思科SAN磁盘网路安全架构解决方案

san5753

IP网路虽然方便，但却有安全上的顾虑，有鉴于此，思科系统特别主张应该建立磁盘网路安全架构以杜绝资料曝露、资料窃取、身份冒认与资料篡改等危险的发生。
　　据台湾思科系统表示，目前业界谈到网路安全，不外强调资料机密性(Confidential)、资料完整性(Integration)与身份认证(Authentication)等基本要求，如此才能因应网路监听、重播、篡改与身份冒用等安全威胁。同样地，谈到磁盘网路架构的安全，也一样是以上述3项基本要求为建置的目标与方向。
　　台湾思科系统认为，若以光纤储存区域网路的安全来说，光强调SAN本身的安全性是不够的，还必须扩大到主机端与磁盘端等所有应用层的安全才行。对于SAN的全面性安全提升，思科强调其中有6个最关键的环节需要特别关注，首先是SAN管理上的安全，如此才可提供安全的存取管理服务;再来则为光纤存取上的安全，主要目的在于提供主机端到光纤服务的安全存取。
　　第三个则为储存装置端的存取安全，也就是提供光纤交换器到储存装置端(Targets)与逻辑单元号(LUNs)的安全存取;第四个关键点则为SAN Fabric协定上的安全，此为关系到光纤交换器与交换器间安全协定沟通的部分;再来则为IP Storage存取上的安全，也就是提供安全的FCIP与iSCSI服务;最后则通过
加密
机制来达到资料的完整性及机密性要求。
　　基于上述的安全架构，思科主张必须通过光纤分区(FC Zoning)、通讯埠模式安全(Port Mode Security)、通讯埠安全(Port Security)、虚拟储存区网(Virtual SANs)与光纤安全协定(FC Security Protocol)等技术方式来确保光纤通道(Fibre Channel)的安全性。其中，FC Zoning可在储存装置间划分不同分割区，而通过FC Security Protocol，则可提供装置间的认证、每笔信息安全性与完整性保证，同时提供政策管理机制。
　　图:磁盘网路安全架构6大关键环节架构图。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/68913/showart_720718.html