在几年前,存储仅仅意味着直连存储(DAS,Direct Attached Storage),存储安全完全包含在整体IT安全之中。但是随着存储架构不断演变发展,人们更多地引进了高速、高容量的基于光纤通道的存储区域网(SAN,Storage Area Networks)以及基于以太网的网络附属存储(NAS,Network Attached Storage)系统,存储安全也随之发展成为一个独立的学科。忽视它就会导致危险!
值得引起大家警觉的是,很多企业好像并没有重视存储的安全。根据调查公司ESG(Enterprise Strategy Group)针对288位存储专业人士的调查结果,其中30%的人明确表示他们公司的安全策略中并没有包含存储系统,还有20%的人并不知道或不能够说出他们公司的存储安全是否被攻破。
那么,公司在对他们存储的数据施加安全策略通常需要哪些步骤呢?根据Yankee集团资深分析师Sal Capizzi的观点,打造存储安全的系统性方法,首先是要分析被存储的不同类型的数据,并根据其重要性以及一旦丢失或被盗对业务造成的经济损失来进行分类,然后对于不同的分类设置相对应的不同安全政策。
第二步是实施口令、全球范围的名称识别(对光纤通道)以及逻辑单元数(LUN)授权,以确保只有经过授权的使用者、设备或应用能够访问数据,并且要执行逻辑单元屏蔽(LUN masking)以便特定的存储卷只能被经过授权的使用者、设备或应用所看见。
需要再次提醒的是,根据ESG估计有20%的企业并不知道或不能够说出他们的存储安全是否被攻破。这里告诉你一个能够使你做到这一点好方法,那就是确保所有针对数据的动作、访问以及改变都被记入日志,这样就可以对谁在什么时候、什么地点对哪些数据做了什么改动有清楚的跟踪。如果没有这样的日志,就很难说出数据是否或怎样遭遇到了危险。
最后,别忽略了一些看似很普通的预防措施,如使用反病毒、反间谍软件,安装一个合适的防火墙,关掉不使用的端口,频繁地改变口令,等等。
同时,不管你花费多少也不可能算计到所有的危险,所以建议你部署灾难恢复计划来对付意外的火灾、洪水、故意破坏以及其他大灾难。
也许你会问,加密的方法效果如何呢?其实,对于数据加密的必要性以及在什么时间、什么地方来实施加密等存在很多分歧意见。例如,有一些专家建议对可移动的磁带设备应该实施加密以防意外丢失。但也有一些人指出,磁带本身就是相对脆弱的设备,丢失的或放一边不用的磁带很快就有可能读不出数据了。
同样,磁带上的数据文件也并不是任何人在任何环境下都能轻易读出来的。也就是说,如果一个人通过偷或捡偶然得到了磁带,没有适合的硬件和软件应用,他也可能就读不出磁带上的数据。不过,实事求是地说,如果磁带实施了适当的加密,一旦被偷盗或遭故意袭击,还是要相对安全一些。而且加密对于数据从存储系统通过网络传输到服务器是有帮助的,因为这其中有可能遭遇黑客攻击,加密可以有效避免这一点。
可喜的是,近期各种各样的技术进步正在使得更加有效地管理大量存储和存储安全成为可能。例如虚拟化就有可能对存储系统造成日渐巨大的冲击,因为它能够跨越大量存储阵列构筑存储池,这样就使得管理、迁移和备份数据更加快捷,也更加经济。我们也看到,无论是存储厂商,还是服务器厂商,都已经纷纷在自己的产品和解决方案中添加虚拟化技术,所以毋容置疑虚拟化必然会成为数据管理、数据保护以及平台计算的基础技术。
另外,CDP(连续数据保护)应该是2006年在存储方面最有影响的技术进展之一。通过使用CDP,企业存储系统中的所有数据在每次数据变化时都可以得到实时备份。事实上,也就是针对每一次存储数据的改变都会做一个存储快照,而不是每小时做一次或一天做几次。这样,当数据库系统瘫痪或受到病毒感染时,就很容易快速恢复到故障前的状态。值得指出的是,这个恢复过程只需要数秒钟。专家们也纷纷预言,2006年将是一个CDP年。
最后,每个企业的存储架构以及安全需求都是不同的,因此也不可能轻易地去根据固定的5步或10步去实现存储安全。但是要切记不能忽视存储安全,存储安全是包含在IT安全中的一个基础部分,因此要从基础架构层开始将存储安全加入到安全策略中,否则你只能事后追悔莫及了。
网友评论