浅谈IP SAN安全常识
来源:watchstor.com
摘要: 本文将为大家简单介绍IP SAN安全常识的相关内容,以下是文章的详细内容,有兴趣的读者不妨看看此篇文章,希望能为各位读者带来些许的收获。
Abstract:
Key words :
本文将为大家简单介绍IP SAN安全常识的相关内容,以下是文章的详细内容,有兴趣的读者不妨看看此篇文章,希望能为各位读者带来些许的收获。
保护好管理界面
通过分析历年来企业级光纤系统遭受攻击的案例,会得到一个重要的结论:保护好存储设备的管理界面是极其必要的。无论IP SAN系统安全的防范如何严密,网络黑客只要使用一个管理应用程序,就能够重新分配存储器的赋值,更改、偷窃甚至摧毁数据文件。
因此,用户应该将管理界面隔离在安全的局域网内,设置复杂的登录密码来保护管理员帐户;并且与存储产品供应商们确认一下,其设定的默认后门帐户并非使用常见的匿名登录密码。
基于角色的安全技术和作业帐户(activity accounting)机制,都是非常有效的反侦破工具;如果用户现有的存储系统可支持这些技术的话,建议不妨加以利用。
对网络传输的数据包进行加密
IP security(IPsec)是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种IP SAN系统安全加密通讯手段:
①IPSec Tunnel:整个IP封装在IPSec报文,提供IPSec-gateway之间的通讯;
②IPSec Transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分(即:有效载荷),对文件头不作任何处理;Tunnel模式会将信息包的数据部分和文件头一并进行加密,在不要求修改已配备好的设备和应用的前提下,让网络黑客无法看到实际的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道。因此,绝大多数用户均选择使用Tunnel模式。
用户需要在接收端设置一台支持IPsec协议的解密设备,对封装的信息包进行解密。记住,如果接收端与发送端并非共用一个密钥的话,IPsec协议将无法发挥作用。为了确保IP SAN系统安全,存储供应货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI系统中所有传输的数据。
不过,值得注意的是,IPsec虽然不失为一种强大的安全保护技术,却会严重地干扰网络系统的性能。有鉴于此,如非必要的话,尽量少用IPsec软件。
加密闲置数据
加密磁盘上存放的数据,也是IP SAN系统安全非常必要的。问题是,加密任务应该是在客户端(如:加密的文件系统)、网络(如:加密解决方案),还是在存储系统上完成呢?许多用户都趋向于第一种选择--大多数企业级操作系统(包括Windows和Linux在内),都嵌入了强大的基于文件系统的加密技术,何况在数据被传送到网络之前实施加密,可以确保它在线上传输时都处于加密状态。
当然,如果实行加密处理大大加重了CPU的负荷的话,你可以考虑将加密任务放到网络中--或是交由基于磁盘阵列的加密设备--来处理,只不过效果会差一点儿,部分防护屏蔽有可能会失效。提醒用户注意的是:千万要保管好你的密钥,否则,恐怕连你自己也无法访问那些加密的数据了。
此内容为AET网站原创,未经授权禁止转载。