存储区网络曾关闭并主要依赖物理保护来确保安全安全顾虑正在增加
fibre通道安全服务有限区划分和逻辑单位编码掩码等常用计划提供一定程度的访问控制,但如果主机或用户不认证与织物连接,则无法防止宿主伪信、消息回放攻击或未经授权实体编织存取
Fibre通道标准化机构(T-11)主动通过定义协议解决访问问题加强Fibre通道安全-支持认证、数据加密和安全信息管理
ibre通道封装安全有效载法程序灵活度足以让管理员决定哪类消息(控制框架或数据框架)安全
ESP提供消息认证和可选保密性,可保护织物中两个实体之间的通信IP世界广布应用,IETFiSI建议具体规定链接安全
Fibre通道指定最大传输单元2 112字节,较长传输分解成序存储协议通常使用2 048字节框架,所以ESP头板和挂车有一些头室
为了阻抗会话粗力攻击,ESP实施必须基于数据传输量和包数允许按键使用重钥化自动安全交换新键
在最近T-11Fibre通道安全协议委员会会议上,共享密码协议Diffie-Hellman密钥加密协议-挑战握手认证协议获得一致接受共享密码重密机制不需要证书,但需要可接受的密码实践(128比特和非文本字符)避免攻击共享密码管理通过卸载集中处理可简化远程验证拨入用户服务设备化
通过部署所有编织实体的定期主机认证和授权计划,可防止伪冒并限制存取定义存储资源
最安全部署实现时,SAN中每个节点都执行ESP处理所有流量、控件和数据然而,这可能是代价高昂的办法,因为它因性能影响需要所有节点提供硬件帮助。
软件解决方案(例如HBA驱动程序)信息认证成本效益高,只需控制框架安全化-而非加密应用数据
数据路径安全(全加密)需要时,视程序而定事务处理应用对延时敏感,而电子商务数据库或数据挖掘则需要高吞吐量延缓性可能不影响二级存储应用正因如此,硬件化方法最能满足所有这些性能需求
密钥管理将是重要的考量高fibre通道数据快速覆盖ESP序列数窗口并快速频繁重锁Fibre通道标准机构需要解决这一问题,可能通过增加序列数窗口大小需要安全机制存储私有密钥和主机密码,这可能包括使用受保护内存或智能卡
ESP是一个定义清晰并理解广密协议 用于安全飞行数据DH-CHAP补充ESP,为Fibre通道SANs提供所需实体认证和密钥交换机制Fibre通道安全协议不处理休息时安全数据这对于企业敏感、可信或受控持久数据通过数据复制和备份从场外取出或合并是一个未决问题。
