云主機的存儲安全如何保障���?
發(fā)布時(shí)間:2021-11-19 12:14
來(lái)源:主機之家
閱讀:0
作者:
欄目: 云產(chǎn)品
歡迎投稿:712375056
大數據時(shí)代���,信息是非常寶貴的財富�。通過(guò)信息的采集與分析���,企業(yè)可以研發(fā)出用戶(hù)需要的產(chǎn)品�、服務(wù)���,這樣能夠保證企業(yè)能夠一直向上發(fā)展���。所以��,對于儲物這些數據的服務(wù)器�,它對數據的安全性我們需要格外關(guān)注����。畢竟誰(shuí)也不
大數據時(shí)代��,信息是非常寶貴的財富����。通過(guò)信息的采集與分析��,企業(yè)可以研發(fā)出用戶(hù)需要的產(chǎn)品�����、服務(wù)�����,這樣能夠保證企業(yè)能夠一直向上發(fā)展�����。所以���,對于儲物這些數據的服務(wù)器�,它對數據的性我們需要格外關(guān)注��。畢竟誰(shuí)也不想遭遇數據丟失或者是被惡意盜取的情況���,那么�����,使用等服務(wù)器的時(shí)候���,如何給數據安全加把鎖呢?
1���、數據加密保護
在各類(lèi)安全技術(shù)中����,加密技術(shù)是最常見(jiàn)也是最基礎的安全防護手段�����,在云環(huán)境下�,數據的加密保護仍然是數據保護的最后一道防線(xiàn)�����,對數據的加密存在于數據的傳輸過(guò)程中和過(guò)程中��。
對數據傳輸過(guò)程中的加密保護能保護數據的完整性��、機密性和可用性�����,防止數據被非法截獲����、篡改和丟失���。針對不同虛擬化對象的特點(diǎn)�,應采用不同的傳輸加密方式�。如對IP SAN網(wǎng)絡(luò )�,可以采用IPSec Encryption(IPSec加密)或SSL加密功能防止數據被竊聽(tīng)�,確保信息的保密性����,采用IPSec摘要和防回復的功能防止信息被篡改���,保證信息的完整性��。
對數據存儲的加密能實(shí)現數據的機密性���,完整性和可用性���,還能防止數據所在存儲介質(zhì)意外丟失或者不可控的情況下數據自身的安全����。對數據存儲的保護一般在主機端完成�,通常由應用系統先對數據進(jìn)行加密����,然后再傳輸到存儲網(wǎng)絡(luò )中��,由于不同應用采用加密算法的多樣性導致加密強度的不一致��,不利于數據存儲安全的統一防護���。為了解決這個(gè)問(wèn)題�����,IEEE安全數據存儲協(xié)會(huì )提出了P1619安全標準體系��,這個(gè)體系制定了對存儲介質(zhì)上的數據進(jìn)行加密的通用標準����,采用這種標準格式可使得各廠(chǎng)家生產(chǎn)的存儲設備具有很好的兼容性���。
對數據進(jìn)行存儲保護的另一種思路是在存儲設備之前串接一個(gè)硬件加密裝置�����,對所有流入存儲網(wǎng)絡(luò )的數據進(jìn)行加密后�,將密文提交給存儲設備;對所有流出存儲設備的數據進(jìn)行解密后將明文提交給服務(wù)器;這種加密方式與上面提到的采用P1619的的解決方案類(lèi)似����,但這里的加密是由外部加密裝置完成�,而不是集成在存儲網(wǎng)絡(luò )中����。這種解決思路與上層應用和存儲無(wú)關(guān)�����,但在數據量大的情況下�����,對硬件加密裝置的加解密性能和處理能力要求比較高���。
對數據加密保護的第三種解決辦法是依靠存儲設備自身的加密功能�,如基于磁帶機的數據加密技術(shù)����,通過(guò)在磁帶機上對數據進(jìn)行加密��,使數據得到保護;目前可信計算機組織(TCG�����,Trusted Computing Group)也已提出了針對硬盤(pán)的自加密標準�,將加密單元放置在硬盤(pán)中�����,對數據進(jìn)行保護�。自加密硬盤(pán)提供用戶(hù)認證密鑰���,由認證密鑰保護加密密鑰�����,通過(guò)加密密鑰保護硬盤(pán)數據��。認證密鑰是用戶(hù)訪(fǎng)問(wèn)硬盤(pán)的惟一憑證��,只有通過(guò)認證后才能解鎖硬盤(pán)并解密加密密鑰����,最終訪(fǎng)問(wèn)硬盤(pán)數據�����。
2����、基于存儲的分布式入侵檢測系統
基于存儲的入侵檢測系統嵌入在存儲系統中���,如SAN的光纖交換機�、磁盤(pán)陣列控制器或HBA卡等設備中�,能對存儲設備的所有讀寫(xiě)操作進(jìn)行抓取���、統計和分析�,對可疑行為進(jìn)行報警�。由于基于存儲的入侵檢測系統是運行在存儲系統之上�,擁有獨立的硬件和獨立的操作系統�,與主機獨立��,能夠在主機被入侵后繼續對存儲介質(zhì)上的信息提供保護�����。在存儲虛擬化網(wǎng)絡(luò )中�,應在系統的關(guān)鍵路徑上部署基于存儲的入侵檢測系統�,建立全網(wǎng)統一的管理中心��,統一管理入侵檢測策略����,實(shí)現特征庫的實(shí)時(shí)更新和報警事件及時(shí)響應����。
3�����、資源隔離和訪(fǎng)問(wèn)控制
在云環(huán)境下����,應用不需要關(guān)心數據實(shí)際存儲的位置���,只需要將數據提交給虛擬卷或虛擬磁盤(pán)���,由虛擬化管理軟件將數據分配在不同的物理介質(zhì)��。這就可能導致不同保密要求的資源存在于同一個(gè)物理存儲介質(zhì)上���,安全保密需求低的應用/主機有可能越權訪(fǎng)問(wèn)敏感資源或者高安全保密應用/主機的信息����,為了避免這種情況的發(fā)生���,虛擬化管理軟件應采用多種訪(fǎng)問(wèn)控制管理手段對存儲資源進(jìn)行隔離和訪(fǎng)問(wèn)控制��,保證只有授權的主機/應用能訪(fǎng)問(wèn)授權的資源�,未經(jīng)授權的主機/應用不能訪(fǎng)問(wèn)��,甚至不能看到其他存儲資源的存在�。
4�、數據刪除或銷(xiāo)毀
數據的徹底刪除也是必須考慮的問(wèn)題�����。由于數據存放的物理位置是位于多個(gè)異構存儲系統之上����,對于應用而言����,并不了解數據的具體存放位置��,而普通的文件刪除操作并不是真正刪除文件�,只是刪掉了索引文件的入口�。因此在應用存儲虛擬化技術(shù)之后�,應在虛擬化管理軟件將安全保密需求相同的文件在物理存儲上分配在同一塊或多塊磁盤(pán)上��,在刪除文件時(shí)�,為了徹底清除這些磁盤(pán)上的敏感信息����,將該磁盤(pán)或多塊磁盤(pán)的文件所有位同時(shí)進(jìn)行物理寫(xiě)覆蓋��。對于安全保密需求高的場(chǎng)合�����,還應采用消磁的方式來(lái)進(jìn)行更進(jìn)一步地銷(xiāo)毀�����。
企業(yè)如果沒(méi)有一套安全保障措施�,建議可以與你的云服務(wù)商咨詢(xún)����,有部分云服務(wù)商可以提供類(lèi)似服務(wù)��。
