思科SAN磁盤網路安全架構解決方案 - Linux

IP網路雖然方便，但卻有安全上的顧慮，有鑒於此，思科系統特別主張應該建立磁盤網路安全架構以杜絕資料曝露、資料竊取、身份冒認與資料篡改等危險的發生。

　　據台灣思科系統表示，目前業界談到網路安全，不外強調資料機密性(Confidential)、資料完整性(Integration)與身份認證(Authentication)等基本要求，如此才能因應網路監聽、重播、篡改與身份冒用等安全威脅。同樣地，談到磁盤網路架構的安全，也一樣是以上述3項基本要求為建置的目標與方向。

　　台灣思科系統認為，若以光纖儲存區域網路的安全來說，光強調SAN本身的安全性是不夠的，還必須擴大到主機端與磁盤端等所有應用層的安全才行。對於SAN的全面性安全提升，思科強調其中有6個最關鍵的環節需要特別關注，首先是SAN管理上的安全，如此才可提供安全的存取管理服務;再來則為光纖存取上的安全，主要目的在於提供主機端到光纖服務的安全存取。

　　第三個則為儲存裝置端的存取安全，也就是提供光纖交換器到儲存裝置端(Targets)與邏輯單元號(LUNs)的安全存取;第四個關鍵點則為SAN Fabric協定上的安全，此為關係到光纖交換器與交換器間安全協定溝通的部分;再來則為IP Storage存取上的安全，也就是提供安全的FCIP與iSCSI服務;最後則通過加密機制來達到資料的完整性及機密性要求。

　　基於上述的安全架構，思科主張必須通過光纖分區(FC Zoning)、通訊埠模式安全(Port Mode Security)、通訊埠安全(Port Security)、虛擬儲存區網(Virtual SANs)與光纖安全協定(FC Security Protocol)等技術方式來確保光纖通道(Fibre Channel)的安全性。其中，FC Zoning可在儲存裝置間劃分不同分割區，而通過FC Security Protocol，則可提供裝置間的認證、每筆信息安全性與完整性保證，同時提供政策管理機制。

　　圖:磁盤網路安全架構6大關鍵環節架構圖。





--