存储安全之三种存储架构

本文将详细为大家介绍什么是存储安全，以及三种存储架构：DAS(直连存储)、NAS(网络附加存储)、SAN(存储区域网络)。

存储安全简介

在过去十年中，存储已经演变为多个系统共享的一种资源。很多案例都表明，只保护存储设备所在的系统的安全已经不能满足需要了。存储设备现在连接到很多系统上。

因此，必须保护各个系统上的有价值的数据，防止其他系统未经授权访问数据，或者破坏数据。相应的，存储设备必须要防止未被授权的配置改变，对所有的更改都要做审计跟踪。

存储安全是客户整个安全计划的一部分，也是数据中心安全和组织安全的一部分。如果只小心翼翼地保护存储的安全而将整个系统向互联网开放，那这样的存储安全是丝毫没有意义的。应该认识到，安全计划可能需要满足各种数据库和应用的不同层次的安全需求。

当前主要有三种存储架构：DAS(直连存储)、NAS(网络附加存储)、SAN(存储区域网络)。DAS是直接连接到一个单一的系统。NAS是通过Ethernet LAN网络的方式来访问文件。SAN是通过一个存储网络来访问，现在典型的是FC(光纤通道)SAN。

iSCSI SAN 基于Ethernet LAN，但是目前使用并不广泛。Object storage是一种新兴的技术，结合SAN和NAS。本文指的存储主要是SAN和NAS。

存储安全不是附加在SAN上的一个设备。存储安全是一种属性，是每个系统，每个交换机，每个SAN中的设备的一种属性。存储安全意味着要应付多种威胁，不是所有的危险都能提前预知的。

存储安全还包括一整套程序，即定义数据访问权力，授权管理设备，当安全问题出现时给予合适的回应。最后，或许也是最重要的是，被授权访问数据或管理设备的人必须是可靠的，经过精心挑选的。

用一个组织的中心目录(比如Active Directory ，NDS)来进行认证有几种重要的好处。首先，个人只有被授予的权力去管理特定的设备，或者对很多设备进行有限访问(比如可以看到配置数据但是无法更改数据)。

其次，审计跟踪(日志)会显示做了什么，是谁做的。这些日志会组织故意滥用权力并帮助纠正错误。第三，如果个人的责任有所改变，或者他(她)离职，那么就可以直接删除他(她)的身份或者改变授权。

原则上，存储安全是很简单直接的。在线存储――磁盘存储――被指定为不同的部分。每个部分属于一个特殊的系统或用户。如果这个部分被访问，存储系统会查看访问请求发回的地址，如果这个地址不是所有者的，那么就拒绝请求。

在实践中，建立存储安全要求专业的知识，留意细节，不断检查，确保存储解决方案继续满足业务不断改变的需要。必须减少诸如伪造回复地址这样的威胁。最重要的是，安全的本质是三方面达到平衡，即采取安全措施的成本，安全缺口带来的影响，入侵者要突破安全措施所需要的资源。