淺談IP SAN安全常識
來源:watchstor.com
摘要: 本文將為大家簡單介紹IP SAN安全常識的相關內容,以下是文章的詳細內容,有興趣的讀者不妨看看此篇文章,希望能為各位讀者帶來些許的收獲。
Abstract:
Key words :
本文將為大家簡單介紹IP SAN安全常識的相關內容,以下是文章的詳細內容,有興趣的讀者不妨看看此篇文章,希望能為各位讀者帶來些許的收獲。
保護好管理界面
通過分析歷年來企業級光纖系統遭受攻擊的案例,會得到一個重要的結論:保護好存儲設備的管理界面是極其必要的。無論IP SAN系統安全的防范如何嚴密,網絡黑客只要使用一個管理應用程序,就能夠重新分配存儲器的賦值,更改、偷竊甚至摧毀數據文件。
因此,用戶應該將管理界面隔離在安全的局域網內,設置復雜的登錄密碼來保護管理員帳戶;并且與存儲產品供應商們確認一下,其設定的默認后門帳戶并非使用常見的匿名登錄密碼。
基于角色的安全技術和作業帳戶(activity accounting)機制,都是非常有效的反偵破工具;如果用戶現有的存儲系統可支持這些技術的話,建議不妨加以利用。
對網絡傳輸的數據包進行加密
IP security(IPsec)是一種用于加密和驗證IP信息包的標準協議。IPSec提供了兩種IP SAN系統安全加密通訊手段:
①IPSec Tunnel:整個IP封裝在IPSec報文,提供IPSec-gateway之間的通訊;
②IPSec Transport:對IP包內的數據進行加密,使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數據部分(即:有效載荷),對文件頭不作任何處理;Tunnel模式會將信息包的數據部分和文件頭一并進行加密,在不要求修改已配備好的設備和應用的前提下,讓網絡黑客無法看到實際的通訊源地址和目的地址,并且能夠提供專用網絡通過Internet加密傳輸的通道。因此,絕大多數用戶均選擇使用Tunnel模式。
用戶需要在接收端設置一臺支持IPsec協議的解密設備,對封裝的信息包進行解密。記住,如果接收端與發送端并非共用一個密鑰的話,IPsec協議將無法發揮作用。為了確保IP SAN系統安全,存儲供應貨和咨詢顧問們都建議用戶使用IPsec協議來加密iSCSI系統中所有傳輸的數據。
不過,值得注意的是,IPsec雖然不失為一種強大的安全保護技術,卻會嚴重地干擾網絡系統的性能。有鑒于此,如非必要的話,盡量少用IPsec軟件。
加密閑置數據
加密磁盤上存放的數據,也是IP SAN系統安全非常必要的。問題是,加密任務應該是在客戶端(如:加密的文件系統)、網絡(如:加密解決方案),還是在存儲系統上完成呢?許多用戶都趨向于第一種選擇--大多數企業級操作系統(包括Windows和Linux在內),都嵌入了強大的基于文件系統的加密技術,何況在數據被傳送到網絡之前實施加密,可以確保它在線上傳輸時都處于加密狀態。
當然,如果實行加密處理大大加重了CPU的負荷的話,你可以考慮將加密任務放到網絡中--或是交由基于磁盤陣列的加密設備--來處理,只不過效果會差一點兒,部分防護屏蔽有可能會失效。提醒用戶注意的是:千萬要保管好你的密鑰,否則,恐怕連你自己也無法訪問那些加密的數據了。
此內容為AET網站原創,未經授權禁止轉載。