سامانههای ذخیرهسازی که در دنیای تکنولوژی امروز از آن تحت عنوان SAN Storage یاد میشود در کنار پارامترهای مهمی همچون امکان دستیابی مستمر و بدون وقفه به اطلاعات آن، کارایی و سرعت بالا در پردازش و ذخیرهسازی اطلاعات، قابلیت اطمینان بالا، میبایست یکی از مهمترین پارامترهای ذخیرهسازی یعنی امنیت را نیز در بر بگیرند. امروزه همزمان با گسترش تکنولوژی، احتمال نفوذ و دسترسی به اطلاعات این سامانهها به دلیل قرارگیری در بستر شبکه نیز افزایش مییابد. به همین دلیل یکی از دغدغههای کاربران که اطلاعات آنها در این سامانهها ذخیره میشود، اطمینان از امنیت این سامانهها میباشد.
در یک تعریف کلی، سیاستها، روندها و یکپارچگی مناسب اجزای مراکز داده که از دستیابی غیرمجاز به اطلاعات جلوگیری میکند، امنیت نامیده میشود. برای سامانههای ذخیرهسازی داده، ایجاد سطح بالایی از امنیت، یکی از نیازهای اساسی به شمار میرود.
سامانههای ذخیرهساز داده امروزی به دلیل مسائلی همچون ارتباط با اینترنت، در معرض انواع خطرها قرار دارند. برای مقابله با این خطرها راهکارهای متنوعی در سطوح مختلف سامانه ذخیرهساز دادهاستفاده میشود.
برای اینکه یک سامانه ذخیره ساز داده بتواند بستر مناسبی از امنیت را فراهم آورد، نیاز است تا چهار سرویس شمارشپذیری ، محرمانگی ، یکپارچگی و دسترسپذیری را مکانیزمهای امنیتی خود دارا باشد:
این سرویس باید تمام وقایع موجود در سامانه را ثبت و در یک سند 0020 نگهداری کند.
این سرویس باید نیازهای امنیتی، مانند نوع و میزان دسترسی استفادهکنندگان از سرویس را تعیین کند. این تعیین دسترسی باید شامل اطلاعات درون کابلها و همچنین اطلاعات درون آرشیو و بخشهای پشتیبان را در بر گیرد. همچنین برای تأمین اهداف فوق، رمزنگاری دادهها، محدود کردن جریان ترافیک، مخفی کردن آدرس فرستنده و گیرنده، و فرکانس و میزان داده ارسالی را انجام میدهد. برای انجام امور فوق، این سرویس باید برای دسترسی به میزان لازم (برای) استفادهکنندگان همراه با سرویس پاسخگویی با فراهم آورد.
این سرویس تعیینکننده مسائلی همچون حق دستکاری یا پاک کردن دادههااست. این بخش هم باید با بخش پاسخگویی همکاری کند (برای دسترسی به میزان دسترسی استفادهکنندگان).
این سرویس تلاش میکند دسترسی قابلاطمینان و به موقع را برای استفادهکنندگان فراهم آورد. این دسترسی شامل دادهها، سیستمهای کامپیوتری، برنامهها و ارتباطات میشود.
بیانگر راههای دسترسی صحیح به اطلاعات و سرویس موردنظر میباشد.
برای اینکه بتوان به سطح قابل قبولی از امنیت دست یافت، نیاز است تا در ابتدا خطرات مرتبط با این سامانهها بیان شود. مهمترین تهدیداتی که میتواند یک SAN Storage را مورد تهدید قرار دهد، در جدول زیر آورده شدهاست.
شامل اطلاعات، سختافزار، نرمافزار و سایر اطلاعات حساس
|
داراییها
|
ریسک
|
مسیرهایی که ناخودآگاه برای دسترسی به یک منبع باز گذاشتهشده
|
آسیبپذیری
|
شامل زلزله، سیل، آتشسوزی، حملههای تروریستی و ...
|
فجایع
|
تهدیدها
|
شامل ویروسها، کرمها و....
|
تکنولوژی
|
شامل هکرها، دزدها، کارکنان ناوارد یا بداندیش و .
|
انسان
|
شرکت پرسا نیز به منظور اطمینانبخشی به مشتریان خود و تأمین امنیت محصولات خود، از مکانیزمهای امنیتی بسیار بالا در طراحی و تولید سامانههای ذخیرهسازی خود بهره بردهاست تا در کنار ارائه سامانهای پرسرعت و با کارایی بالا، نهایت امنیت را نیز در اختیار کاربران قرار دهد. در این راستا راهکارهایی در بستر سامانههای ذخیرهسازی شرکت پرسا و در سطوح مختلف درنظر گرفته شدهاست. راهکارهای ارائه شده از دو منظر قابل بررسی میباشند:
-
رمزنگاری اطلاعات دیسک بدون کاهش کارایی با استفاده از پروتکل FDE
-
توانایی در بازیابی اطلاعات بدون از دسترفتن داده
-
نرمافزار پیادهسازی کدهای تصحیح خطا در سطح دیسک
-
پیادهسازی انواع آرایه افزونه دیسکهای مستقل برای افزایش دسترسپذیری دیسکها
-
ایجاد افزونگی در سطوح مختلف سختافزار شامل پردازنده،حافظه، کنترلر، منبع تغذیه و دیسکها
-
نرمافزار رمزنگاری داده مبتنی بر پردازنده با قابلیت AES
-
نرمافزار پیادهسازی کدهای تصحیح خطا در سطح سختافزار
-
افزایش دسترسپذیری با ایجاد چند مسیری میان کنترلر و دیسکها
-
افزایش دسترسپذیری با ایجاد چند مسیری میان Initiatorها و سامانه
-
ایجاد مکانیزم کپی آینهای میان دو سامانه
برای دستیابی به قابلیت امنیت در قالب 4 پارامتر مهم دسترسپذیری، یکپارچگی، شمارشپذیری و محرمانگی راهکارهایی را بکار گرفته شدهاست که در نهایت میتواند منجر به ارائه یک سرویس با قابلیت امنیت بالا گردد. در ادامه راهکارهای پیادهسازی شده در قالب این 4 ویژگی ارائه شدهاست که در راستای دستیابی به قابلیت امنیت بالا ارائه میگردد.
-
ایجاد دسترسی به سامانه با استفاده از واسط کاربری (UI)
-
ایجاد دسترسی به سامانه با استفاده از محیط خط فرمان (CLI)
-
ایجاد چندمسیری برای میزبانان در دستیابی به سامانه
-
ایجاد چندمسیری میان کنترلرها در دستیابی به دیسکها
-
ایجاد افزونگی در تمامی ادوات سختافزاری شامل پردازنده، حافظه، کنترلر، منبع تغذیه و دیسکها
-
ایجاد افزونگی در بخش نرمافزاری شامل سیستم عامل
-
پیادهسازی عملیات بازیابی دیسک خراب تحت عنوان جاروب
-
استفاده از کدهای تشخیص و تصحیح خطا (ECC Code)
-
استفاده از دیسک پشتیبان در صورت خرابی یکی از دیسکها
-
ثبت وقایع و رخدادها
-
ذخیره تمامی رخدادهای سامانه در اسناد جداگانه
-
استفاده از پروتکل امن ارتباطی همچون iSCSI و FC
-
استفاده از راهبرد IPsec و Zoning برای کنترل دسترسی به اطلاعات
-
تعیین سطوح مختلف دسترسی با استفاده از واسط کاربری و محیط خط فرمان
-
پیادهسازی احراز هویت دو مرحلهای در اتصال به سامانه توسط میزبانها
-
رمزنگاری اطلاعات دیسک با استفاده از پروتکل FDE
-
رمزنگاری دادهها در پردازنده با استفاده از پروتکل AES
-
غیرفعال نمودن پورت 8080
-
استفاده از پروتکل امن HTTPS
-
استفاده از راهبرد Active/Active میان کنترلر و دیسکها
-
استفاده از کپی آنی
-
پیادهسازی کپی آینهای از راه دور