文/Neocean

IP SAN安全吗？如何来保证IP SAN的安全性？IP SAN从诞生那天起，其安全性就一直受到怀疑，随着IP SAN的广泛普及，这个问题更加成为了业界关注的焦点。

本文尝试从SAN技术的发展、IP SAN的安全理念、IP SAN的安全防御技术等方面进行阐述，希望能为IP SAN的建设者和管理者提供参考，从而降低因为安全原因带来的数据损坏和丢失的风险。

SAN的起源和安全问题

存储区域网络（Storage Area Network，简称SAN）是一种将存储设备、连接设备和接口集成在一个高速网络中的技术。SAN本身就是一个存储网络，用来承担数据存储任务。早期的SAN采用的是光纤通道（FC，Fiber Channel）技术，所以，以前的SAN多指采用光纤通道的存储局域网络；到了iSCSI协议出现以后，为便于区分，业界把SAN分为了FC-SAN和IP-SAN。

在IT系统中，SAN是一个独立的子网，专门处理数据中心内的主机与存储设备之间的数据通信，SAN网络与LAN业务网络是相互隔离的，存储流与业务流互不干扰。人们通常认为早期的FC SAN具有比较高的安全性，原因就在于它是服务器后端的专用局域网络，这种安全是由物理隔离带来。其实，从协议本身来看，FC并不安全，它只是一个二层协议，并没有定制统一的安全机制和标准。FC SAN只是依靠发起端和目标端的WWPN（World Wide Name，类似于以太网的MAC地址）号的匹配来建立对应关系，黑客只需要简单地采用SPOOFING等方式伪装一个合法的发起端的WWPN号，就可以获得对目标端存储空间的访问许可。但是由于FC协议相对比较封闭，并且了解FC的人确实太少，再加上FC SAN是单独组网，因此FC SAN就一直“显得”比较安全。

IP SAN出现以来，由于其承载在标准的TCP/IP网络基础之上，它在灵活性、成本和可管理性等各方面都带来了巨大的好处。但是由于现有IP网络上的不安全因素太多，IP SAN的安全性也因此一直备受怀疑。总的来说，业界对IP SAN的安全性担忧主要体现在如下几个方面：

（1）IP SAN网络是否安全？在IP网络上传输的数据块是否更容易被窃取？

（2）IP存储阵列是否安全？从IP网络攻入存储阵列是否更加容易？

（3）IP SAN如何应对网络风暴、DDos攻击等这一类的网络安全风险？

“泛安全”模型――IP SAN安全之道

说到存储，大家都会想到数据。存储的安全，其实就是数据的安全。而数据的安全则是一个非常大的命题，它靠的不是单一的技术、设备或者管理方法，而应该是一个整体的系统。这个系统既不是指单纯的网络安全，也不是指简单的数据灾备，它是包括从数据的发起端到数据的存储端在内的端到端的整体安全体系。基于这样的认识，H3C提出了数据安全保障概念――“泛安全”模型。

H3C泛安全模型示意 http://www.h3c.com.cn/res/200912/25/20091225_898210_image001_658982_30008_0.jpgSAN的安全之道" TITLE="安全系列（九）：IP SAN的安全之道" />

如图所示，“泛安全”模型包括了三个层次、三大要素和两种策略。从层次上看，整个IT系统分成了数据层、人机交互环境和系统外部环境；其中数据处于核心的位置，数据通过人机交互环境与外部环境连通。从策略上看，数据安全的策略除了技术保障之外，管理策略也至关重用；在数据和人机交互环境层，主要是依靠技术来保障数据安全，而在系统外部环境层，管理策略则对系统安全起着决定性作用。

在IT系统中，计算、通信和存储是三大基本要素，他们同样是“泛安全”模型的骨架中的重要组成部分。这三大要素的安全分工如下：

• 计算安全：提供终端与服务器的安全保障、提供业务连续性保障
• 通信安全：提供基于网络的访问控制保障、提供面向业务的传输安全保障
• 存储安全：提供基于数据保护的快速恢复性保障、提供基于数据加密的数据保密性保障

以下将从计算、网络（即通信）和存储三大节点的角度详细讨论IP SAN的安全性。

计算――服务器安全是重中之重

谈到IP SAN的安全性，很多人想到的是黑客或者不法分子直接从IP存储上去窃取数据。事实上，这种情况几乎不会出现。无论是FC SAN还是IP SAN，它们提供的都是“数据块”，这些数据块由服务器识别，转换成文件或者应用数据再提供给客户端使用。因此，绝大多数的IP存储阵列是连接在核心服务器的后端，并不直接连接到业务网络上。如果黑客要窃取数据，首要的目标是服务器，而不是存储设备。黑客如果一旦攻破了服务器，就可以直接从服务器上得到所需的信息，根本不需要再到SAN上去盗取数据。由此可见，服务器的安全性是数据安全的重中之重，是第一道屏障。

保障服务器安全的方法有很多，比如各种各样的服务器防火墙、杀毒软件等，都能起到安全防御作用。而近些年来兴起的端点准入防御系统（如H3C EAD解决方案），则将多种安全机制融于一体，形成一套全面的端到端服务器安全管理解决方案。

端点准入防御系统从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备联动，对接入网络的用户终端强制实施企业安全策略。端点准入防御系统实现动态的用户合法验证，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

网络――业务隔离、访问控制、传输加密是关键

从网络层面而言，IP SAN的安全性主要体现在业务隔离、访问控制和传输加密三方面。通过将存储网络和应用业务网络隔离，能够避免绝大多数的安全隐患；通过访问控制，确保只有被授权的服务器才能访问对应的存储资源，而且在局部节点发生故障时，能够对其进行隔离；通过传输加密，能为广域范围内的数据传输提供安全保障。

谈到IP SAN，大多数人是把广域的因特网和存储的IP SAN混在一起来看待，因此认为IP SAN不安全。事实上，在实际部署中，IP SAN大多数都是单独建设的，与前端业务网络物理上互相隔离，这样就避免了绝大多数的广域IP网络的安全隐患，保障了存储的安全性。

在业务隔离和访问控制方面，IP SAN同样有多种成熟可用的技术。这里面既包括iSCSI协议本身的资源隔离、CHAP认证等机制，也包括网络层面的VLAN隔离、ACL控制等技术。

从iSCSI协议本身来看，iSCSI可以通过发起端名字（initiator name）和目标端名字（target name）来隔离客户端的存储资源，只有经过授权的发起端才能访问对应的目标端的存储资源。再配合CHAP认证，能够进一步防止假冒的initiator的非法请求。CHAP是一种问询-握手身份验证协议，通过匹配用户名和登录密码来识别用户身份，而且密码不是以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生。H3C全系列存储产品都支持CHAP认证。

除了iSCSI协议本身，IP SAN交换机的还能提供多种访问控制机制。IP SAN可采用普通的以太网交换机作为连接设备，以太网交换机支持集中式MAC地址认证和802.1x认证，能在用户接入IP SAN网络时完成必要的身份认证。此外，基于MAC、IP、VLAN、PORT任意组合的灵活的绑定机制，在有效的防止非法用户访问的同时，还能实现故障的隔离。通过这些机制，能够按照业务对服务器和存储资源进行隔离，即使某台服务器被黑客攻陷，入侵者也无法通过这台服务器干扰其它的服务器和存储设备的正常数据通信。

如果要在广域范围内进行数据传输，还可选择IPsec或者MPLS VPN技术来保障数据的传输安全。IPsec是一种用于加密和验证IP信息包的标准协议，能够对IP包内的数据或者整个IP报文进行加密，实现端到端的传输安全。而MPLS VPN技术则能够将分散在不同地点的多个分支机构连接成一个可信任的网络，实现数据的安全传输。如H3C最具特色的WSAN（广域SAN）灾备解决方案，就采用了这两种技术，实现中心节点和多个分支之间的安全有效的数据传输。

存储――数据加密从理论走向实际

从存储设备本身的安全性而言，今天的存储设备已经不再是只存放数据的“傻阵列”，而是集数据保护、远程灾备于一身的智能存储产品。很多IP存储阵列能够提供数据快照、远程复制等丰富的软件功能，提供从在线到近线、从本地到远程的全面可靠的数据保护。

此外，磁盘数据加密需求也逐渐从理论分析走向实际应用。特别是在大型的灾备中心里，不同是用户为了防止灾备数据被非法访问，都提出了数据的加密存储要求。如果存储设备上的数据是加密的，即使非法入侵者得到了数据，也无法看到这里面的内容，这无疑把数据的安全保障提到了更高的层次。

数据加密的任务在服务器端、存储网络上或者存储系统上都可实现。目前大多数用户都趋向于客户端的加密方案。通过在客户端配置加密卡，在数据被传送到网络之前实施加密，可以确保它在网上传输和实际存储时都处于加密状态。

结束语

今天的数据安全已经不再是指单一存储设备本身的安全，对于IP SAN而言，数据安全性的挑战是全方位的。为了实现有效的数据安全，必须要在计算、网络、存储等各个层次全面地部署安全策略，只有整个系统都安全了，才能实现真正的数据安全。当然，技术只是安全的一方面，要真正实现安全，必须要技术、管理和策略三者并重。只有这样，才能确保存储的安全，确保IP SAN的安全，确保数据的安全。