(wù)器的操作系統(tǒng)（Windows或Linux）都提供針對(duì)不同用戶對(duì)不同文件和目錄授予不同的訪問(wèn)權(quán)限的功能。

在應(yīng)用存儲(chǔ)虛擬化后，虛擬化管理軟件應(yīng)能全面管理不同虛擬對(duì)象，如IP SAN和FC SAN、NAS等的訪問(wèn)控制策略配置，通過(guò)上層應(yīng)用封裝對(duì)用戶提供一致的管理界面，屏蔽底層對(duì)象的差異性。

2數(shù)據(jù)加密保護(hù)

在各類安全技術(shù)中，加密技術(shù)是最常見(jiàn)也是最基礎(chǔ)的安全防護(hù)手段，在應(yīng)用存儲(chǔ)虛擬化技術(shù)后，數(shù)據(jù)的加密保護(hù)仍然是數(shù)據(jù)保護(hù)的最后一道防線。在存儲(chǔ)虛擬化實(shí)踐中，對(duì)數(shù)據(jù)的加密存在于數(shù)據(jù)的傳輸過(guò)程中和存儲(chǔ)過(guò)程中。

對(duì)數(shù)據(jù)傳輸過(guò)程中的加密保護(hù)能保護(hù)數(shù)據(jù)的完整性、機(jī)密性和可用性，防止數(shù)據(jù)被非法截獲、篡改和丟失。針對(duì)不同虛擬化對(duì)象的特點(diǎn)，應(yīng)采用不同的傳輸加密方式。如對(duì)IP SAN網(wǎng)絡(luò)，可以采用IPSec Encryption（IPSec加密）或SSL加密功能防止數(shù)據(jù)被竊聽(tīng)，確保信息的保密性，采用IPSec摘要和防回復(fù)的功能防止信息被篡改，保證信息的完整性。

對(duì)數(shù)據(jù)存儲(chǔ)的加密能實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性，完整性和可用性，還能防止數(shù)據(jù)所在存儲(chǔ)介質(zhì)意外丟失或者不可控的情況下數(shù)據(jù)自身的安全。對(duì)數(shù)據(jù)存儲(chǔ)的保護(hù)可以從三方面進(jìn)行，一方面是在主機(jī)端完成，通常由應(yīng)用系統(tǒng)先對(duì)數(shù)據(jù)進(jìn)行加密，然后再傳輸?shù)酱鎯?chǔ)網(wǎng)絡(luò)中，由于不同應(yīng)用采用加密算法的多樣性導(dǎo)致加密強(qiáng)度的不一致，不利于數(shù)據(jù)存儲(chǔ)安全的統(tǒng)一防護(hù)。為了解決這個(gè)問(wèn)題，IEEE安全數(shù)據(jù)存儲(chǔ)協(xié)會(huì)提出了P1619安全標(biāo)準(zhǔn)體系，這個(gè)體系制定了對(duì)存儲(chǔ)介質(zhì)上的數(shù)據(jù)進(jìn)行加密的通用標(biāo)準(zhǔn)，采用這種標(biāo)準(zhǔn)格式可使得各廠家生產(chǎn)的存儲(chǔ)設(shè)備具有很好的兼容性。

對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)保護(hù)的另一種思路是在存儲(chǔ)設(shè)備之前串接一個(gè)硬件加密裝置，對(duì)所有流入存儲(chǔ)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行加密后，將密文提交給存儲(chǔ)設(shè)備；對(duì)所有流出存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行解密后將明文提交給服務(wù)器；這種加密方式與上面提到的采用P1619的的解決方案類似，但這里的加密是由外部加密裝置完成，而不是集成在存儲(chǔ)網(wǎng)絡(luò)中。這種解決思路與上層應(yīng)用和存儲(chǔ)無(wú)關(guān)，但在數(shù)據(jù)量大的情況下，對(duì)硬件加密裝置的加解密性能和處理能力要求比較高。對(duì)數(shù)據(jù)加密保護(hù)的第三種解決辦法是依靠存儲(chǔ)設(shè)備自身的加密功能，如基于磁帶機(jī)的數(shù)據(jù)加密技術(shù)，通過(guò)在磁帶機(jī)上對(duì)數(shù)據(jù)進(jìn)行加密，使數(shù)據(jù)得到保護(hù)；目前可信計(jì)算機(jī)組織（TCG，Trusted Computing Group）也已提出了針對(duì)硬盤的自加密標(biāo)準(zhǔn)，將加密單元放置在硬盤中，對(duì)數(shù)據(jù)進(jìn)行保護(hù)。自加密硬盤提供用戶認(rèn)證密鑰，由認(rèn)證密鑰保護(hù)加密密鑰，通過(guò)加密密鑰保護(hù)硬盤數(shù)據(jù)。認(rèn)證密鑰是用戶訪問(wèn)硬盤的惟一憑證，只有通過(guò)認(rèn)證后才能解鎖硬盤并解密加密密鑰，最終訪問(wèn)硬盤數(shù)據(jù)。

3基于存儲(chǔ)的分布式入侵檢測(cè)系統(tǒng)

目前常用的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)在防護(hù)針對(duì)存儲(chǔ)設(shè)備的入侵檢測(cè)中不能有效的發(fā)揮作用，因此2002年，Adam G.Pennington和JohnD.Strunk等人在第12屆USENIX安全會(huì)議中提出基于存儲(chǔ)的IDS（Storage based Intrusion Detection System）。基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)嵌入在存儲(chǔ)系統(tǒng)中，如SAN的光纖交換機(jī)、磁盤陣列控制器或HBA卡等設(shè)備中，能對(duì)存儲(chǔ)設(shè)備的所有讀寫操作進(jìn)行抓取、統(tǒng)計(jì)和分析，對(duì)可疑行為進(jìn)行報(bào)警。由于基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)是運(yùn)行在存儲(chǔ)系統(tǒng)之上，擁有獨(dú)立的硬件和獨(dú)立的操作系統(tǒng)，與主機(jī)獨(dú)立，能夠在主機(jī)被入侵后繼續(xù)對(duì)存儲(chǔ)介質(zhì)上的信息提供保護(hù)。在存儲(chǔ)虛擬化網(wǎng)絡(luò)中，應(yīng)在系統(tǒng)的關(guān)鍵路徑上部署基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)，建立全網(wǎng)統(tǒng)一的管理中心，統(tǒng)一管理入侵檢測(cè)策略，實(shí)現(xiàn)特征庫(kù)的實(shí)時(shí)更新和報(bào)警事件及時(shí)響應(yīng)。基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)提供如下的功能：

（1）檢測(cè)存儲(chǔ)設(shè)備中文件/屬性的改變：基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)能對(duì)任何文件或?qū)傩缘男薷倪M(jìn)行實(shí)時(shí)檢測(cè)，即便這些行為的發(fā)起者已經(jīng)通過(guò)了系統(tǒng)的身份認(rèn)證請(qǐng)求，在發(fā)現(xiàn)可疑行為后能實(shí)時(shí)報(bào)警；

（2）檢測(cè)文件模式的非正常修改：根據(jù)系統(tǒng)中某些文件操作模式的規(guī)律制定檢測(cè)依據(jù)。如系統(tǒng)日志文件在正常情況下，總是以增量的方式進(jìn)行周期性滾動(dòng)，當(dāng)有背離以上模式的行為發(fā)生時(shí)可以認(rèn)為是發(fā)生了非法入侵行為；系統(tǒng)中的另一種更新模式是時(shí)間的不可回溯性；如文件內(nèi)容的更改只會(huì)引起文件屬性的變化，而文件創(chuàng)建時(shí)間等屬性是不能發(fā)生變化的，當(dāng)發(fā)生以上行為時(shí)也應(yīng)該認(rèn)為發(fā)生了入侵行為并進(jìn)行報(bào)警。

（3）監(jiān)控文件結(jié)構(gòu)的完整性：基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)對(duì)存儲(chǔ)信息進(jìn)行結(jié)構(gòu)化分析，并建立結(jié)構(gòu)規(guī)則庫(kù)，當(dāng)違反規(guī)則庫(kù)中結(jié)構(gòu)的行為發(fā)生時(shí)應(yīng)認(rèn)為發(fā)生了入侵行為。典型的文件結(jié)構(gòu)規(guī)則庫(kù)如UNIX系統(tǒng)的口令文件（/etc/passwd文件）包含一組記錄條，記錄之間通過(guò)換行符分割，每一條記錄都包含七個(gè)不同的字段，每個(gè)字段用冒號(hào)分開(kāi)。入侵檢測(cè)系統(tǒng)可以監(jiān)控并校驗(yàn)/etc/passwd文件內(nèi)容是否符合正常規(guī)則來(lái)判斷是否發(fā)生入侵行為，但這種基于文件內(nèi)容的檢測(cè)將占用系統(tǒng)大量的運(yùn)算資源，因此監(jiān)控的對(duì)象應(yīng)限制在較小的范圍內(nèi)。

（4）掃描檢測(cè)可疑文件：對(duì)存儲(chǔ)設(shè)備上所有文件的掃描發(fā)現(xiàn)病毒或木馬的存在。在這點(diǎn)上，入侵檢測(cè)系統(tǒng)類似與基于主機(jī)的病毒防護(hù)系統(tǒng)，通過(guò)對(duì)病毒或惡意代碼的特征庫(kù)匹配來(lái)發(fā)現(xiàn)可疑文件。

4自安全存儲(chǔ)設(shè)備

提高存儲(chǔ)虛擬化安全防護(hù)水平的另一個(gè)手段是選用具有自安全功能的存儲(chǔ)設(shè)備。安全存儲(chǔ)設(shè)備最早是由卡內(nèi)基？梅隆大學(xué)并行數(shù)據(jù)實(shí)驗(yàn)室于2000年在USENIX協(xié)會(huì)的第四次操作系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)會(huì)議中提出來(lái)，目的是通過(guò)將以往存在于服務(wù)器上的安全機(jī)制嵌入到存儲(chǔ)設(shè)備中來(lái)，防止入侵者永久性地刪除存儲(chǔ)數(shù)據(jù)或?qū)Ψ嚼�用存�?chǔ)服務(wù)器和一定權(quán)限對(duì)用戶進(jìn)行攻擊。在存儲(chǔ)設(shè)備自身建立一套安全機(jī)制，通過(guò)內(nèi)置的操作指令對(duì)存儲(chǔ)行為進(jìn)行管理。由于存儲(chǔ)設(shè)備具有一定的獨(dú)立性，因此在主機(jī)或客戶端系統(tǒng)受到攻擊的情況下，仍能確保數(shù)據(jù)不受到破壞，從而提高系統(tǒng)的安全性。在存儲(chǔ)虛擬化環(huán)境下，應(yīng)對(duì)自安全存儲(chǔ)設(shè)備進(jìn)行統(tǒng)一的安全策略配置，以保證全網(wǎng)達(dá)到一致的安全防護(hù)水平。

5數(shù)據(jù)刪除或銷毀

應(yīng)用存儲(chǔ)虛擬化技術(shù)后，數(shù)據(jù)的徹底刪除也是必須考慮的問(wèn)題。由于數(shù)據(jù)存放的物理位置是位于多個(gè)異構(gòu)存儲(chǔ)系統(tǒng)之上，對(duì)于應(yīng)用而言，并不了解數(shù)據(jù)的具體存放位置，而普通的文件刪除操作并不是真正刪除文件，只是刪掉了索引文件的入口。因此在應(yīng)用存儲(chǔ)虛擬化技術(shù)之后，應(yīng)在虛擬化管理軟件將安全保密需求相同的文件在物理存儲(chǔ)上分配在同一塊或多塊磁盤上，在刪除文件時(shí)，為了徹底清除這些磁盤上的敏感信息，將該磁盤或多塊磁盤的文件所有位同時(shí)進(jìn)行物理寫覆蓋。對(duì)于安全保密需求高的場(chǎng)合，還應(yīng)采用消磁的方式來(lái)進(jìn)行更進(jìn)一步地銷毀。

隨著企業(yè)信息數(shù)字化的進(jìn)一步深入發(fā)展，在面對(duì)不斷膨脹的數(shù)據(jù)量和不斷增多的物理存儲(chǔ)設(shè)備下，存儲(chǔ)虛擬化技術(shù)正逐漸成為共享存儲(chǔ)管理的主流技術(shù)。基于這項(xiàng)技術(shù)建設(shè)的存儲(chǔ)網(wǎng)絡(luò)的安全也越來(lái)越引起人們的重視，由于目前存儲(chǔ)虛擬化中應(yīng)用的各項(xiàng)安全技術(shù)依然缺乏標(biāo)準(zhǔn)化，不同產(chǎn)品提供的安全技術(shù)不能完全兼容，因此，盡快出臺(tái)業(yè)界公認(rèn)的標(biāo)準(zhǔn)，解決不同廠商之間存儲(chǔ)系統(tǒng)安全機(jī)制的互操作問(wèn)題是迫在眉睫的事情。