数据中心安全域划分与防护技术

　　为了消除上述数据中心存在的安全隐患，为核心数据提供可靠、便捷的使用环境，可以将数据中心的安全体系划分为以下3个安全区域。

　　1 管理访问安全域

　　通常园区网络存储基础设施，如图l所示。图中服务器被连接到一个SAN结构的存储环境中，并且访问主存储阵列，主存储阵列通过光纤网络连接到备份存储阵列。管理数据存储通常是在一台管理终端上安装存储管理平台。通过IP网络与存储阵列互联，这种为管理存储阵列形成的区域称为管理访问域。管理访问域存在2个威胁：一是由于通常是通过IP网络来管理存储阵列，这样增加了未授权主机连接到存储网络的可能性;二是存储管理软件的远程控制台功能也增加了被攻击的可能性。

　　图1 校园网存储基础设施示意图

　　针对数据中心基础设施的访问安全，常用的访问安全防护技术包括：

　　(1)控制管理权限。控制管理权限目的在于防止攻击者假冒管理员身份或提升用户身份和使用权限，来非法获得数据闭。访问控制防护技术的使用通常包括3个方面：一是合理设置管理员使用权限，不要把存储系统所有控制权授权给一个用户：二是将存储系统的身份管理与第三方的认证系统相结合，可以使用基于角色的访问控制(RBAC)策略分配不同的管理权限;三是使用审计系统来加强安全管理。

　　(2)保护管理网络。防护方法主要有3种：一是加密管理数据流，采用安全的通信通道SSH或SSI/TLS来传送管理数据流;二是通过存储设备和交换机的配置。只允许某些特定的主机拥有管理权限，并且对主机能够发出什么命令操作做出限制，将访问控制措施制定到存储阵列级别，明确哪台主机拥有对那个阵列的管理权限;三是增强IP网络的安全措施，针对特定设备的数据流以及管理性协议的数据流，使用IP路由器和交换机在IP网络层进行限制，从而将未授权设备的威胁降到最低。