Безопасность SAN

Протоколы
SAN
Часть 16
Безопасность SAN
Василий Пантюхин
hen@lynx.ru

Протоколы
SAN
Безопасность SAN
Для чего нужна
безопасность SAN?
При эксплуатации SAN достаточно остро стоит задача обеспечения
безопасности доступа к информации. При этом, имеется ввиду не только
защита от неких мифических хакеров (им проще сломать обычную сетевую
защиту сервера и забрать информацию через него), а, в большей степени,
контроль передачи данных со стороны ответственных администраторов
серверов, массивов и коммутаторов.
Грамотное ограничение доступа к ресурсам хранения намного упрощает
управление всем комплексом и позволяет избежать ошибок его
администрирования.
Проще говоря, в безопасной SAN администратор серверов Windows не
должен «видеть» файловые системы Solaris, а сетевые клиенты
резервного копирования не должны напрямую backup-ить данные на
центральную ленточную библиотеку.

Протоколы
SAN
Безопасность SAN
Категории доступа
к устройствам
Существуют четыре основных
категории доступа к устройствам в
SAN (обычно их называют
доменами):
• Administrator-to-security
management
• Security management-to-fabric
• Switch-to-Switch
• Host-to-Swich

Протоколы
SAN
Безопасность SAN
Категории доступа
к устройствам
Домен Администратор-Средство управления (Administrator-to-security
management) – контроль доступа администратора к средствам управления
компонентами SAN. Обычно реализуется шифрацией паролей и
использованием защищенных протоколов, например, ssh. Уровень риска –
высокий.
Домен Средство управления- SAN (Security management-to-fabric) –
контроль доступа средств управления к самим компонентам SAN. Обычно
реализуется шифрованием передаваемых данных, например, SSL. Уровень
риска – высокий.
Домен Коммутатор- Коммутатор (Switch-to-Switch) – контроль передачи
информации между коммутаторами. Реализуется при помощи
использования публичных ключей и цифровых сертификатов. Уровень
риска – средний.
Домен Сервер-Коммутатор (Host-to-Swich) – между HBA серверов и
коммутаторами. Доступ разграничивается при помощи зон. Уровень риска –
средний.

Протоколы
SAN
Безопасность SAN
Домен Host-to-Swich
Средства контроля доступа к ресурсам
хранения данных:
Зонирование - на уровне портов
устройств
Маскировка томов – на уровне LUN
Биндинг – на уровне соответствия
адресов FC и SCSI

Протоколы
SAN
Зонирование
Безопасность SAN
Зонирование (Zoning) – это метод
разделения доступа в SAN, основанный
на логической группировке устройств в
изолированные сегменты, подключенных
к фабрике.
Основными задачами зонирования являются:
обеспечение безопасности доступа к данным - только ноды,
принадлежащие одной зоне могут взаимодействовать друг с другом.
снижение нагрузки SAN при передаче служебного трафика, например
распространение расширенных линк-сервисов RSCN (Registered State
Change Notifications).
Зонирование – это функция коммутаторов, поэтому он не может
применяться в некоммутируемых топологиях.

Протоколы
SAN
Безопасность SAN
Список доступных портов
• Когда устройство соединяется с фабрикой, оно запрашивает у сервера
имен список других доступных портов.
• SNS указывает в списке только порты, входящие в те же самые зоны, что и
запрашивающий порт.
• Если зона изменяется, сервис контроля фабрики (Fabric Controller)
посылает всем зарегистрированным устройствам соответствующих зон
извещение RSCN (Registered State Change Notification). RSCN указывает
портам удалить или добавить записи о доступных портах в их локальной
таблице имен.
• Если порт не по каким-то причинам не способен корректно обработать
извещение RSCN о добавлении устройств в фабрику, он не сможет
взаимодействовать с этими новыми устройствами.
Существуют два способа классификации зонирования:
•По способу реализации (Hard zoning, Soft zoning)
•По тому, какие адреса устройств (порт-ID или WWN) являются
критериями принадлежности к той или иной зоне (Port zoning, WWN
zoning)

Протоколы
SAN
Soft zoning
Безопасность SAN
Мягкое зонирование (soft
zoning) – это метод зонирования
при котором контроль доступа
устройств осуществляется только
на уровне сервера имен.
Получив от SNS список
доступных портов, устройство
верит ему «на слово» и больше
не предпринимает каких-либо
дополнительных попыток поиска
других доступных ему устройств.
Если в этом списке будут только те устройства, к которым доступ разрешен
администратором SAN, то легитимный сервер никогда самостоятельно не
узнает о существовании «другого мира».
Однако, всегда существует вероятность, что кто-то угадает и принудительно
адресует существующее, но не указанное в списке доступных устройство. В
таком случае предпринятые меры безопасности не действенны.

Протоколы
SAN
Hard zoning
Безопасность SAN
Жесткое зонирование (hard zoning) –
это метод, при котором ограничения
доступа дополнительно
контролируется на уровне ASIC.
Списки зон сервера имен
накладываются на таблицы
коммутации ASIC.
Любая попытка доступа к устройству контролируется коммутирующими
элементами FC-свичей. ASIC знают о коммутации пакетов только между
портами одной зоны. Поэтому взаимодействие устройств, входящих в разные
зоны просто физически не возможно.
В случае использования мягкого зонирования, E_Port вносить в зоны
бесполезно. Это связано с тем, что проверка зон производится только на
портах источника и получателя. В случае использования жестких зон,
E_Port должны быть внесены в зоны.

Протоколы
SAN
Безопасность SAN
Port и WWN zoning
Зонирование на основе порт-ID (Port
zoning) – зоны формируются на основе того, в
какие порты коммутаторов (от этого зависит их
порт-ID) подключены устройства.
Зонирование на основе WWN (WWN zoning)
использует для формирования зон WWN
адреса устройств.

Протоколы
SAN
Безопасность SAN
Port и WWN zoning
Port zoning
Разграничивает доступ на основании порт-ID
Высокий уровень безопасности.
Неавторизованный доступ возможен только
при физической возможности подключения к
портам коммутаторов.
Гибкость в замене устройств. Зона не зависит
от WWN устройств.
Фиксированное подключение устройств.
После переключения в другой порт
коммутатора требуется реконфигурация зон.
Добавление или замена коммутатора может
повлечь изменение порт-ID устройств (т. к.
может изменится switch domain-ID), что
может привести к потере доступа к
устройствам.
WWN Zoning
Разграничивает доступ на основании
WWPN или WWNN
Средний уровень безопасности. Нет
защиты от замены адресов WWN
неавторизованного пользователя (WWN
spoofing).
Усложненный процесс замены устройств.
С изменением WWN требуется
реконфигурация зон
Гибкость в подключении устройств. Зона
не зависит от того в какой порт какого
коммутатора подключено устройство.
Не зависит от изменений коммутаторов в
фабрике.

Протоколы
SAN
Безопасность SAN
Port и WWN zoning
В недалеком прошлом некоторые коммутаторы совсем не
поддерживали hard zoning либо реализовали его только в том
случае, если все зоны для ограничения доступа используют адреса
порт-ID (отсюда пошло заблуждение, что port zoning является тем
же самым, что и hard zoning).
В наше время многие коммутаторы могут осуществлять hard zoning
тех зон, которые используют либо адреса порт-ID, либо адреса
WWN.

Протоколы
SAN
LUN Masking
Безопасность SAN
Зонирование ограничивает
доступ к данным на уровне
целиком FC-портов. Но через
каждый порт могут быть доступны
несколько LUN. Метод
регулирования доступа к данным
на уровне конкретных томов
называется маскировка LUN
(LUN Masking).
Уникальным идентификатором сервера является WWN его HBA. Дисковый
массив, поддерживающий функцию маскировки LUN содержит в памяти
таблицу, в которой указаны какие WWN (серверы) имеют право доступа к
конкретным томам.

Протоколы
SAN
Безопасность SAN
Persistent binding
ULP протокола Fibre Channel в SAN
является SCSI. Поэтому том данных
видится в операционной системе
сервера как обычный SCSI-диск.
Механизм отображения адресации FCтомов
на SCSI LUN называется
биндинг (binding). Обычно драйвер
HBA автоматически осуществляет
биндинг, т. е. строит соответствие
WWN FC-порта SCSI target.
При изменении распределения томов в дисковом массиве или конфигурации
SAN, существует вероятность того, что при автоматическом биндинге
адресация LUN изменится. Это приведет к потере доступа к данным и
необходимости вмешательства администратора. Проблема решается с
помощью применения принудительного биндинга (persistent binding) -
явного внесения в конфигурацию правил соответствия адресов FC и SCSI.
Исключая какие-либо тома из конфигурации persistent binding, администратор
контролирует доступ пользователей сервера к этим дисковым ресурсам.

Вопросы…
Василий Пантюхин
hen@lynx.ru