Colección de citas famosas - Colección de firmas - Cómo configurar el almacenamiento SAN en Solaris

Cómo configurar el almacenamiento SAN en Solaris

Oracle Solaris 10 y Oracle Solaris 11 vienen con un sistema iniciador Fibre Channel que puede configurar para utilizar Fibre Channel (FC) proporcionado por Sun ZFS

Los LUN de dispositivos de almacenamiento están integrados en el Entorno Oracle Solaris. Este artículo describe cómo configurar un sistema Oracle Solaris Fibre Channel y cómo configurar

Sun ZFS Storage Appliance para configurar los LUN FC para el acceso de los servidores Oracle Solaris. Estas configuraciones se pueden realizar mediante la interfaz de usuario del navegador (BUI).

Este artículo parte de las siguientes suposiciones:

Se conoce la contraseña de la cuenta raíz para Sun ZFS Storage Appliance.

La dirección IP o el nombre de host de un dispositivo de almacenamiento Sun ZFS conocido.

Se ha configurado la red utilizada por el dispositivo de almacenamiento Sun ZFS.

El dispositivo de almacenamiento Sun ZFS está configurado con un grupo de recursos de almacenamiento con suficiente espacio libre disponible.

Se conoce la contraseña de la cuenta raíz para el servidor Oracle Solaris.

El dispositivo de almacenamiento Sun ZFS está conectado al conmutador Fibre Channel.

Se han configurado zonas apropiadas en los conmutadores FC para permitir que los hosts de Oracle Solaris accedan al dispositivo de almacenamiento Sun ZFS.

Configuración de sistemas Oracle Solaris FC

Para que los dispositivos de almacenamiento Sun ZFS y los servidores Oracle Solaris se identifiquen entre sí, se requiere un número mundial FC (WWN) para cada dispositivo.

Registrarse en otro dispositivo. Debe determinar el WWN de algún tipo de zona FC implementada en el conmutador FC.

El FC WWN del host se utiliza para identificar el host en Sun ZFS Storage Appliance y es necesario para completar los procedimientos de configuración de este artículo.

Los WWN provienen de adaptadores de bus de host (HBA) FC instalados en hosts Oracle Solaris y dispositivos de almacenamiento Sun ZFS.

Para configurar un sistema Oracle Solaris FC, necesita conocer el WWN del dispositivo de almacenamiento Sun ZFS. En una red de área de almacenamiento (SAN) de doble estructura tradicional, el dispositivo de almacenamiento Sun

ZFS tiene al menos un puerto FC conectado a cada estructura. Por lo tanto, debe identificar al menos dos FC WWN.

Identificación del WWN FC de Sun ZFS Storage Appliance

Primero, debe establecer una sesión de administración para Sun ZFS Storage Appliance.

Ingrese una dirección que contenga la dirección IP o el nombre de host de Sun ZFS Storage Appliance, como se muestra en la siguiente URL:

https:// :215

Se mostrará el cuadro de diálogo de inicio de sesión.

Ingrese su nombre de usuario y contraseña, luego haga clic en INICIAR SESIÓN.

Después de iniciar sesión correctamente en la BUI, puede identificar el WWN a través de la pestaña Configuración.

Haga clic en Configuración > SAN > Canal de fibra

Puertos.

Se muestran los puertos FC instalados en Sun ZFS Storage Appliance. Dado que solo hay un puerto descubierto por canal HBA, este debe ser el propio canal HBA.

En el ejemplo anterior, el puerto 1 tiene WWN 21:00:00:e0:8b:92:a1:cf y el puerto 2 tiene WWN

21:01:00:e0 :8b:b2:a1:cf.

En el cuadro de lista a la derecha de cada cuadro de puerto FC, el puerto del canal FC debe configurarse como Destino. Si este no es el caso, los puertos FC

pueden usarse para otros fines. No cambie la configuración hasta que investigue la causa. (Una posible causa es que se pueda utilizar una copia de seguridad NDMP).

Identifique el HBA WWN del host de Oracle Solaris

Si el host de Oracle Solaris ya está conectado al conmutador FC con los cables adecuados , luego use el siguiente comando para identificar el WWN.

Para obtener el WWN del host, ingrese el siguiente comando:

root@solaris:~# cfgadm -al -o show_FCP_dev

root@solaris: ~#

En esta salida, los números de controlador que desea son c8 y c9. Cuando el tipo de puerto es

fc-fabric, también puede ver que ambos puertos están conectados a un conmutador FC. A continuación, se consulta a estos controladores para determinar los WWN descubiertos.

Si el puerto HBA no se utiliza para acceder a ningún otro dispositivo conectado a FC, puede utilizar el siguiente comando para determinar el WWN.

root@solaris:~# prtconf -vp | grep puerto-wwn

puerto-wwn: 210000e0.8b89bf8e

puerto-wwn: 210100e0.8ba9bf8e

root@solaris:~#

Si accede a un dispositivo FC, el siguiente comando mostrará el FC HBA WWN.

root@solaris:~# luxadm -e dump_map /dev/cfg/c8

root@solaris:~#

Se muestra como el último de tipo Entrada 0x1f (tipo desconocido, adaptador de bus de host)

El WWN correspondiente se proporciona en la entrada WWN del puerto. Repita este comando, reemplazando

/dev/cfg/c8 con el otro controlador identificado en el paso 1.

En el resultado, puedes ver que c8 tiene WWN

21:00:00:00:e0:8b:89:bf:8e, c9 tiene WWN

21:01:00:e0:8b:a9:bf:8e.

Cualquier zona de conmutador FC se puede configurar utilizando los HBA de Sun ZFS Storage Appliance y los WWN de HBA de host de Oracle Solaris.

Después de completar esto, puede ejecutar el siguiente comando para verificar la zona correcta:

root@solaris:~# cfgadm -al -o show_FCP_dev c8 c9

root@solaris:~#

Ahora puede ver el WWN proporcionado por Sun ZFS Storage Appliance al que puede acceder el host de Oracle Solaris.

Configuración de Sun ZFS Storage Appliance mediante la interfaz de usuario del navegador

Como plataforma de almacenamiento unificada, Sun ZFS Storage Appliance admite el acceso a protocolos de bloque a través del protocolo iSCSI

LUN , que a su vez admite el mismo acceso a través del protocolo Fibre Channel. Esta sección describe cómo utilizar la BUI de Sun ZFS Storage Appliance para configurar Sun ZFS Storage Appliance para que reconozca un host Oracle

Solaris y presente FC LUN al host.

Defina grupos de destino de FC

Cree grupos de destino en Sun ZFS Storage Appliance para definir los puertos y protocolos a través de los cuales el servidor Oracle Solaris puede acceder a los LUN que se le presentan.

Para este ejemplo, cree el grupo objetivo FC

.

Realice los siguientes pasos para definir un grupo de destino FC en el dispositivo de almacenamiento Sun ZFS:

Haga clic en Configuración > SAN para mostrar la red de área de almacenamiento (SAN)

pantalla

p>

Haga clic en la pestaña Destinos a la derecha y seleccione Fibre Channel en la parte superior del panel izquierdo

Puertos

Coloque el mouse en el cuadro Puertos de canal de fibra para colocar el icono Mover () aparece en el extremo izquierdo

Haga clic en el icono Mover y arrastre este cuadro al cuadro Grupos de destino de canal de fibra

, como se muestra en la Figura 4.

Arrastra las entradas en el cuadro naranja para crear un nuevo grupo objetivo. El grupo se crea y automáticamente se denomina objetivos-n, donde

n es un número entero.

Mueva el cursor sobre la nueva entrada del grupo objetivo. Aparecerán dos iconos a la derecha del cuadro Grupos de destino de canal de fibra

Para cambiar el nombre del nuevo grupo de destino objetivos-0, haga clic en el icono Editar () para mostrar el cuadro de diálogo

En En el campo Nombre, reemplace el nombre predeterminado con el nombre preferido del nuevo grupo objetivo FC y haga clic en Aceptar. En este ejemplo, reemplace

targets-0 con el nombre FC-PortGroup. En esta ventana también puede agregar un segundo puerto de destino FC haciendo clic en el cuadro a la izquierda del WWN seleccionado. El segundo puerto se identifica como PCIe 1: Puerto 2.

Haga clic en Aceptar para guardar los cambios.

Haz clic en APLICAR. Los cambios anteriores se muestran en el panel Grupos objetivo de Fibre Channel

.

Definir iniciadores FC

Defina iniciadores FC para permitir el acceso a volúmenes específicos desde uno o más servidores. Los permisos de acceso a los volúmenes deben configurarse para permitir que un número mínimo de iniciadores FC accedan a un volumen específico. Si varios hosts pueden escribir en un volumen determinado al mismo tiempo y utilizar un sistema de archivos no compartido, la caché del sistema de archivos en cada host puede volverse inconsistente, lo que en última instancia puede provocar una imagen dañada en el disco. Generalmente, para un volumen, solo se concederá acceso a un iniciador, a menos que se utilice un sistema de archivos de clúster especial.

El iniciador FC se utiliza para definir un "host" desde la perspectiva de Sun ZFS Storage Appliance. En una SAN tradicional de doble tejido, un host estará definido por al menos dos iniciadores FC. FC

La definición del iniciador contiene el WWN del host. Para identificar un servidor Oracle Solaris en un dispositivo de almacenamiento Sun ZFS, el WWN del iniciador Oracle Solaris FC

se debe registrar con el dispositivo de almacenamiento, realizando los siguientes pasos.

Haga clic en Configuración > SAN para mostrar la Red de área de almacenamiento (SAN)

Pantalla

Haga clic en la pestaña Iniciadores a la derecha y seleccione Canal de fibra

Iniciadores

Haga clic en el icono a la izquierda de Iniciadores de canal de fibra para mostrar el cuadro de diálogo Nuevo iniciador de canal de fibra

Si la zona se ha configurado en el conmutador FC, los WWN Se deben mostrar todos los hosts de Oracle Solaris (asumiendo que no se especifican alias para ellos).

Haga clic en un WWN en la parte inferior del cuadro de diálogo (si se muestra) para completar previamente el nombre mundial, o escriba el

WWN apropiado en el cuadro Nombre mundial.

Ingrese un nombre de símbolo más significativo en el cuadro Alias.

Haga clic en Aceptar.

Repita los pasos anteriores para otros WWN que involucren hosts de Oracle Solaris.

Defina el grupo de iniciadores FC

Agrupe algunos iniciadores FC relacionados en grupos lógicos, de modo que el mismo comando pueda ejecutarse en varios iniciadores FC. Por ejemplo, puede usar un comando para Todos. A los iniciadores FC del grupo se les asignan derechos de acceso LUN

. Para el siguiente ejemplo, el grupo de iniciadores FC contendrá dos iniciadores. Tenga en cuenta que en un clúster, varios servidores se consideran una entidad lógica, por lo que un grupo de iniciadores puede contener más iniciadores.

Realice los siguientes pasos para crear un grupo de iniciadores FC:

Seleccione Configuración > SAN para mostrar la pantalla Red de área de almacenamiento (SAN)

.

Seleccione la pestaña Iniciadores a la derecha y haga clic en Fibre Channel

Iniciadores en la parte superior del panel izquierdo.

Coloque el cursor sobre una de las entradas del iniciador FC creadas en la sección anterior. En este punto, aparecerá un ícono Mover () a la izquierda de la entrada. Haga clic y arrastre el ícono Mover al panel

Grupos del iniciador de canal de fibra a la derecha. En este punto, aparece una nueva entrada en la parte inferior del panel Grupos de iniciadores de canal de fibra (resaltado en amarillo).

Mueva el cursor sobre el cuadro de nueva entrada y suelte el botón del mouse. Se crea un nuevo grupo de iniciadores FC con el nombre de grupo

iniciadores-n, donde n es un número entero, como se muestra en la Figura 13

.

Mueva el cursor sobre la nueva entrada del grupo iniciador. Aparecerán varios íconos en el lado derecho del cuadro de grupo del iniciador de destino

Haga clic en el ícono Editar () para mostrar el cuadro de diálogo

En el campo Nombre, reemplace el nombre predeterminado del nuevo grupo iniciador Para el nombre seleccionado, haga clic en Aceptar. Este ejemplo utiliza

sol-server como nombre del grupo iniciador.

En este cuadro de diálogo, puede agregar iniciadores FC adicionales al grupo haciendo clic en la casilla de verificación a la izquierda del WWN.

Haga clic en APLICAR en la pantalla de configuración de SAN para confirmar todos los cambios, como se muestra en la Figura 15.

Definición de un proyecto de Sun ZFS Storage Appliance

Para agrupar volúmenes relacionados, debe definir un proyecto en Sun ZFS Storage Appliance. Al utilizar un proyecto, puede heredar las propiedades de los sistemas de archivos y LUN

proporcionados por el proyecto. También se pueden aplicar límites y reservas.

Realice los siguientes pasos para crear un proyecto:

Seleccione Compartir > Proyectos para mostrar la pantalla Proyectos

Haga clic en el icono a la izquierda de Proyectos en la parte superior del panel izquierdo para mostrar

p>

Diálogo Crear proyecto

Para crear un nuevo proyecto, ingrese un nombre de proyecto y haga clic en APLICAR. Aparece un nuevo proyecto en la lista de Proyectos en el panel izquierdo.

Seleccione este nuevo proyecto para ver sus componentes incluidos

Defina un LUN de Sun ZFS Storage Appliance

A continuación, creará un A LUN accesible para Oracle Solaris. servidor. En el siguiente ejemplo, se crea un LUN de 64 GB con aprovisionamiento ligero denominado

DocArchive1.

Utilizaremos el grupo objetivo FC creado en la sección Definir grupo objetivo FC

FC-PortGroup para garantizar que se pueda acceder al LUN a través del protocolo FC.

El grupo iniciador sol-server definido en la sección Definir FC

grupo de iniciador se utilizará para garantizar que solo los servidores definidos en el grupo sol-server

puedan acceder al LUN. (En este ejemplo, el grupo iniciador contiene solo un servidor).

Realice los siguientes pasos para crear un LUN:

Seleccione Recursos compartidos > Proyectos para mostrar la pantalla Proyectos.

En el panel Proyectos de la izquierda, seleccione el proyecto. Luego seleccione LUN en la parte superior del panel derecho

Haga clic en el icono a la izquierda de LUN para mostrar el cuadro de diálogo Crear LUN

, como se muestra en la Figura 20.

Ingrese los valores apropiados para configurar este LUN. Para este ejemplo, establezca el Nombre en

DocArchive1, el Tamaño del volumen en 64 G y seleccione la casilla

Aprovisionamiento fino. Establezca el grupo objetivo en FC, el grupo objetivo

FC-PortGroup y el grupo iniciador en

sol-server. Establezca el tamaño del bloque de volumen en

32k porque este volumen contendrá el sistema de archivos Oracle Solaris ZFS.

Haga clic en APLICAR para crear el LUN para que lo utilice el servidor Oracle Solaris.

Configurando el LUN para su uso por el servidor Oracle Solaris

Ahora que tenemos el LUN listo para su uso a través del grupo iniciador FC. Luego debe realizar los siguientes pasos para configurar el LUN para que lo utilice el servidor Oracle Solaris:

Inicie una sesión de Oracle Solaris FC en Sun ZFS Storage Appliance, como se muestra en el Listado 1. Dado que el LUN se creó antes de iniciar la sesión FC, el

LUN se habilitará automáticamente.

Listado 1. Iniciando una sesión de Oracle Solaris FC

root@solaris:~# cfgadm -al c8 c9

root@solaris:~# cfgadm -c configurar c8::210100e08bb2a1cf

root@solaris:~# cfgadm -c configurar c9::210000e08b92a1cf

root@solaris:~# cfgadm -al -o show_FCP_dev c8 c9

root@solaris:~#

Verifique el acceso al FC LUN, como se muestra en el Listado 2.

Listado 2. Verificación del acceso a FC LUN

root@solaris:~# devfsadm -c ssd

root@solaris:~# tail /var/ adm /messages

[...]

[...]

En este ejemplo, el estado de múltiples rutas inicialmente se muestra degradado porque solo se identificó una ruta. Además, el estado de rutas múltiples cambia a

óptimo porque hay varias rutas al volumen.

Los dispositivos de disco ahora también están disponibles para discos de servidor internos.

Formatee el LUN como se muestra en el Listado 3.

Lista 3. Formatear formato LUN

root@solaris:~# format

Buscando discos...hecho

c1t600144F0F05E906C00004ED6096D0001d0 : configurado con capacidad de 63.93GB

SELECCIONES DE DISCOS DISPONIBLES:

[...]

Especifique el disco (ingrese su número): 4

seleccionando c1t600144F0F05E906C00004ED6096D0001d0

[disco formateado]

Disco no etiquetado. ¿Etiquetarlo ahora?

FORMATEAR MENÚ:

disco - seleccione un tipo de disco

tipo - seleccione (defina) un tipo de disco

partición - seleccione (defina) una tabla de particiones

actual - describa el disco actual

p>

formatear - formatear y analizar el disco

reparar - reparar un sector defectuoso

etiqueta - escribir etiqueta en el disco

analizar - análisis de superficie

defecto - gestión de la lista de defectos

copia de seguridad - buscar etiquetas de copia de seguridad

verificar - leer y mostrar etiquetas

guardar - guardar disco nuevo /definiciones de partición

consulta: muestra el proveedor, el producto y la revisión

volname: establece el nombre del volumen de 8 caracteres

!: ejecuta , luego regrese

salir

format> q

Compile el sistema de archivos Oracle Solaris ZFS en el LUN preparado, cree un nuevo grupo ZFS para esto, agregue este dispositivo al grupo ZFS y cree un sistema de archivos ZFS, como se muestra en el ejemplo del Listado 4.

Listado 4. Creación del sistema de archivos ZFS de Oracle Solaris

root@solaris:~# zfs createzpool create docarchive1 \

c1t600144F0F05E906C00004ED6096D0001d0

root @solaris:~# zfs list

[...]

root@solaris:~# zfs create docarchive1/index

root@solaris:~ # zfs create docarchive1/data

root@solaris:~# zfs create docarchive1/logs

root@solaris:~# zfs list

[... ]

Las dos últimas líneas de salida del comando df(1) indican que ahora hay aproximadamente 64 GB de espacio nuevo disponibles. Reimpreso únicamente como referencia, los derechos de autor pertenecen al autor original. Le deseo un feliz día, adoptelo si está satisfecho

Seguridad de las redes FC e IP

Ya sea Fibre Channel o red IP, la principal amenaza potencial proviene de fuentes no autorizadas. acceso, especialmente la interfaz de gestión. Por ejemplo, se puede lograr una entrada fraudulenta una vez que el administrador de un servidor conectado a una red de área de almacenamiento (SAN) haya obtenido acceso. De esta forma, el intruso puede acceder a cualquier sistema conectado a la SAN. Por lo tanto, independientemente de qué red de almacenamiento se utilice, se debe reconocer que aplicar estrategias adecuadas de control de permisos, acceso autorizado y autenticación de firmas es crucial para prevenir vulnerabilidades de seguridad.

Los ataques de prueba de errores también son más fáciles de implementar en redes IP que en SAN de canal de fibra. Para este tipo de ataques se suelen utilizar algoritmos de cifrado más complejos.

Aunque DoS parece ser poco común, no significa que sea imposible. Sin embargo, si desea implementar un ataque DoS en una SAN Fibre Channel, no es posible con un software de hackers común, porque a menudo requiere conocimientos de seguridad más profesionales.

Métodos para implementar la seguridad de los datos SAN

Los dos mecanismos de seguridad básicos para garantizar la seguridad de los datos SAN son la zonificación y el enmascaramiento del valor de la unidad lógica (Número de unidad lógica).

La zonificación es un método de zonificación. Mediante este método, ciertos recursos de almacenamiento son visibles solo para usuarios y departamentos autorizados. Una partición puede constar de varios servidores, dispositivos de almacenamiento, subsistemas, conmutadores, HBA y otras computadoras. Sólo los miembros de la misma partición pueden comunicarse entre sí.

La partición a menudo se implementa a nivel de intercambio. Según el método de implementación, se puede dividir en dos modos, uno es la partición dura y el otro es la partición suave. La zonificación estricta se refiere a la formulación de una estrategia de zonificación basada en puertos de conmutador. Están prohibidos todos los intentos de comunicación a través de puertos no autorizados. Dado que la partición física se implementa en el circuito del sistema y se ejecuta en la tabla de enrutamiento del sistema, tiene mejor seguridad que la partición suave.

En las redes Fibre Channel, la zonificación suave se basa en el mecanismo de denominación de área amplia (WWN). WWN es un número de identificación único asignado a los equipos de fibra óptica en la red. Dado que la partición suave utiliza software para garantizar que los mismos WWN no ​​aparezcan en particiones diferentes, la tecnología de partición suave tiene mayor flexibilidad que la partición dura, especialmente en aplicaciones donde las configuraciones de red cambian con frecuencia.

Algunos conmutadores tienen una función de enlace de puerto, que puede restringir los dispositivos de red para que se comuniquen solo a través de puertos de conmutador predefinidos. Con esta tecnología, se pueden implementar restricciones de acceso a grupos de almacenamiento para proteger la SAN de usuarios no autorizados.

Otra tecnología ampliamente adoptada es el enmascaramiento de LUN. Un LUN es una marca de identificación SCSI de una unidad lógica dentro de un dispositivo de destino (como una cinta y una matriz de discos). En el ámbito del Fibre Channel, el LUN se implementa en base al WWN del sistema.

La tecnología de enmascaramiento de LUN asigna LUN a servidores host, y estos servidores solo pueden ver los LUN que tienen asignados.

Si hay muchos servidores que intentan acceder a un dispositivo específico, el administrador de la red puede configurar un LUN o grupo de LUN específico para que sea accesible, negando así el acceso a otros servidores para proteger la seguridad de los datos. Se pueden implementar diversas formas de tecnología de protección de LUN no solo en hosts, sino también en HBA, controladores de almacenamiento, matrices de discos y conmutadores.

Si la tecnología de partición y LUN se puede aplicar a la red y sus equipos junto con otros mecanismos de seguridad, será muy eficaz para la seguridad de la red y de los datos.

El enfoque de la industria hacia la seguridad del almacenamiento

Aunque actualmente no hay una conclusión clara sobre qué nivel de equipo es óptimo para aplicar el control de seguridad del almacenamiento, IPSec se puede utilizar en ASIC. Se implementa en equipos VPN, electrodomésticos y software, pero muchos comerciantes han implementado funciones de autenticación de seguridad y cifrado en sus productos de almacenamiento de datos.

IPSec también puede desempeñar un papel determinado en otros problemas de seguridad basados ​​en protocolos IP, como Internet Small Computer Interface (iSCSI), Fibre Channel over IP (FCIP) e Internet Fibre Channel (IFCP). papel de.

Los mecanismos de autenticación de seguridad, acceso autorizado y cifrado de uso común incluyen el protocolo ligero de acceso a directorios (LDAP), el servicio de autenticación remota telefónica de usuario (RADIUS) y el sistema de control de acceso de controlador de acceso a terminal mejorado (TACACS+), Kerberos. , Triple DES, Estándar de cifrado avanzado (AES), Capa de sockets seguros (SSL) y Secure Shell (SSH).

Aunque los mecanismos de seguridad de SAN y NAS tienen muchas similitudes, en realidad existen diferencias entre ellos. Muchos sistemas NAS no solo admiten mecanismos de seguridad SSH, SSL, Kerberos, RADIUS y LDAP, sino que también admiten listas de control de acceso (ACL) y permisos multinivel. Un factor muy importante aquí es el bloqueo de archivos. Hay muchos proveedores de productos y sistemas que implementan esta tecnología de diferentes maneras. Por ejemplo, Microsoft utiliza un bloqueo estricto, mientras que los sistemas basados ​​en Unix utilizan un bloqueo de nivel de aviso relativamente flexible. Se puede ver que si está en un entorno mixto Windows-Unix, causará ciertos problemas.

Llamada a la estandarización de la seguridad del almacenamiento

La base de la seguridad de SAN se encuentra en la capa de conmutación. Por lo tanto, el impacto de los estándares de conmutadores de almacenamiento en la forma en que los fabricantes de productos de red ofrecen tecnología es fundamental.

El proceso de estandarización de la seguridad del almacenamiento aún está en sus inicios. ANSI estableció el grupo de trabajo T11 Fiber Communications Security Protocol (FC-SP) para diseñar un marco para estándares de seguridad para la infraestructura de redes de almacenamiento. Se han presentado varios borradores de protocolo, incluido el protocolo FCSec, que integra IPSec y comunicaciones de fibra óptica; una versión del Challenge Handshake Authentication Protocol (CHAP) para comunicaciones de fibra óptica y el Switched Linkage Authentication Protocol (SLAP) que utiliza autenticación digital. para permitir que varios conmutadores se autentiquen entre sí. El Protocolo de autenticación de comunicaciones de fibra (FCAP) es un protocolo de extensión de SLAP. El Grupo de Trabajo de Seguridad del Almacenamiento del IEEE se está preparando para desarrollar una propuesta para estandarizar algoritmos y métodos de cifrado.

La Asociación de la Industria de Redes de Almacenamiento (SNIA) estableció el Foro de la Industria de Seguridad del Almacenamiento (SSIF) en 2002. Sin embargo, dado que diferentes proveedores de productos admiten diferentes protocolos, todavía queda un largo camino por recorrer para lograr la interoperabilidad entre protocolos. Un camino por recorrer.

Preste atención a la seguridad del conmutador de almacenamiento

Todo el mundo ha notado que para garantizar la seguridad del almacenamiento, se debe aplicar el mismo mecanismo de advertencia de seguridad a los conmutadores de almacenamiento y otros conmutadores de la red empresarial. Por lo tanto, los conmutadores de almacenamiento también deben tener algunos requisitos especiales.

Uno de los aspectos más importantes de la seguridad de conmutación de almacenamiento es proteger la interfaz de administración de fibra. Si la consola de administración no tiene buenas medidas de seguridad, un usuario no autorizado puede invadir el sistema o cambiarlo de manera intencionada o no. configuración. Existe un administrador de bloqueo distribuido que evita que suceda este tipo de cosas. Los usuarios deben ingresar el ID y la contraseña cifrada para acceder a la interfaz de administración del conmutador de fibra.

Para proteger el puerto de administración del dispositivo SAN a través del mecanismo de autenticación de seguridad, es mejor centralizar la administración de la configuración SAN y cifrar la comunicación entre la consola de administración y el conmutador. Por otro lado, antes de conectar el switch a la red óptica, también se debe implementar el acceso autorizado y la autenticación de seguridad mediante mecanismos ACL y PKI. Por lo tanto, los enlaces entre conmutadores deben establecerse bajo estrictas precauciones de seguridad.