Сети хранения данных

Уровень данных


В архитектуре SAN при неавторизованном доступе с административными правами пользователь получает полный или частичный контроль над данными, в связи с чем возникает опасность блокирования доступа, искажения или модификации, а также уничтожения данных. Велик риск установления контроля доступа к блокам данных на уровне самих серверов. Несмотря на то что для архитектуры SAN характерен блочный доступ к хранимым данным, сами вычислительные узлы в случае активизации соответствующих служб могут выступить в роли серверов NAS с предоставлением доступа по протоколам CIFS/SMB, а также NFS. Архитектура SAN предусматривает подключение серверов и рабочих станций с единой зоной доступа к устройствам хранения. Поэтому требование безопасности при доступе к данным должно применяться в равной степени как к серверам, так и к рабочим станциям. Таким образом исключается выполнение серверами приложений несвойственной им роли узлов NAS, через которые злоумышленник мог бы получить несанкционированный доступ к конфиденциальной информации.

Учитывая, что доступ к данным на серверах NAS осуществляется по протоколам CIFS/SMB и NFS, именно они будут рассматриваться с точки зрения возможных угроз. Упомянутые протоколы предусматривают лишь слабую защиту передаваемых паролей, в особенности это касается NFS. Когда это возможно, от использования NFS необходимо отказаться, отключив соответствующую службу. Если же к конфиденциальности передаваемых данных предъявляются высокие требования, во избежание компрометации паролей должны быть предусмотрены дополнительные меры по авторизации пользователей с применением необходимых программно-аппаратных средств.

Уже на этапе проработки архитектурного решения следует ввести жесткую классификацию хранимых данных по степени их важности и конфиденциальности, причем не стоит забывать о других эффективных средствах безопасности, в частности организации выделенных узлов криптозащиты.



Содержание раздела