- 5 лучших генераторов искусственного интеллекта для написания и переписывания любого контента
- Современные технологии в Национальной Баскетбольной Ассоциации
- История Красного Бора Татарстан (Новый Пьяный Бор Елабужского уезда) в статьях
- Программа для поиска драйверов на любое устройство
- Как технология OCR снижает нагрузку на офис
- Как операционная система Windows стала такой популярной
- Продвижение товаров на Wildberries с привлечением внешнего трафика
- Простая программа для управления проектами «Планамайзер»
Проблемы безопасности систем хранения данных (SAN) |
Безопасность SAN. Проблемы безопасности SAN
Целостность и безопасность данных
Протокол безопасности
Управление SAN: угрозы
Результат: Коммутатор не может реагировать на события в сети
Результат: Отказ сервиса, незапланированный простой
Результат: Повреждение LUN, повреждание данных, кража или потеря данных Управление SAN: безопасность
Cisco Fabric Manager MDS 9000 NX-OS CLI SNMPv3 SSH/SFTP
Доступ к SAN: угрозы
Результат: Незапланированный простой, потеря данных
Результат: Подключение Доступ к системам
Незапланированный серверов хранения простой, потеря данных
Результат: Незапланированный простой, низкая производительность Безопасность Fibre Channel
Доступ к SAN: зонирование FC
Некоторые операционные системы пытаются записать метку на все обнаруженные диски, вызывая потерю или порчу данных
Обход зонирования путем имперсонации устройства (WWN spoofing) возможно и достаточно просто
Сеть ограничивает информацию элементам, не входящим в зону
На программном уровне Устройство входит в сеть и опрашивает сервер имен, какие устройства доступны; и получит информацию только о тех устройствах, которые входят в те же зоны
На аппаратном уровне, для каждого фрейма Стандарт не определяет проверять ли входящие или исходящие фреймы Протокол Fibre Channel: угрозы Rogue Switch
Результат: Незапланированный простой, нестабильность сети
Результат: Незапланированный Целостность управляющего простой, потеря данных протокола
Результат: Незапланированный простой, низкая производительность
Протокол Fibre Channel:безопасность Fabric Protocol Security
Первый шаг – Cisco RBAC для безопасности доступа к настройке управляющих протоколов Port-security для защиты ISL портов FC-SP для аутентификации switch-to-switch следующий критичный шаг для блокировки вредоносных ISL
Статический управляющий коммутатор Статические domain ID Статические FCIDs RCF-reject, особенно для соединений на большие расстояния RSCN-suppression
Безопасность уровня доступа: Port Security
Используется для контроля подключения к коммутатору— неудача приводит к ошибке входа на уровне соединения Предотвращает подделку S_ID в фрейме FC Поддерживает безопасность device-to-switch и switch-to-switch Использует многочисленные атрибуты для конфигурации pWWN—port WWN подключенного устройства nWWN—node WWN подключенного устройтва fWWN—fabric WWN порта коммутатора sWWN—WWN коммутатора Port_ID—идентификатор порта коммутатора (fc1/2)
Режим Auto-learning упрощает начальную настройку
Проверяются sWWN и Domain_ID при подключении коммутатора и активации новой базы fabric binding
Безопасность уровня доступа: Виртуальные SAN (VSAN)
Аутентификация в SAN Аутентификация устройств по протоколам Fibre Channel Authentication Protocol (FCAP) или Fibre Channel Password Authentication Protocol (FCPAP) Аутентификация портов коммутатора по протоколу Switch Link Authentication Protocol (SLAP) Для блокирования «чужих» устройств Набор протоколов Fiber Channel – Security Protocol (FC- SP) для аутентификации, обмена ключами, шифрования между устройствами Fibre Channel Адаптированные к FC протоколы ESP и Diffie-Hellman (DH- CHAP) для решения задач, аналогичных FC-SP RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и SCSI (iSCSI, iFCP, FCIP) RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и SCSI (iSCSI, iFCP, FCIP) Безопасности уровня доступа
Безопасность IP SAN:FC-over-IP (FCIP) FCIP позволяет соединить острова SAN через сети IP Стандарт FCIP не обеспечивает никаких in-band механизмов безопасности Аутентификация источника сообщений, целостность, защита от повторов, обеспечиваются независимыми туннелями IPsec FCIP туннель = виртуальный ISL — может использовать существующие механизмы безопасности сети FC FC Port Security FC-SP DH-CHAP switch-to-switch аутентификация
Оставьте свой комментарий! Tags:
Похожие статьи: |