Безопасность сетей SAN
В данном разделе описаны технологии по обеспечению безопасности сетей передачи данных.

Безопасность в среде IT, всегда играла большую роль в датацентрах. Политики безопасности предприятий, определяют каким образом, информация будет защищена от несанкционированного доступа и модификации. Данные политики обычно реализуются на различных уровнях организации доступов данным, с использованием стандартных систем за контролями доступа, например ACL, брандмауэры, IPS, и т.п., но данные технологии редко используются для контроля доступа к сетям хранения данных.

Различная информация хранится и передается через сети SAN, например, интеллектуальная собственность, личные данные и финансовые транзакции. Безопасность сетей SAN, является достаточно критичной, поскольку и нее можно извлечь много информации. Также безопасность сетей SAN, становится более уязвимой, в связи с тем, что она получает большое распространение, и любой сервер с оптическим адаптером, включенный в нее, несет потенциальную угрозу безопасности данных.

Большое внимание зачастую уделяется безопасности внутренней Ethernet сети, что считается основным из важнейших критериев при аудитах систем безопасности. Но с большим распространением сетей SAN, требования к системам безопасности растут, и в настоящее время возникла защищать сети SAN, т.к. утрата данных из сетей SAN может привести к серьезным убыткам. После утраты данных из сетей SAN, дальнейшая защита компьютеров в Ethernet сети, утрачивает смысл.

При проектировании сетей SAN, должна учитываться безопасность сети. Без активных мер по обеспечению безопасности, посторонние смогут легко получать информацию из сети SAN. Для защиты сетей SAN необходимо:
◆ Периодически оценивать конфигурацию сети
◆ Проверять системы защиты
◆ Определять уязвимости
◆ Определять возможные риски
◆ Осуществление практических решений в области безопасности при высоких рисках.

Основные концепции безопасности
Сети SAN, используют блочную передачу данных для протоколов Fibre Channel (FC) и Internet SCSI (iSCSI). Основные концепции безопасности, такте как авторизация, идентификация и шифрование, для них схожи, но механизмы обеспечения безопасности в протоколах Fibre Channel и iSCSI SAN, различны.
В разделе “Архитектуры, механизмы и компоненты безопасности сетей SAN”, рассмотрены подробные схемы построения систем безопасности SAN.

Доступность
Доступность – возможность доступа к данным, находящимся в зашифрованном виде. Это позволяет авторизованным пользователям иметь доступ к данным, приложениям и устройствам, находящимся в сети SAN.

Аутентификация
Аутентификация представляет собой процесс проверки идентичности объекта. Процесс аутентификации, как правило, представляет собой запрос прав на использование ресурсов с известным идентификатором. Аутентификация в сетях SAN, производится на многих уровнях, включая, коммутаторы, межкоммутаторные соединения и на уровне массивов хранения данных.

Авторизация
Авторизация – представляет собой процесс предоставления прав и привилегий на использование ресурса, обычно происходит после завершения аутентификации. Методы авторизации в сетях iSCSI/Fibre Channel, применяются к оборудованию, имеющему адреса WWN, и не может изменять своего имени. Данный метод не делает вторичной проверки, что представляет уязвимость, которую можно взломать путем спуфинга. (См. “Спуфинг (Модификация/Фабрикация)”.)

Аудит
Аудит – процесс сбора и сохранения информации о событиях в сети для последующего анализа. Эта способность захватывать и сохранять все события, об инфраструктуре, необходима для повышения безопасности и общей стабильности работы сети. В сетях SAN, используется протокол SNMP, для сбора сообщений о различных событиях в Storage Management Initiative Specification (SMI-S).

Целостность
Целостность данных позволяет сохранять и передавать данные по сети в неизменном виде. Для сетей SAN, целостность означает сохранение данных, в неповрежденном виде от преднамеренных или непреднамеренных действий.

Шифрование
Шифрование используется в качестве инструмента, по скрытию информации от несанкционированного доступа, тем самым обеспечивая конфиденциальность данных. Шифрование в сетях SAN, может использоваться в двух конфигурациях:
◆ Шифрование передаваемых по сети данных;
◆ Шифрование хранимых данных (на дисках).

Взаимосвязанные массивы
На практике, взаимосвязь массивов SAN, может происходить через несколько шлюзов TCP/IP, с использованием различных систем безопасности зон, через которые передаются данные. На рисунке 1, показана схема соединения сети SAN, которая объединяет внутренние и внешние сегменты сети, при использовании схемы безопасности.


Рисунок 1. Безопасность в сетях SAN