SAN Güvenlik Çözümleri
SAN da güvenliği sağlamak için ilk olarak depolama cihazlarını sunucuya bağlayan fiziksel yapının(SAN Fabric), bağlı olan tüm istemcilerin ve disklerin güvenli olması gerekmektedir. SAN güvenliği sağlanırken göz önünde bulundurulması gereken 6 yapı vardır;
1. SAN management; Administrator tarafından kullanılan yönetim servislerinin güvenliğinin sağlanması
2. Fabric access; sunucu ve depolama üniteleri arasındaki bağlantının güvenliğinin sağlanması.
3. Target access; depolama cihazlarına ve LUN’a erişim güvenliğinin sağlanması
4. SAN Protocols; kullanılan protokollerin güvenliğinin sağlanması
5. IP storage access; FCIP ve iSCSI güvenliğinin sağlanması
6. Data integrity and secrecy; ağda iletilen veriyi clear text yerine şifrelenmiş olarak yollayarak güvenliğin sağlanması
Aşağıdaki şekilde yukarda verilen 6 adım gösterilmektedir.
SAN yönetimi için kullanılabilecek çeşitli araçlar bulunmaktadır. Bu araçlar yardımıyla cihaz performansı, uygulama performansı ayarlaması yapılabilir. Bunlara ek olarak bu araçlar sayesinde servisler monitör edilebilir ve raporlama işlemleri yapılabilir. Bu araçları kullanırken dikkat edilmesi gereken en önemli konu aracın güvenlik açıklarının olup olmadığı ve sadece istenilen kişilerin belirli bölgelerden araçlara erişim iznin olmasıdır. SAN yönetimini yaparken göz önünde bulundurulması gereken diğer konularda şunlardır;
- Anahtarlama işlemindeki bozulmalar; DoS saldırısına maruz kalan bir cihaz da işlemci kullanımı çok yüksek değerlere ulaşabilir ve cihaz gerekli veriyi aktaramaz duruma gelebilir.
- Konfigürasyonda yapılan değişiklikler veya unutulan yapılandırmalar sonrasında kullanılan servisler veya port numaraları değişebilir.
- Veri bütünlüğü ve gizliliği; ana verilerde bulunan ihlaller verilerin bütünlüğünü ve güvenliğini tehlikeye atar.
VSAN ve Zone'lar- , SAN daki güvenlik kontrolünde birlikte iyi çalışan birbirini tamamlayıcı teknolojilerdir. Bu protokolleri konfigüre etmedeki ilk adım; fiziksel portları bir VSAN ile ilişkilendirmektir, switch portlar ile VLAN ilişkilendirmeye oldukça benzer ve ardından mantıklı olarak VSAN bölgelere bölünür.
Zoning hard ve soft olmak üzere iki farklı yapıya sahiptir. Soft zoning, fabric name servislerini sınırlar, sadece izin verilen aygıtların altkümesi olan bir aygıtı gösterir. Bir sunucu, fabric içeriğine baktığında, yalnızca görülmesine izin verilen aygıtları görebilir. Ancak, herhangi bir sunucu, adreslerine dayalı ağdaki diğer aygıtlarla temas kurmak için girişimde bulunabilir. Buna karşılık; hard zoning, bir fabric de iletişimi sınırlar. Bu zoning daha yaygın kullanılır çünkü daha güvenlidir.
İletim sırasında verileri korumak için bazı teknikler kullanılır. İSCSI, IP networking de yaygın olan birçok stratejiyi kullanır. Örneğin, IP ACL, Fibre Channel zone'a paraleldir, VLAN, VSAN a benzerdir ve IEEE 802.1X port security, Fibre Channel port securitye benzemektedir.
Veri aktarımı güvenliği için, bazı şifreleme ve onay protokolleri desteklenir:
- Diffie-Hellman Challenge Handshake Authentication Protocol (DH-CHAP)
- Fibre Channel Authentication Protocol (FCAP)
- Fibre Channel Password Authentication Protocol (FCPAP)
- Encapsulating Security Payload (ESP)
- Fibre Channel Security Protocol (FC-SP)
FCIP güvenlik önlemi olarak Cisco IOS-based routerlar da aşağıdaki IP security özelliklerine sahiptir:
- Genel taşıyıcıların güvenliği için IPsec
- Uzmanlaşmış Hardware de yüksek hızlı şifreleme servisi
- Firewall filtering
Yazılardan da anlaşılabileceği gibi özetlicek olursak SAN güvenliğini sağlamak LAN güvenliğini sağlamanın son adımıdır; son noktaların güvenliği sağlanır, switchlerin, kablosuz ortamının, VOIP altyapısının ve SAN güvenliği sağlanır.
Ahmet Uncu
Bu yazıyı beğendiniz mi?
Hakkında Ahmet Uncu
http://www.linkedin.com/in/ahmetuncu