RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети

Программы для бесплатного просмотра online tv...  

Компьютер заражен? Есть несколько вариантов вылечить ПК...

Стандарт LTE - Long-Term Evolution - или стандарт связи четвертого поколения (4G) считается перспективным... 



Проблемы безопасности систем хранения данных (SAN)

Безопасность SAN. Проблемы безопасности SAN

 

Целостность и безопасность данных

  • Управление SAN

Протокол безопасности

  • Доступ в SAN 
  • Доступ к системам хранения
  • Протоколы SAN
  • IP сеть хранения
  • Целостность и конфиденциальность данных

san1 

Управление SAN: угрозы

  • Нарушение процесса коммутации

Результат: Коммутатор не может реагировать на события в сети

  • Нарушение стабильности сети

Результат: Отказ сервиса, незапланированный простой

  • Нарушение целостности и Out-of-band конфиденциальности управление

Результат: Повреждение LUN, повреждание данных, кража или потеря данных 

san2

Управление SAN: безопасность

  • Authentication, Authorization, Account SAN Management Security Infrastructure ing (AAA) всех действий
  • RADIUS/TACACS+ Сеть Управления IP-over-FC, резервное соединение
  • Syslog
  • SNMP Traps
  • CallHome (SMTP) RADIUS
  • Ролевое управление контролем доступа Out-of-band Управление
  • Безопасный транспорт для TACACS+ по сети Ethernet управления
  • SSH
  • SNMPv3
  • SSL/TLS SNMP
  • Контроль доступа интерфейсов управления NTP

Cisco Fabric Manager MDS 9000 NX-OS CLI SNMPv3 SSH/SFTP

  • Согласованность политик безопасности коммутаторов сети хранения

san3 

Доступ к SAN: угрозы

  • Повреждение данных приложений

Результат: Незапланированный простой, потеря данных

  • Нарушение целостности LUN

Результат: Подключение Доступ к системам

 

Незапланированный серверов хранения простой, потеря данных

  • Снижение производительности приложений

Результат: Незапланированный простой, низкая производительность  

san4

Безопасность Fibre Channel

  • Зонирование FC обеспечивает разделение между системами хранения
  • Режим порта предотвращает формирование ISL на edge портах
  • Port Security помогает защищаться от подмены WWN
  • Виртуальные SAN (VSAN) обеспечивают разделение между виртуальными сетями
  • FC Security Protocol (FC-SP) финальный шаг для безопасности FC

 

 

san5

 

Доступ к SAN: зонирование FC

  • Зоны состоят из одного или более элементов
  • Элементы зоны могут быть:
    • Port WWN устройства (индивидуально для интерфейса)
    • Node WWN устройства (глобально для устройства)
    • Port WWN порта коммутатора
    • Коммутатор + Интерфейс
    • Символическое Имя (iSCSI)
    • Один или более элементов могут определяться псевдонимами (Alias)
    • WWN + LUN
  • Зоны обеспечивают разделение групп хостов и систем хранения в SAN

Некоторые операционные системы пытаются записать метку на все обнаруженные диски, вызывая потерю или порчу данных

  • Зонирование обеспечивает разделение, но не имеет какой–либо аутентификации

Обход зонирования путем имперсонации устройства (WWN spoofing) возможно и достаточно просто

  • Soft Zoning

Сеть ограничивает информацию элементам, не входящим в зону

 

На программном уровне

Устройство входит в сеть и опрашивает сервер имен, какие устройства доступны; и получит информацию только о тех устройствах, которые входят в те же зоны

  • Hard Zoning Сеть не передает трафик элементам, не входящим в зону

На аппаратном уровне, для каждого фрейма

Стандарт не определяет проверять ли входящие или исходящие фреймы

Протокол Fibre Channel: угрозы Rogue Switch

  • Нарушение стабильности сети

Результат: Незапланированный простой, нестабильность сети

  • Нарушение безопасности данных

Результат: Незапланированный Целостность управляющего простой, потеря данных протокола

  • Снижение производительности приложений

Результат: Незапланированный простой, низкая производительность 

 

Протокол Fibre Channel:безопасность Fabric Protocol Security

san6

 

  • Очень важно защитить управляющие протоколы сети для обеспечения стабильности сети

Первый шаг – Cisco RBAC для безопасности доступа к настройке управляющих протоколов

Port-security для защиты ISL портов

FC-SP для аутентификации switch-to-switch следующий критичный шаг для блокировки вредоносных ISL

  • Настройка plug-n-play протокола сети удобна —  однако статическая настройка более безопасна

Статический управляющий коммутатор 

Статические domain ID

Статические FCIDs

RCF-reject, особенно для соединений на большие расстояния

RSCN-suppression

  • VSAN для разделения и управления отдельными сетями и увеличения устойчивости сетей

Безопасность уровня доступа: Port Security

  • Port Security — Разрешает доступ в сеть в зависимости от атрибутов устройства

Используется для контроля подключения к коммутатору— неудача приводит к ошибке входа на уровне соединения

Предотвращает подделку S_ID в фрейме FC

Поддерживает безопасность device-to-switch и switch-to-switch

Использует многочисленные атрибуты для конфигурации

pWWN—port WWN подключенного устройства

nWWN—node WWN подключенного устройтва

fWWN—fabric WWN порта коммутатора

sWWN—WWN коммутатора

Port_ID—идентификатор порта коммутатора (fc1/2)

 

Режим Auto-learning упрощает начальную настройку

  • Fabric Binding — Разрешает подключение к сети только коммутаторов, указанных в списке разрешенных

Проверяются sWWN и Domain_ID при подключении коммутатора и активации новой базы fabric binding

 

Безопасность уровня доступа: Виртуальные SAN (VSAN)

  •  Виртуальные SAN (VSAN) помогают достичь более высокую безопасность и стабильность в сетях FC, обеспечивая изоляцию устройств, подключенных к одной физической сети
  • VSAN можно использовать для создания множества логических Сетей Хранения на единой физической инфраструктуре

 san7

Аутентификация в SAN

 Аутентификация устройств по протоколам Fibre Channel Authentication Protocol (FCAP) или Fibre Channel Password Authentication Protocol (FCPAP)

 Аутентификация портов коммутатора по протоколу Switch Link Authentication Protocol (SLAP) Для блокирования «чужих» устройств

 Набор протоколов Fiber Channel – Security Protocol (FC- SP) для аутентификации, обмена ключами, шифрования между устройствами Fibre Channel

 Адаптированные к FC протоколы ESP и Diffie-Hellman (DH- CHAP) для решения задач, аналогичных FC-SP RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и SCSI (iSCSI, iFCP, FCIP)

 RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и SCSI (iSCSI, iFCP, FCIP)

Безопасности уровня доступа 

 san8

Безопасность IP SAN:FC-over-IP (FCIP)

 FCIP позволяет соединить острова SAN через сети IP

Стандарт FCIP не обеспечивает никаких in-band механизмов безопасности

Аутентификация источника сообщений, целостность, защита от повторов, обеспечиваются независимыми туннелями IPsec

 FCIP туннель = виртуальный ISL — может использовать существующие механизмы безопасности сети FC

FC Port Security FC-SP DH-CHAP switch-to-switch аутентификация

san9

 

 

Оставьте свой отзыв:

Добавить комментарий


Защитный код
Обновить

 

Самое читаемое:

Быстрый поиск

Группа вКонтакте: новости

 

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы