Безопасность доступа к данным
Обеспечение доступа к данным в SAN включает аутентификацию и авторизацию компоненты для управления доступом к данным, а также доступ к функциям управления SAN. Механизмы обеспечения безопасности, могут применяться в зонах между оконечными элементами в сети, или в зонах, соединяющих коммутационное оборудование (например, коммутаторы FC, коммутаторы TCP/IP, маршрутизаторы). Листы контроля доступа, зонинг, скрытие LUN, контроль над портами, могут служить в качестве таких механизмов. Каждый механизм, будет рассмотрен в данном разделе.

Контроль доступа
Установка контроля доступа, включает в себя установку параметров доступа к консоли управления, изменения листов контроля доступов и защиты портов сети SAN. Контроль доступа, должен быть комплексным и может не соответствовать задокументированным политикам компании. Также, без усиления политик безопасности и применения шифрования, контроль доступа не может принести желаемой безопасности.
Ограничение доступа к консоли управления, должно использовать ограничение доступа по IP адресам. Управление коммутационным оборудованием, должно осуществляться из защищенной сети. Удаленный доступ к внутренней сети должен осуществляться через туннели, например через Virtual Private Network (VPN). Безопасность можно увеличить, используя двойную аутентификацию, к примеру, при помощи смарт-карты, в таком случае для аутентификации, пользователю нужно будет вставить карту в считыватель и ввести пароль. В дополнение к этому, нужно ввести политики, ограничения минимальной длинны пароля и сроков действия.

Листы контроля доступа (ACL) и используемые политики, используются для авторизации в сетях SAN. Данная форма авторизации, называется Role-Based Access Control (RBAC). Различные уровни доступа обеспечивают дополнительные функции и возможности. Также, RBAC может использоваться для разделения доступа к данным и управления сетью.
Физический доступ к портам сети, также должен быть защищен. Карты доступа с ключами, должны ограничивать зоны доступа, а также обеспечивать контроль над доступом к портам Fibre Channel и портам IP коммутаторов.

Зонинг
Зонинг на коммутаторах Fibre Channel, аналогичен VLAN на коммутаторах IP. Узлы сети разделяются между собой зонами, и позволяет им обмениваться данными в рамках одной зоны. Узлы в зоне, обмениваются данными по топологии каждый с каждым, в то время как узлы, находящиеся вне зоны, не могут передавать данные другим узлам.
Технология зонинга, использует аппаратные программные ресурсы, для разделения единой сети SAN, на сегменты.
Производители сетевого оборудования, также разрабатывают технологии, такие как VSAN, LSAN и VLAN, для разделения сетей SAN, и маршрутизации между данными сетями. Что позволяет осуществлять группировку узлов в сети.
В результате, доступ в сеть будет ограничен для определенных наборов узлов (инициаторами или таргетами) Дополнительно, зонинг позволяет уменьшить эффект от системной транзакции пакетов State Change Notifications (SCN) и многоадресных пакетов, а также отделять трафик наиболее загруженных узлов, от всей сети.

Зонинг, может быть «мягким» и «жестким». «Мягкий» зонинг основывается на адресах World Wide Name (WWN), оборудования, подключенного к портам коммутаторов. «Мягкий» зонинг не производит фильтрацию пакетов, переедаемых между узлами, а лишь определяет маршрутеризацию пакетов, для ограничения доступа между зонами. Основными преимуществами использования «мягкого» зонинга, являются простота управления и масштабируемость. При использовании «мягкого» зонинга, если требуется переключить узел, между коммутаторами, то это можно произвести, без дополнительных настроек зонинга. Основной проблемой для безопасности «мягкого» зонинга, является возможность доступа в зону, используя подменный адрес WWN.

«Жесткий» зонинг строится на основе физических портов коммутаторов и является менее уязвимым, в отличие от программного зонинга. При таком методе построения зон, в зоне фильтруется не только пакеты, маршрутизированные в другие зоны, но и пакеты, направляемые к неавторизированным в зоне узлам. Это позволяет, предотвратить атаки, основанные на подмене адресов WWN, а также атаки, основанные на сбоях маршрутизации пакетов. Ввиду повышенной безопасности зон, «жесткий» зонинг более сложен в управлении в сетях SAN.

Скрытие адресов LUN
Логические тома массивов хранения данных, видны серверам в сети SAN, как диски с уникальными адресами LUN. Один логический том массива, может использоваться сразу несколькими серверами в сети. Возможность предоставления доступа серверу к логическим томам, настраивается на массиве, путем открытия доступа к скрытым от других узлов в сети, LUN адресов дисков. Скрытие LUN адресов, является основным методом контроля над доступом к данным, хранящимся на массиве. Скрытие адресов LUN, может осуществляться со стороны серверов, коммутаторов, а также непосредственно на стороне массивов.

Компания EMC, рекомендует скрывать LUN адреса, на уровне дисковых массивов, а также использовать зонинг, на основе WWPN адресов оборудования. Такая комбинация настроек, позволяет защищать данные от атак, с подменой WWN адресов, и контролировать доступ к данным, администратором массиваs.

Доступ к LUN, может быть настроен при помощи таких утилит, как Symmetrix Device Masking и CLARiiON Access Logix. В массивах Symmetrix, для хранения списков HBA серверов, которые имеют доступ к логическим томам массива, используется Volume Configuration Management Database (VCMDB). В массивах EMC CLARiiON, для этих целей используются группы storage group. В обеих конфигурациях, должно использоваться аппаратное зонирование, чтобы любые изменения в конфигурациях, не влияли на доступ к LUN адресам дисков.

Fabric binding
Fabric binding представляет собой механизм аутентификации коммутаторов, для работы в единой сети. Подключения ISL, обычно устанавливается, между несколькими коммутаторами в сети. Fabric binding используется, для аутентификации коммутатора, по листам доступа, которые идентичны на всех коммутаторах в сети.

Port binding/блокировка S_ID
Port binding – это механизм обеспечения безопасности в сетях SAN, который позволяет коммутаторам, ассоциировать ID порта с WWN адресом узла. Данный механизм, минимизирует риск от подмены WWN адреса в сети. Риск от подмены WWN адреса, снижается тем, что узел с подменным адресом WWN , не может передавать данные в сети, до тех пор, пока не будет настроена ассоциация его ID порта с адресом WWN.
Схожий механизм, минимизирует, подмену WWN адресов портов, которые могут отправлять пакеты на порты массива. Данный механизм защиты, осуществляется блокировкой ID порта (S_ID) инициатора соединений, который используется на массивах Symmetrix. S_ID ассоциируется с WWN адресом адаптера HBA, и заносится в базу VCMDB. Это позволяет получать доступ к массиву, только тем адаптерам HBA, которые физически подключены к заданным портам коммутаторов. Если S_ID заблокирован, HBA со связанным с ним адресом WWN, больше не сможет получить доступ к массиву. Если, данный адаптер с заблокированным адресом WWN, имел открытые сессии с массивом, то все они будут прерваны.

Контроль над портами
Контроль над портами, защищает оптическую сеть от неавторизованного доступа. Контроль над подключаемыми портами, может вестись как закрытием портов, так и закрытием подключения по типу порта. Закрытие портов, позволяет обезопасить неиспользуемые порты от доступа в сеть. Контроль над подключениями, по типу порта, позволяет подключить в сеть, только порты заданного типа, например G_Port, F_Port, N_Port, E_Port. Осуществление такого контроля, ограничивает расширение сети и снижает риск физического подключения к сети.