持久绑定(Persistent Binding)
持久绑定是以主机为中心,引导操作系统给SCSI接口指定目标ID和LUN的加强型方法。例如,一个特定的主机将总是指定SCSI目标ID为第一个找到的路由器,并把连接到该路由器上的三个磁带驱动器,指定为LUN。操作系统和上一级的应用程序(诸如备份软件)通常需要一个静态的或者可预测的SCSI目标ID,用于可靠的存储,持久绑定(persistent binding)可以起到这样的作用。
安全技术
光纤到光纤的安全技术允许访问控制表(ACL),以便允许或者拒绝新交换机接到光纤通道中。访问控制表过滤网络数据流,其本质就是通过控制路由数据包是否转发还是阻塞。例如,访问控制表可以允许一个主机有权访问网络的某个部分,并拒绝另外一个主机访问网络的同一部分。访问控制表确保了访问网络的起码的安全水平。
这样,为了对新交换机的标识进行认证,可以采用公钥基础 (PKI) 技术。另外,一个新的交换机不会成为非安全的访问点,因为光纤范围的安全数据库可确保所有经授权的交换机添加到其内部安全策略中。
主机到光纤通道
要允许或者拒绝特定主机的光纤通道(FC) 的HBA连接到特定的端口中,主机到光纤通道的安全技术采用在端口级使用ACL。这将阻止未经授权的入侵者主机连接到光纤通道的任何端口。在该模型下,对主机登录到光纤通道的能力明确地作了定义和规定。
管理到光纤技术
为确保一个受信的和安全的管理控制台到光纤通信层的存在, 管理到光纤的技术可以使用PKI和其他的加密技术(诸如md5)。PKI和其他加密技术确保用来控制光纤通道的管理控制台或者框架,是经过鉴定和授权的。此外, 加密的方法可限制光纤通道中交换机的数量,在这些交换机中管理和配置的改变将影响到光纤通道中的其他部分。这将建立一个带有最小数量的安全控制点的SAN。
配置完整性技术
最后,配置完整性技术是指确保光纤通道配置的改变信息在同一时间只能从一个位置开始传播,而且正确无误地,完整地把信息传播到光纤通道中的所有交换机。使用分布式加锁管理器是途径之一,它能确保在光纤通道中串行地和正确地改变配置信息。
小结和结论
本文的第一部分,明确强调了关起门来,不再能足够有效地保护好重要信息,因为新的信息传输通道同以往的架构大不一样。公司和机构,同以往相比,更需要采用具有高度安全性的、可最小程度减少风险的方案。(同时,为保持整个的安全策略和团体政策之间的适当平衡,方案提供了适当的灵活性和可扩充性。)
这样,通过进行any-to-any 连接,在开放的、非私有的环境中传输共享存储的信息,SAN的实现使得数据很容易获得。除非实现了经过慎重考虑的安全策略,以便管理设备如何在SAN中交互,any-to-any连接的优势将成为不利因素。为了确保数据完整性,并阻止未经授权的系统和用户的访问,在SAN环境中的共享存储需要得到保护。本文的第一部分简要探讨了一些技术和相关方法,用来确保数据完整性,以及用来保护和管理光纤通道。每种技术既有优势,也有不足。而且,每种技术必须基于慎重考虑的SAN安全策略,并在SAN的设计阶段进行开发。
更进一步,要想达到需要的安全水准,仅仅靠前面讨论过的单一技术是不明智的。 这样,为阻止未经授权的系统和用户的访问,精明的存储体系结构供应商清楚地知道,在一个多样化的SAN环境中(有不同的操作系统和不同厂商的存储设备),需要把前面提到的所有技术中的一些组合起来使用。
最后, 随着SAN架构的发展和新技术的出现,SAN安全技术必须与时俱进。一般说来,这将确保维持合适的安全水准,SAN光纤通道可以得到恰当的管理。
但是,请等一等!本文尚未完。如果不简要谈论一下光纤通道的安全技术,以及SAN安全性所带来的好处,光谈SAN的安全性将是不彻底的的。在本文的第二部分,我们将简要讨论有关管理光纤通道安全的内容:配置管理,SAN访问,鉴定和授权。最后,第二部分也将讨论对光纤通道和SAN的保密技术所带来的好处。
