Dane razem i w separacji

Konfiguracja zabezpieczeń na poziomie portów przełączników FC nie rozwiązuje wszystkich problemów związanych z bezpieczeństwem danych w sieciach SAN. Nawet gdy dostęp do sieci mają wyłącznie autoryzowane serwery, konieczne jest rozłożenie pomiędzy nie dostępnych zasobów pamięci. Nie wskazane jest bowiem, aby z tych samych wolumenów korzystały różne systemy operacyjne - różne sposoby odczytu i zapisu informacji mogą powodować uszkodzenie danych. Jednocześ- nie, ze względu na ograniczenie dostępu do danych poufnych, należy odseparować wolumeny, z których korzystają różne grupy użytkowników w firmie.

Mechanizmem, umożliwiającym rozdzielenie zasobów, jest zoning, który stanowi odpowiednik ethernetowych VLAN dla sieci SAN. Pozwala on partycjonować macierze SAN i zarządzać dostępem do wolumenów dyskowych. Producenci rozwiązań SAN wyróżniają dwa podstawowe rodzaje dzielenia sieci pamięci masowych na strefy: Soft Zoning i Hard Zoning. Poza nimi stosuje się jeszcze kilka innych rodzajów, np. producent przełączników FC firma Brocade stosuje technologię, którą nazywa Forced Hard Zoning, a firma McData za rodzaj zoningu uważa rozwiązanie HBA Port Binding, umożliwiające ograniczanie dostępu kontrolerów HBA, wbudowanych w serwery dołączone do sieci SAN, do konkretnych wolumenów logicznych LUN.

Mechanizm Soft Zoning zakłada, że informacje o przynależności do określonej strefy będą przechowywane przez urządzenia klienckie SAN. Chociaż informacje o numerach WWN i portów poszczególnych urządzeń nadal są przechowywane przez serwer nazw znajdujący się w przełączniku FC, to serwery i urządzenia pamięci masowych "pamiętają", które z urządzeń należą do ich strefy. Jeśli administrator zmodyfikuje konfigurację zoningu, to przełącznik rozsyła do wszystkich dołączonych urządzeń komunikat RSCN (Registered State Change Notification), na podstawie którego modyfikują przechowywane lokalnie informacje o konfiguracji stref. Jeśli jednak urządzenie końcowe nie przetworzy poprawnie komunikatu RSCN i nadal będzie się komunikować z innym urządzeniem już nie należącym do tej samej strefy, to przełącznik nie będzie blokować komunikacji.

Inaczej działa mechanizm Hard Zoning. W tym przypadku rozdzielanie zasobów obsługuje przełącznik FC, który wymusza identyfikację urządzeń na podstawie numeru WWN i układa tablice routingu danych w taki sposób, by możliwe było przesyłanie informacji wyłącznie między urządzeniami należącymi do tej samej strefy. Podobnie jak w Soft Zoning, także przy zoningu typu Hard przełącznik rozsyła do urządzeń końcowych komunikaty RSCN w przypadku rekonfiguracji stref. Urządzenia końcowe, jeżeli zainicjują przesłanie danych do urządzenia z innej strefy, niż ta, do której należą, to komunikacja taka nie dojdzie do skutku (przesyłanie danych będzie blokował przełącznik).

Pojedyncza strefa może obejmować minimalnie dwa urządzenia, które są uprawione do komunikacji ze sobą w ramach sieci SAN. Pojedyncze urządzenie może również uczestniczyć w większej niż jedna liczbie stref. W ten sposób np. możliwe jest udzielenie dostępu do jednej biblioteki taśmowej serwerom i macierzom, znajdującym się w kilku różnych strefach - wystarczy, by taka biblioteka należała do każdej z nich.

Identyfikacja w sieciach SAN

Producenci, tacy jak Brocade i FalconStor, podkreślają, że zastosowanie standardowych mechanizmów zabezpieczeń sieci SAN jest niewystarczające. Brocade przystosowuje nawet swoje przełączniki Fibre Channel do obsługi infrastruktury klucza publicznego. Jest ona wykorzystywana przez protokół SLAP (Switch Link Authentication Protocol), stosowany przy inicjowaniu połączenia przez porty typu E.

Istotne jest również zapewnienie należytej identyfikacji administratorów wprowadzających zmiany w konfiguracji magistrali Fabric przełączników sieciowych oraz szyfrowania realizowanych przez nich sesji zarządzania. Właśnie na tym etapie pojawiają się największe możliwości uzyskania nie autoryzowanej kontroli nad siecią SAN. Niektórzy z producentów, np. Hitachi Data Systems, pracują również nad implementacją w sieciach SAN mechanizmów szyfrowania transmisji.

Mniej skomplikowane jest zabezpieczanie komunikacji z użyciem protokołów iSCSI oraz FCIP, wykorzystujących protokół IP. Organizacje standaryzacyjne pracują nad protokołem ESP (Encapsulating Security Payload), który ma gwarantować, że dane zostały wysłane przez wiarygodnego nadawcę i podczas ich transmisji, nie zostały zmodyfikowane. Działania standaryzacyjne prowadzone w tym kierunku wykorzystują doświadczenia związane z opracowywaniem protokołu IPSec.

Jeszcze w tym roku powinny być również udostępnione pierwsze standardy zabezpieczeń w zakresie ochrony sieci SAN przed atakami Denial of Service.

<hr size="1" noshade>Zagadnieniom budowy sieci pamięci masowych oraz zarządzania ich pracą będzie poświęcony raport "Mission-Critical Storage", który prenu- meratorzy Computerworld otrzymają wraz z numerem 20/2002.