ÐезопаÑноÑÑÑ SAN
ÐезопаÑноÑÑÑ SAN
ÐезопаÑноÑÑÑ SAN
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Протоколы<br />
<strong>SAN</strong><br />
Часть 16<br />
Безопасность <strong>SAN</strong><br />
Василий Пантюхин<br />
hen@lynx.ru
Протоколы<br />
<strong>SAN</strong><br />
Безопасность <strong>SAN</strong><br />
Для чего нужна<br />
безопасность <strong>SAN</strong>?<br />
При эксплуатации <strong>SAN</strong> достаточно остро стоит задача обеспечения<br />
безопасности доступа к информации. При этом, имеется ввиду не только<br />
защита от неких мифических хакеров (им проще сломать обычную сетевую<br />
защиту сервера и забрать информацию через него), а, в большей степени,<br />
контроль передачи данных со стороны ответственных администраторов<br />
серверов, массивов и коммутаторов.<br />
Грамотное ограничение доступа к ресурсам хранения намного упрощает<br />
управление всем комплексом и позволяет избежать ошибок его<br />
администрирования.<br />
Проще говоря, в безопасной <strong>SAN</strong> администратор серверов Windows не<br />
должен «видеть» файловые системы Solaris, а сетевые клиенты<br />
резервного копирования не должны напрямую backup-ить данные на<br />
центральную ленточную библиотеку.
Протоколы<br />
<strong>SAN</strong><br />
Безопасность <strong>SAN</strong><br />
Категории доступа<br />
к устройствам<br />
Существуют четыре основных<br />
категории доступа к устройствам в<br />
<strong>SAN</strong> (обычно их называют<br />
доменами):<br />
• Administrator-to-security<br />
management<br />
• Security management-to-fabric<br />
• Switch-to-Switch<br />
• Host-to-Swich
Протоколы<br />
<strong>SAN</strong><br />
Безопасность <strong>SAN</strong><br />
Категории доступа<br />
к устройствам<br />
Домен Администратор-Средство управления (Administrator-to-security<br />
management) – контроль доступа администратора к средствам управления<br />
компонентами <strong>SAN</strong>. Обычно реализуется шифрацией паролей и<br />
использованием защищенных протоколов, например, ssh. Уровень риска –<br />
высокий.<br />
Домен Средство управления- <strong>SAN</strong> (Security management-to-fabric) –<br />
контроль доступа средств управления к самим компонентам <strong>SAN</strong>. Обычно<br />
реализуется шифрованием передаваемых данных, например, SSL. Уровень<br />
риска – высокий.<br />
Домен Коммутатор- Коммутатор (Switch-to-Switch) – контроль передачи<br />
информации между коммутаторами. Реализуется при помощи<br />
использования публичных ключей и цифровых сертификатов. Уровень<br />
риска – средний.<br />
Домен Сервер-Коммутатор (Host-to-Swich) – между HBA серверов и<br />
коммутаторами. Доступ разграничивается при помощи зон. Уровень риска –<br />
средний.
Протоколы<br />
<strong>SAN</strong><br />
Безопасность <strong>SAN</strong><br />
Домен Host-to-Swich<br />
Средства контроля доступа к ресурсам<br />
хранения данных:<br />
Зонирование - на уровне портов<br />
устройств<br />
Маскировка томов – на уровне LUN<br />
Биндинг – на уровне соответствия<br />
адресов FC и SCSI
Протоколы<br />
<strong>SAN</strong><br />
Зонирование<br />
Безопасность <strong>SAN</strong><br />
Зонирование (Zoning) – это метод<br />
разделения доступа в <strong>SAN</strong>, основанный<br />
на логической группировке устройств в<br />
изолированные сегменты, подключенных<br />
к фабрике.<br />
Основными задачами зонирования являются:<br />
обеспечение безопасности доступа к данным - только ноды,<br />
принадлежащие одной зоне могут взаимодействовать друг с другом.<br />
снижение нагрузки <strong>SAN</strong> при передаче служебного трафика, например<br />
распространение расширенных линк-сервисов RSCN (Registered State<br />
Change Notifications).<br />
Зонирование – это функция коммутаторов, поэтому он не может<br />
применяться в некоммутируемых топологиях.
Протоколы<br />
<strong>SAN</strong><br />
Безопасность <strong>SAN</strong><br />
Список доступных портов<br />
• Когда устройство соединяется с фабрикой, оно запрашивает у сервера<br />
имен список других доступных портов.<br />
• SNS указывает в списке только порты, входящие в те же самые зоны, что и<br />
запрашивающий порт.<br />
• Если зона изменяется, сервис контроля фабрики (Fabric Controller)<br />
посылает всем зарегистрированным устройствам соответствующих зон<br />
извещение RSCN (Registered State Change Notification). RSCN указывает<br />
портам удалить или добавить записи о доступных портах в их локальной<br />
таблице имен.<br />
• Если порт не по каким-то причинам не способен корректно обработать<br />
извещение RSCN о добавлении устройств в фабрику, он не сможет<br />
взаимодействовать с этими новыми устройствами.<br />
Существуют два способа классификации зонирования:<br />
•По способу реализации (Hard zoning, Soft zoning)<br />
•По тому, какие адреса устройств (порт-ID или WWN) являются<br />
критериями принадлежности к той или иной зоне (Port zoning, WWN<br />
zoning)
Протоколы<br />
<strong>SAN</strong><br />
Soft zoning<br />
Безопасность <strong>SAN</strong><br />
Мягкое зонирование (soft<br />
zoning) – это метод зонирования<br />
при котором контроль доступа<br />
устройств осуществляется только<br />
на уровне сервера имен.<br />
Получив от SNS список<br />
доступных портов, устройство<br />
верит ему «на слово» и больше<br />
не предпринимает каких-либо<br />
дополнительных попыток поиска<br />
других доступных ему устройств.<br />
Если в этом списке будут только те устройства, к которым доступ разрешен<br />
администратором <strong>SAN</strong>, то легитимный сервер никогда самостоятельно не<br />
узнает о существовании «другого мира».<br />
Однако, всегда существует вероятность, что кто-то угадает и принудительно<br />
адресует существующее, но не указанное в списке доступных устройство. В<br />
таком случае предпринятые меры безопасности не действенны.
Протоколы<br />
<strong>SAN</strong><br />
Hard zoning<br />
Безопасность <strong>SAN</strong><br />
Жесткое зонирование (hard zoning) –<br />
это метод, при котором ограничения<br />
доступа дополнительно<br />
контролируется на уровне ASIC.<br />
Списки зон сервера имен<br />
накладываются на таблицы<br />
коммутации ASIC.<br />
Любая попытка доступа к устройству контролируется коммутирующими<br />
элементами FC-свичей. ASIC знают о коммутации пакетов только между<br />
портами одной зоны. Поэтому взаимодействие устройств, входящих в разные<br />
зоны просто физически не возможно.<br />
В случае использования мягкого зонирования, E_Port вносить в зоны<br />
бесполезно. Это связано с тем, что проверка зон производится только на<br />
портах источника и получателя. В случае использования жестких зон,<br />
E_Port должны быть внесены в зоны.
Протоколы<br />
<strong>SAN</strong><br />
Безопасность <strong>SAN</strong><br />
Port и WWN zoning<br />
Зонирование на основе порт-ID (Port<br />
zoning) – зоны формируются на основе того, в<br />
какие порты коммутаторов (от этого зависит их<br />
порт-ID) подключены устройства.<br />
Зонирование на основе WWN (WWN zoning)<br />
использует для формирования зон WWN<br />
адреса устройств.
Протоколы<br />
<strong>SAN</strong><br />
Безопасность <strong>SAN</strong><br />
Port и WWN zoning<br />
Port zoning<br />
Разграничивает доступ на основании порт-ID<br />
Высокий уровень безопасности.<br />
Неавторизованный доступ возможен только<br />
при физической возможности подключения к<br />
портам коммутаторов.<br />
Гибкость в замене устройств. Зона не зависит<br />
от WWN устройств.<br />
Фиксированное подключение устройств.<br />
После переключения в другой порт<br />
коммутатора требуется реконфигурация зон.<br />
Добавление или замена коммутатора может<br />
повлечь изменение порт-ID устройств (т. к.<br />
может изменится switch domain-ID), что<br />
может привести к потере доступа к<br />
устройствам.<br />
WWN Zoning<br />
Разграничивает доступ на основании<br />
WWPN или WWNN<br />
Средний уровень безопасности. Нет<br />
защиты от замены адресов WWN<br />
неавторизованного пользователя (WWN<br />
spoofing).<br />
Усложненный процесс замены устройств.<br />
С изменением WWN требуется<br />
реконфигурация зон<br />
Гибкость в подключении устройств. Зона<br />
не зависит от того в какой порт какого<br />
коммутатора подключено устройство.<br />
Не зависит от изменений коммутаторов в<br />
фабрике.
Протоколы<br />
<strong>SAN</strong><br />
Безопасность <strong>SAN</strong><br />
Port и WWN zoning<br />
В недалеком прошлом некоторые коммутаторы совсем не<br />
поддерживали hard zoning либо реализовали его только в том<br />
случае, если все зоны для ограничения доступа используют адреса<br />
порт-ID (отсюда пошло заблуждение, что port zoning является тем<br />
же самым, что и hard zoning).<br />
В наше время многие коммутаторы могут осуществлять hard zoning<br />
тех зон, которые используют либо адреса порт-ID, либо адреса<br />
WWN.
Протоколы<br />
<strong>SAN</strong><br />
LUN Masking<br />
Безопасность <strong>SAN</strong><br />
Зонирование ограничивает<br />
доступ к данным на уровне<br />
целиком FC-портов. Но через<br />
каждый порт могут быть доступны<br />
несколько LUN. Метод<br />
регулирования доступа к данным<br />
на уровне конкретных томов<br />
называется маскировка LUN<br />
(LUN Masking).<br />
Уникальным идентификатором сервера является WWN его HBA. Дисковый<br />
массив, поддерживающий функцию маскировки LUN содержит в памяти<br />
таблицу, в которой указаны какие WWN (серверы) имеют право доступа к<br />
конкретным томам.
Протоколы<br />
<strong>SAN</strong><br />
Безопасность <strong>SAN</strong><br />
Persistent binding<br />
ULP протокола Fibre Channel в <strong>SAN</strong><br />
является SCSI. Поэтому том данных<br />
видится в операционной системе<br />
сервера как обычный SCSI-диск.<br />
Механизм отображения адресации FCтомов<br />
на SCSI LUN называется<br />
биндинг (binding). Обычно драйвер<br />
HBA автоматически осуществляет<br />
биндинг, т. е. строит соответствие<br />
WWN FC-порта SCSI target.<br />
При изменении распределения томов в дисковом массиве или конфигурации<br />
<strong>SAN</strong>, существует вероятность того, что при автоматическом биндинге<br />
адресация LUN изменится. Это приведет к потере доступа к данным и<br />
необходимости вмешательства администратора. Проблема решается с<br />
помощью применения принудительного биндинга (persistent binding) -<br />
явного внесения в конфигурацию правил соответствия адресов FC и SCSI.<br />
Исключая какие-либо тома из конфигурации persistent binding, администратор<br />
контролирует доступ пользователей сервера к этим дисковым ресурсам.
Вопросы…<br />
Василий Пантюхин<br />
hen@lynx.ru