· Аутентификация iSCSI. Аутентификация инициаторов входящих сеансов iSCSI (запросы на которые поступают от инициаторов iSCSI), выполняется с помощью протокола CHAP до установления сеанса iSCSI.

· Динамическое и статическое выделение постоянных имен WWN для инициаторов iSCSI. Система позволяет динамически или статически сопоставлять инициаторов iSCSI с виртуальными инициаторами Fibre Channel посредством присваивания уникальных для данного инициатора и для даннои? сети VSAN имен nWWN и pWWN (по сути, каждыи? инициатор iSCSI представляется как "виртуальныи?" N_Port). Присваивание постоянных имен nWWN и pWWN может происходить как в статическом, так и в динамическом режиме (в последнем случае имя выбирается динамически из диапазона имен WWN, хранящихся в памяти коммутатора). Это позволяет использовать такие функции, как безопасность LUN, сопоставление LUN и маскирование LUN для массивов хранилищ среднего и корпоративного класса, т.к. они могут использовать для однозначнои? идентификации хостов, подключенных через интерфеи?с iSCSI, те же механизмы, с помощью которых выполняется идентификация хостов, подключенных к адаптеру HBA Fibre Channel.

· Средства контроля доступа iSCSI. Существуют различные способы контроля доступа, которые могут примениться к инициаторам iSCSI. Во-первых, инициатору iSCSI разрешен доступ только к тем целевым устрои?ствам Fibre Channel (виртуальным целевым устрои?ствам iSCSI), для которых этот доступ был задан явным образом. Во-вторых, инициатор iSCSI (виртуальныи? N_Port) явно указывается в качестве инициатора в рамках однои? сети VSAN. Для зонирования виртуальных портов N_Port и устрои?ств хранения можно использовать стандартные технологии зонирования Fibre Channel. Наконец, ограничения, накладываемые на интерфеи?с, позволяют выбрать режим объявления об отдельных целевых устрои?ствах iSCSI: глобальныи? (по всем интерфеи?сам Gigabit Ethernet) или только по определенным интерфеи?сам и субинтерфеи?сам Gigabit Ethernet либо сетям VLAN.

· Протокол FCIP. Протокол FCIP обеспечивает передачу данных Fibre Channel по IP-сети путем туннелирования фреи?мов Fibre Channel по паре TCP-соединении? между двумя коммутаторами. Необработанные фреи?мы Fibre Channel (содержащие полныи? заголовок Fibre Channel) инкапсулируются в TCP-сегменты при помещении в туннель и реконструируются во фреи?мы Fibre Channel при извлечении из туннеля. Технология FCIP сама по себе не предлагает какие-либо явные инструменты обеспечения безопасности, но она может использовать все существующие механизмы безопасности, доступные для "роднои?" среды Fibre Channel. Сюда относятся такие механизмы, как безопасность на уровне портов и аутентификация в соединениях между коммутаторами по протоколу FCSP DH-CHAP.

Целостность и конфиденциальность данных

Ни протокол iSCSI, ни протокол FCIP не обеспечивают защиту передаваемых данных. Таким образом, если устрои?ство злоумышленника, способное перехватывать трафик, будет установлено на маршруте его передачи, то оно сможет прослушивать все данные хранилища, передаваемые по данному соединению. Исходя из этого рабочая группа IP Storage комиссии IETF разработала концепцию обеспечения безопасности каналов связи с хранилищами, использующих протокол IP. Если сеть передачи данных не является довереннои?, комиссия IETF настоятельно рекомендует использовать для передачи данных протокол IPSec, который позволяет обеспечить шифрование и дешифрование данных IPSec с использованием алгоритмов AES и 3DES на скорости среды передачи.

Рассмотрим кратко возможные угрозы и сложности, возникающие при виртуализации приложении? и переходе к облачным средам.

· Мобильность нагрузок. Виртуализация серверов позволяет приложениям перемещаться между серверами и даже между удаленными ЦОД и облачными средами. Такая мобильность увеличивает сложность того уровня сети, который отвечает за безопасность. Обычно он работает с неподвижными ресурсами и статичными частными сетями при реализации политик безопасности. Гибкость перемещения политик безопасности в соответствии с изменением виртуальных рабочих нагрузок является сложной задачей.

· Увеличение числа точек атак. В результате виртуализации серверов возникают новые точки атаки, в частности, на уровне виртуализации, включая гипервизор, среду виртуальных машин и программные коммутаторы, заменяющие физические коммутаторы уровня контроля доступа в сети. Появление этих дополнительных слоев увеличило число уязвимых мест ЦОД. Действительно, по своеи? сути уровень виртуализации хуже защищен по сравнению с физическими устрои?ствами из-за отсутствия физического разделения и особенностеи?, связанных с большим числом пользователеи?.

· Большое число пользователеи?. В то время как в небольших распределенных центрах обработки данных размещается малое число приложении? или поддерживается одна организация, в современных консолидированных ЦОД и облачных средах часто работают разные группы пользователеи?, которым требуется полное разделение сетевого трафика и строгие политики контроля доступа, даже если их физические серверы и сетевая инфраструктура являются общими. Такие же требования относятся и к частным виртуальным центрам обработки данных и частным облачным средам, в которых внутренним пользователям необходимо разделение.

· Ограничения виртуальных локальных сетеи?. В физических локальных сетях для разделения групп пользователеи? и ресурсов в основном используются виртуальные сети. Такое решение непригодно для виртуальных ЦОД, поскольку, как правило, приложения не могут перемещаться между виртуальными сетями. В результате исчезает основное преимущество виртуализации - возможность использования любого доступного ресурса в центре. Поэтому возникает необходимость в новых средствах разделения сетеи? и обеспечения безопасности.

· Разделение обязанностеи? при администрировании ЦОД. В информационных технологиях принято строгое распределение ответственности между администраторами серверов, администраторами сетеи? и службои? безопасности. Виртуализация серверов усложнила такое разделение труда, поскольку те, кто работает с серверами, как правило, взяли на себя вопросы обслуживания сетеи? и обеспечения безопасности уровня виртуализации, закрепленного за серверами и средои? виртуальных машин. Необходимы средства, позволяющие использовать функции групп безопасности и единообразные политики безопасности на уровне виртуализации.

· Размер и сложность консолидированных ЦОД. Консолидация привела к возникновению проблем с масштабированием и сложностью, которые ограничивают ИТ-персонал при разработке и внедрении политик безопасности с соответствующими решениями, а также при организации работы с ними.

Проблемы, возникающие с виртуализациеи? ЦОД, вынудили организации пересмотреть порядок внедрения решении? для обеспечения сетевои? безопасности. Для реализации эффективного подхода по обеспечению многоуровневои? безопасности необходимо развернуть ряд дополняющих друг друга сервисов безопасности в соответствующих точках сети ЦОД. Ниже перечислены наилучшие общие подходы к проектированию сетеи? ЦОД, основные требования к решениям для обеспечения сетевои? безопасности и роли каждого из сервисов безопасности.

· Защита ЦОД от неавторизованных пользователеи? и внешних атак. Для обеспечения безопасности ЦОД сначала нужно отделить его от всего неавторизованного входящего и исходящего трафика, проходящего по локальнои? сети. Необходимо предусмотреть динамическии? межсетевои? экран перед ЦОД или большую группу ресурсов серверов общего пользования (front-end), которые могут блокировать весь трафик, идущии? из неавторизованных источников по неверным адресам в ЦОД.

· Предотвращение вторжении? и сдерживание вредоносного ПО. Нормальныи? трафик, входящии? в ЦОД, может содержать вредоносное ПО, в том числе троянские программы, вирусы и черви. Для их предупреждения можно использовать систему предотвращения вторжении? с достаточнои? производительностью и возможностью масштабирования всего трафика на входе в ЦОД или в ряде точек внутри него. Это может обоснованно гарантировать отсутствие угроз во всем трафике ЦОД и виртуальных машинах. Есть небольшая вероятность того, что такое вредоносное ПО будет атаковать другие виртуальные машины, если они будут отделены от приложении? в других надежных зонах виртуальным межсетевым экраном.

· Защита границы сети пользователеи? проверенным межсетевым экраном. Нужно использовать проверенные средства защиты для физическои? среды в виртуальных и облачных средах. Обеспечение безопасности отдельных подразделении? или зон пользователеи? мощными средствами защиты периметра повысит защищенность обмена данными между пользователями.

· Закрепление виртуальных машин за разделенными надежными зонами и реализация политик контроля доступа . Внутри ЦОД следует использовать политики безопасности, изолирующие обмен данными между группами приложении?. Это исключит доступ пользователеи? и сервисов одного приложения к приложениям в других надежных зонах при отсутствии разрешения. Такои? уровень контроля доступа и логическои? изоляции обеспечивают межсетевые экраны. Но раньше эти функции нельзя было ввести на уровне виртуальных машин, в том числе для изоляции машин, работающих на одном сервере. Межсетевые экраны физических сетеи? не воспринимали виртуальные машины в качестве отдельных элементов сети. Теперь возможно применение средств детального контроля с использованием виртуального шлюза безопасности.

· Централизованное управление политиками. Формирование профилеи? безопасности на основе шаблонов может упростить разработку и внедрение политик безопасности, а также управление ими.

· Поддержка мобильности виртуальных машин. При закреплении политик безопасности за виртуальными машинами или виртуальных машин за надежными зонами такие политики должны перемещаться внутри ЦОД, отслеживая перемещение виртуальных машин между серверами. Поскольку межсетевои? экран работает вне виртуальнои? машины, при реализации такои? мобильности возникли серьезные сложности.

· Безопасныи? доступ к виртуализированным ЦОД и приложениям. Технлогии VPN являются надежным средством подключения внешних пользователеи? напрямую к основным сервисам, особенно в общедоступнои? облачнои? среде, использующеи? серверы веб-приложении?. Обычно шлюз VPN считается надежным шлюзом для доступа пользователеи? к локальнои? сети, но он также может обеспечивать безопасныи? доступ к основным серверам и приложениям ЦОД. Решения VPN для ЦОД практически всегда используются совместно с межсетевыми экранами. Они должны обеспечить тот же уровень возможностеи? масштабирования, эффективности работы, возможностеи? подключения и надежности, что и остальные элементы инфраструктуры ЦОД. Кроме того, решения VPN обеспечивают детальныи? контроль доступа к приложениям, размещенным в частном облаке ЦОД.

· Возможность масштабирования. Современные ЦОД и облачные сети сдерживают возможности масштабирования у организации?, которые увеличивают уровень консолидации и привлечения внешних исполнителеи? для резкого снижения затрат. Эта тенденция стала заметна недавно, поскольку крупные организации только начинают переходить к использованию частных облачных сред с размещением на собственных серверах и больших общедоступных облачных сред. Проваи?деры, обеспечивающие работу больших коммерческих облачных сред, уже создали отдельные ЦОД, каждыи? из которых охватывает десятки тысяч серверов, и глобальные облака с удаленными объектами из сотен тысяч серверов.

• Полная реализация преимуществ, получаемых за счет наличия дешевых ресурсов в оптимальном месте, требует возможности масштабирования сети на уровне L2, поскольку недостаточная расширяемость ограничивает область передачи нагрузки к определенному приложению. Вопросы масштабирования имеют особую важность для определения точек реализации политик безопасности, поскольку на них не должно влиять перемещение виртуальных приложении? между серверами, центрами обработки данных и элементами облачнои? инфраструктуры. Автоматизация внедрения сервисов и политик безопасности по мере развертывания приложении? внутри ЦОД определяет успех и экономическую эффективность развертывания облачнои? среды.

· Разделение обязанностеи? администраторов безопасности, сети и серверов. Виртуализация нагрузок приложении? и, в частности, сервисов безопасности создает дополнительные проблемы для ИТ-служб. По мере перехода сервисов безопасности из сети на виртуальные машины, работающие на серверах, вопросы внедрения политик безопасности и управления инфраструктурои? обеспечения безопасности передаются от администраторов сетеи? администраторам серверов. Даже при нормальнои? организации совместнои? работы корпоративные политики часто требуют строгого разделения обязанностеи? между этими группами специалистов. Это необходимо для сохранения полноты ответственности администраторов сетеи? за безопасность и управление работои? виртуальных устрои?ств. Управление развертыванием и внедрением виртуализированных средств обеспечения безопасности должно быть реализовано вне серверов. При этом они должны работать совместно с физическими устрои?ствами обеспечения безопасности с жестким разделением обязанностеи?.

Заключение

По результатам проведенного исследования можно сделать следующие выводы: