Với các hệ thống lưu trữ sử d ụ n g công nghệ SA N bất kỳ m áy chủ nào cũng có thể truy nhập tới bất cứ hệ thống lưu trữ nào. N ếu hệ thống này không có bảo m ật thì m áy chủ này có thể truy nh ập đến dữ liệu củ a m á y chủ khác. Việc truy nhập k hông được phép này có thể do vô tình hay c ố ý như ng đều có thể phá hỏng mọi dữ liệu trong hệ thống. Vì vậy vấn đề bảo m ật cẩn phải được đặt ra ở đây.
V iệc bảo m ật của các hệ thống lun trữ SA N với các m áy chủ W indow s N T hay Novell lại là m ột yếu tố k h ông thể thiếu được. Các m áy chủ sử dụng các hệ điều hành này có kh ả năng tự tìm các thiết bị lưu trữ m à nó có thể truy nhập được, sau đó các hệ điểu hành này có thể thực h iện việc ghi các thông tin đánh dấu của m ình trên các thiết bị lưu trữ này. Hoạt động này dẫn tới việc mất dữ liệu của các m á y chủ khác. Vì vậy trong trường hợp có sử dụng các hệ điều hành này với hệ thống lưu trữ SAN thì bảo m ật là m ộ t thành phần bắt buộc để tránh sự c ố này có thể xảy ra.
Bảo m ật trong hệ thống SAN là việc thiết lập m ột cơ c h ế chỉ cho phép các m á y chủ được truy nhập đến phân vùng lưu trữ của nó m à k hông được truy nhập tới phân vùng lưu trữ c ủa các m áy ch ủ khác.
- 116 - B ả o m ậ t m ứ c B ả o m ật m á y chủ m ứ c k ế t nôi B ả o m ậ t m ứ c thiết bị lưu trữ c
Hình 3-16: Bảo mặt dữ liệu trong vùng lưu trữ
N hư chúng ta đã đề cập ở trên hệ thống lưu trữ với công nghệ SAN bao gồm các m áy chủ kết nối với hệ thống lưu trữ thông qu a hệ thống kết nối. Chính vì vậy việc bảo m ật có thể thực hiện tại 3 điểm khác n h a u trong các hệ thống này tại m á y chủ, tại hệ thống kết nối hay tại các thiết bị lưu trữ.
Bảo m ật tại m áy chủ được thực hiện bằng các h cài đặt thêm các phần m ềm trên các m áy chủ này, các phần m ề m này sẽ chỉ cho phép m á y chủ được truy nh ập tới phân vùng lưu trữ của nó theo qui định của người quản trị. Cách thức bảo m ật này có ưu điểm là:
• K hông phụ thuộc vào thiết bị lưu trữ cũng n h ư thiết bị kết nối do việc này hoàn toàn được thực hiện bởi m á y chủ
• H ỗ trợ đồng thời nhiều loại thiết bị lưu trư và thiết bị kết nối khác nhau
• D ễ quản lý
N hưng nhược điểm lớn nhất của cách thức này là nếu m ộ t m á y chủ không được cài đạt phần m ềm này và được kết nối vào hệ thống lưu trữ thì m áy chủ này có thể truy nhập tới mọi thiết bị lưu trữ, việc này có thể phá h ỏ n g các dữ liệu. Vì vậy giải pháp này chỉ giúp bảo m ật tránh các lỗi do vô ý m à thôi, nó không phải là một giải pháp bảo m ật thực sự.
Giải pháp thứ hai là thực hiện bảo m ật tại hệ thống kết nối. Với giải pháp này các switch sẽ qui định chỉ có cổng nào của fabric được trao đổi dữ liệu với cổng nào. V iệc thực hiện qui định này được gọi là phân vùng trong SAN. SAN
- i l l -
được chia thành các vùng khác nhau. Các vùng này có thể giao nhau tức m ộ t nút có thể được tham g ia vào nhiều vùng khác nhau. Các nút chỉ được trao đổi với các nút khác trong cùng m ột vùng m à thôi. C ơ c h ế bảo m ật này đảm bảo m áy chủ chí có thể truy nhập tới cổng của thiết bị lun trữ m à nó được phép, tránh các truy nhập trái phép. V iệc bảo m ật này hoàn toàn k hông phụ thuộc vào loại m áy ch ủ cũng như thiết bị lưu trữ được sử dụng.
Nhược điểm lớn nhất của giải pháp này là độ chi tiết thấp do chỉ có thể quản lý tới mức nút h a y cổng m à thôi. Trong khi đó với các thiết bị lưu trữ nhiều phân vùng dữ liệu trên đó cùng được truy n h ập q u a m ột cổng, khi đó chúng ta không thể kiểm soát tới mức này được, dẫn đến các m áy chủ vẫn có thể truy nhập tới các dữ liệu không phải của mình.
Giải ph áp cuối cùng là thực h iệ n tại các thiết bị lưu trữ. Tại từng thiết bị lưu trữ sẽ qui định m áy chủ này được truy n h ậ p tới phân vùng lưu trữ nào. Giải pháp này rất an toàn bởi nó kiểm soát tại n g a y các p h ân vùng lưu trữ nơi cần được bảo vệ. Tuy nhiên giải pháp này có nhược điểm là không phải thiết bị lưu trữ nào cũng hỗ trợ việc bảo m ật này, chỉ có m ột số thiết bị lưu trữ cao cấp hỗ trợ tính năng này m à thôi. Vì vậy giải pháp này được sử d ụ n g khi các thiết bị lưu trữ kh á thuần nhất và đều hỗ trợ tính năng bảo m ậ t này.
Do cả ba giải pháp này đều có ưu điểm và nhược điểm khác nhau vì vậy thông thường các giải pháp này được sử dụng kết hợp. V í dụ chúng ta có thể sử d ụng giải pháp bảo mật tại mức m ạ n g để đảm bảo bảo vệ m ức ban đầu tới các cổng, tránh các m áy chủ trái phép được kết nối vào đây, sau đó ch ú n g ta sử dụng bảo vệ mức m á y chủ để qui định chi tiết việc truy n h ập vào từng phân vùng lưu trữ trên từng thiết bị lưu trữ cụ thể.