| Архитектуры, механизмы и компоненты безопасности сетей SAN |
|
Архитектуры, механизмы и компоненты безопасности сетей SAN
В комплекс системы безопасности SAN должны входить подключенные к ней сервера, дисковые массивы, устройства для передачи данных через большие расстояния и системы администрирования сети. Проектирование системы безопасности в сети SAN, требует кросс функциональных исследований, количественной оценки рисков и качественной оценки безопасности. Не существует единого комплексного решения, для организации безопасности сети. Многие утверждают, что это является результатом функционирования систем безопасности, которые не учитываются в разработке отраслевых стандартов. Протоколам iSCSI SAN и FC SAN присущи недостатки с аутентификации и авторизации. Производители оборудования SAN, реализуют собственные методы для решения вопросов безопасности, однако многие из этих решений не совместимы с новыми стандартами и совместимы только существующими предложениями безопасности от одного вендора. Комитеты стандартизации, такие как Fibre Channel Security Protocol (FC-SP) и IETF IP Security Working Group (IPSEC), делают успехи в аспектах усилении систем безопасности данных протоколов. Стандарт FC-SP, содержит описание протокола и предоставляет дополнительные возможности для обеспечения безопасности в сетях Fibre Channel. Данный стандарт, включает в себя требования к аутентификации в протоколе Fibre Channel, установки сессий и генерации ключей, определению параметров для осуществления целостности и конфиденциальности пакетов, а также назначения и передачи политик безопасности в сетях Fibre Channel. Он схож со стандартом IPSEC, используемым в протоколе IPv6. Эволюция сетей SAN, включает в себя развитие протоколов Fibre Channel и IP. Уязвимости в безопасности для сетей аналогичны FC и IP, однако механизмы их решения и эффективность могут отличаться. В таблице 1, представлены некоторые механизмы обеспечения безопасности в сетях. В данном разделе будут рассмотрены следующие темы: ◆ “Архитектуры сетей SAN” ◆ “Компоненты для осуществления безопасности” ◆ “Механизмы для обеспечения безопасности” Архитектуры сетей SAN Архитектуры сетей SAN, где используется политики безопасности, обычно включают в себя несколько доменов или зон, которые обеспечивают безопасность и из них регулярно собирается информация. Данные зоны могут существовать между серверами и коммутаторами, между коммутаторами, между системами управления сетями SAN и коммутаторами, и между прочим оборудованием в сетях SAN. На рисунке 5, изображены такие зоны. Рамки указывают на соответствующие компоненты и механизмы безопасности, которые могут быть развернуты для контроля безопасности в каждой из этих зон.  Рисунок 5. Зоны безопасности Компоненты систем безопасности К таким компонентам зачастую относят аутентификацию, авторизацию, аудит (AAA), целостность, доступность и шифрование данных. В сетях SAN, функциональность данных компонентов, обеспечивается различными механизмами, обеспечивающими доступ к скрытым данным, управлению безопасностью и целостность данных. Механизмы безопасности Данные механизмы обеспечивают безопасность сетей SAN: ◆ Контроль доступа ◆ Зонинг ◆ Скрытие LUN ◆ Связи портов ◆ Ключи ◆ Протоколы ◆ Шифрование ◆ Механизмы по контролю физического доступа Использование данных механизмов, варьируется в зависимости от топологий, производителей оборудования и потребностей бизнеса. В таблице 1 показаны данные механизмы. Дизайны сетей от производителей и некоторые из этих механизмов, представлены в разделе "Создание защищенных сетей хранения данных". Таблица 1. Механизмы безопасности сетей SAN
В следующих разделах представлена дополнительная информация по обеспечению контроля доступа к данным, управлению сетями хранения данных и целостностью данных: ◆ “Безопасность доступа к данным” ◆ “Безопасность управления сетями SAN” ◆ “Безопасность конфиденциальности и целостности данных”
|
