Cải tiến mô hình backup dữ liệu

Một phần của tài liệu (LUẬN văn THẠC sĩ) công nghệ mạng lưu trữ và ứng dụng luận văn ths công nghệ thông tin 1 01 10 (Trang 82 - 85)

3.4. AN TOÀN VÀ BẢO MẬT CHO HỆ THỐNG SAN

Khi một mạng SAN đã mở rộng, thì việc quản lý các truy cập là rất quan trọng, ta cần phải có một chính sách bảo mật cho mạng nhằm xác thực người dùng cũng như ngăn chặn những ý đồ phá hoại mạng [6, 17].

Cần phải có một giải pháp tổng thể cho toàn mạng. Các mạng phải có thể được quản lý và điều khiển dễ dàng, các chính sách bảo mật và quản trị phải phù hợp và chặt chẽ nhưng cũng cần phải có tính linh hoạt cao.

Cấu hình và thiết lập các mức bảo mật cho mạng bao gồm: - Ủy quyền tin cậy giữa các SAN switch.

- Xác thực truy cập giữa các SAN switch.

- Điều khiển truy cập tại mức thiết bị (hệ điều hành, thiết bị lưu trữ dữ liệu). - Bảo mật truy cập các API.

- Quản lý mật khẩu khi truyền thông (sử dụng tính năng xác thực số hoặc bảo mật dựa trên PKI).

- Sử dụng các phần mềm giám sát và quản trị mạng.

Bảo mật dựa trên phần mềm quản trị mạng: Có thể sử dụng phần mềm quản trị mạng để hoàn thành các chính sách quản lý bảo mật cho toàn bộ SAN. Các chính sách này thường được sử dụng với một số chức năng quan trọng khác để phát triển và quản trị một mạng SAN với khả năng bảo mật cao nhất.

Bảo mật dựa trên các vùng: Được xây dựng dựa trên các thiết bị phần cứng SAN sẵn có. Nhờ vậy, dễ dàng phát triển trong mọi môi trường SAN.

3.4.1. Các đặc trưng chính

Ủy quyền tin cậy giữa các switch:

- Được cấu hình tại các SAN switch, chịu trách nhiệm cấu hình quản lý và thiết lập các tham số bảo mật (bao gồm các tham số cho các vùng) cho toàn bộ SAN switch trong mạng.

- Các SAN switch được thiết lập ủy quyền tin cậy thông qua một WWN cụ thể. Danh sách các switch này được gọi là Fabric-Wide.

- Để cấu hình, cần phải lựa chọn switch sẽ được cấu hình là switch chạy chính hay switch dự phòng. Chỉ có các switch được ủy quyền tin cậy mới có thể khởi tạo, quản lý, thay đổi hoặc phân phối chính sách trên Fabric-Wide.

- Nhờ vào việc sử dụng switch chạy chính và switch dự phòng giúp ta loại bỏ bất kỳ các yêu cầu không rõ định danh được gửi từ các switch cấp độ thấp hơn.

Quản lý điều khiển truy cập:

- Cho phép giới hạn các dịch vụ quản lý truy cập tới một nhóm các thiết bị cuối chỉ định.

- Ngăn chặn truy cập từ các người dùng không xác định muốn thay đổi thông số thiết lập trên phần cứng của switch.

Điều khiển kết nối thiết bị:

- Là WWN ACL hoặc Port ACL, cho phép gắn một cổng thiết bị riêng biệt tới một tập một hay nhiều cổng của switch. Các cổng thiết bị này được chỉ định bởi WWN và thường được sử dụng để mô tả các HBA.

- Các điều khiển này được sử dụng để bảo mật các kết nối từ máy chủ tới mạng SAN cho cả hai mục đích là: các chức năng quản lý và các giao dịch thông thường.

- Bằng cách gắn một WWN chỉ định tới một cổng hoặc một tập hợp các cổng trên switch, có thể một cổng được định vị tại một vùng khác thông qua việc định danh cổng đó tới một WWN hiện có.

- Khả năng này cho phép điều khiển tốt hơn trong một môi trường chia sẻ các switch. Nhờ vào việc cho phép chỉ một tập WWN được định nghĩa trước truy cập tới một số cổng trong SAN.

Điều khiển kết nối switch:

- Cho phép ngăn cấm kết nối tới mạng SAN từ một tập các switch được thiết kế trước, được định danh bởi WWN.

- Khi một SAN switch mới được thêm vào mạng và tạo kết nối tới một SAN switch khác (đã là một phần của mạng SAN), hai switch phải xác thực lẫn nhau. Kết quả là mỗi switch sẽ có một giấy phép số và một cặp khóa public/private duy nhất. Cặp khóa này sẽ được sử dụng để xác thực kết nối giữa các switch.

Quản lý bảo mật khi truyền thông:

- Các SAN switch đều hỗ trợ khả năng bảo mật truyền thông dựa trên IP giữa một switch và một thiết bị console (hoặc phần mềm quản lý mạng).

- Các luồng dữ liệu chứa các thông tin xử lý giữa switch và phần mềm quản lý (như mật khẩu) sẽ luôn luôn được mã hóa để tăng độ bảo mật.

3.4.2. Các lợi ích thu được khi thiết lập các chính sách bảo mật

- Chính sách bảo mật cho toàn bộ hệ thống sẽ dễ dàng và được quản lý tập trung:

 Ủy quyền tin cậy giữa các switch được quản lý tập trung và các chính sách bảo mật được phân phối thông qua mạng SAN switch.

 Hỗ trợ nhiều giao diện khác nhau khi quản lý bảo mật. Bao gồm giao diện dòng lệnh, phần mềm quản lý SAN hoặc phần mềm ứng dụng của hãng thứ ba thông qua việc sử dụng các API.

 Loại trừ việc cần có nhiều mạng SAN

 Quản lý mạng đơn giản

 Giảm các rủi ro trong giao dịch.

- Ngăn cấm các truy cập cố ý hoặc không xác thực tới mạng SAN:

 Cung cấp độ bảo mật cao cho mạng thông qua nhiều mức mật khẩu bảo vệ, mã hóa với độ dài bit lớn, sử dụng chữ ký và giấy phép số với xác thực dựa trên mã hóa PKI (mã hóa có độ dài 1024bit).

 Cung cấp cơ chế bảo mật tại các điểm có thể bị tấn công trên mạng.

 Dễ dàng tích hợp với hệ thống quản lý hiện tại. Phát triển các mức bảo mật mới dựa trên nền tảng bảo mật cơ sở.

- Điều khiển và tùy biến các công cụ quản lý SAN:

 Cho phép tùy biến chính sách bảo mật tới các phòng ban, các ứng dụng hoặc các thiết bị chỉ định.

 Các chính sách bảo mật được xây dựng dựa trên xác thực chữ ký số hiện có của hệ thống hoặc được tích hợp thông qua các module.

 Giám sát chặt chẽ mọi truy cập tới cổng hoặc thiết bị bất kỳ nào thông qua SAN.

3.4.3. Một số kỹ thuật sử dụng trong an toàn và bảo mật mạng

3.4.3.1. Các mức bảo vệ an toàn mạng

Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn” đối với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong máy tính, đặc biệt là trong các server của mạng. Bởi thế ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền, mọi cố gắng tập trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kết nối vào mạng [2, 3].

Một phần của tài liệu (LUẬN văn THẠC sĩ) công nghệ mạng lưu trữ và ứng dụng luận văn ths công nghệ thông tin 1 01 10 (Trang 82 - 85)

(105 trang)