小心你的数据 磁盘阵列中毒与解决方法
DOIT云计算 12年06月25日 14:19 【转载】 作者:博客 责任编辑:王振
针对Windows、Linux和开放Unix系统的病毒和攻击每天都在更新,而这些系统本身,也是依靠频繁的补丁和第三方安全软件来保护的。因此,对安装在阵列控制器中的系统而言,情况便很棘手。目前还没有第三方安全软件厂商为阵列控制器提供安全防护软件,用户只能像频繁的为主机打补丁一样,频 繁的为阵列控制器升级固件。事实上,各磁盘阵列厂商也是这样提倡的,这些厂商一边向用户声称“升级为最新版本的固件才能保证系统最为可靠”,一边以平均每周一次的速度更新其固件版本。然而升级阵列固件对在线的磁盘阵列来说是非常危险的操作,频繁的升级固件无疑会严重影响数据安全。既便厂商可以保证100% 安全的固件升级,大多数中高端系统也无法忍受如此频繁的当机窗口。每周停机1~2小时,每年就要50~100小时!这哪里还是厂商们所宣称的“四个九”、 “五个九” 的高可用?
也许厂商们也意识到了这个尴尬,一些还算有责任感的厂商在新推出的产品中引入了一个特殊的功能----在线升级固件。这下问题似乎解决了。笔者曾多次亲耳聆听过几家知名厂商的工程师们对此功能的溢美之辞,称其可以实现“不间断的系统维护”云云。事实果真如此吗?很遗憾,实际情况完全没有那么完美。翻开任何一款支持“在线固件升级”产品的用户手册,都会发现其操作规程中大同小异的赫然提示: “虽然本产品可以支持在线固件升级,但要求升级过程中停止任何外部I/O操作。”这是什么意思?磁盘阵列可以不停机,但是主机读写需要停止。这跟系统停机有什么区别?!所谓“不间断维护”,岂不成了文字游戏。
退一万步说,既便用户完全按照厂商的要求,以最快的速度更新固件,磁盘阵列就安全了吗?把WindowsXP的补丁升级到最新版本,就可以免受病毒 和黑客威胁了吗?一样的道理嘛。也许有人会怀疑, “并没有听说很多磁盘阵列染病毒和被攻击的事件啊。”其实道理也很简单。想想中高端磁盘阵列一般应用的环境,电信公司的中心机房哪个不是层层的软硬防火墙 保护?银行的中心机房更甚,干脆就隔离了接驳Internet的物理连接。这些客观因素减少了磁盘阵列这种“脆弱系统”遭受侵扰的机会,但是这并不等于减 少了磁盘阵列的“脆弱性”。
需要注意的是,机房环境对磁盘阵列的保护是非常有限的。几乎所有中高端磁盘阵列都支持提供远程管理维护,而且厂商或集成商也乐于通过远程管理端口进 行定期巡检。如果可能,厂商和集成商都会力劝用户为磁盘阵列提供一个公网地址,并将其置于可由外部访问的位置。也许集成商和用户大多没注意到,这种方便也使磁盘阵列的“脆弱性”暴露在危险的公网环境中。
另外,一旦机房内部感染病毒或出现恶意用户,磁盘阵列由于毫无防范,基本是在劫难逃。磁盘阵列虽然易于感染,但一旦出现这种情况,查杀病毒和恶意代 码的工作却很困难。由于封装机制特殊,一般通用安全软件是无法在阵列控制器上安装的。而且,此类系统对管理员帐户及其他方面的改动,也妨碍了安全软件以网 络方式清理系统。简单一句话,磁盘阵列易感染病毒却不易清除。
除磁盘阵列之外,其他的存储设备情况如何呢?我们知道,一些光纤交换设备和虚拟存储设备的核心操作系统也是以Linux为基础。但是总体而言,这些 设备的安全机制要比磁盘阵列好很多。部分原因是因为大多数此类厂商,都或多或少的有传统以太网络技术基础,还有一部分原因是,这些系统与人们耳熟能详的 RedHat、SuSe等Linux版本差异较大,对病毒和黑客而言“兼容性”比较差。
NAS和iSCSI设备中通用操作系统更为流行,微软公司还为此类设备开发了WindowsStorageServer作为专业系统,其病毒“兼容 性”自然非常“好”。然而幸运的是,一般NAS和iSCSI设备上都会附加有网络安全方面保护。几乎每个NAS产品都会预安装或以选项方式提供防病毒软 件,并有良好的认证保护机制。iSCSI设备中则干脆将CHAP保护机制作为其标准配置之一,避免了系统裸露于不安全的网络之中。
由此可见,NAS和iSCSI设备在网络安全方面显然比传统FC磁盘阵列更具优势。因此,在性能和扩展性等要求都可以满足的前提下,选用NAS或 iSCSI设备会使存储设备本身更安全。如果一定要选用FC磁盘阵列,则需要尽量避免通过控制器的网络接口进行管理,而尽量采用更为安全的带内(In- Band)管理模式。
原文章地址:http://blog.chinaunix.net/uid-26584327-id-3250504.html