domingo, 28 de febrero de 2010

Seguridad en Redes de ALMACENAMIENTO (SAN)

Tradicionalmente en el mundo de las Redes de Almacenamiento (SAN) desde el punto de vista del protocolo Fibre Channel (FCP) las medidas de seguridad podian ser:

* Físicas: caso del Mapping, es decir la relación entre las diferentes LUNs de los DiskGroup definidos en el RAID hardware de las cabinas de discos de proposito general y los puertos de fibra del Storage Procesor de las mismas.

* Lógicas: caso del Masking, es decir la relación entre los WWPNs de las HBAs de los servidores con respecto a los LUNs (previamente mapeados en el Mapping) de las cabinas de discos; como desde el lado del Switch al realizar el Zonning, es decir la relación entre los distintos puertos de fibra de las cabinas y de los servidores ó mediante la relación de los WWPNs de las HBAs de los servidores y los WWPNs de los puertos de fibra de las cabinas.

Sin embargo, actualmente se esta produciendo un importante avance en la convergencia de las Redes de Almacenamiento al mundo TCP/IP, es decir al de las Redes de Datos. Este es el caso del protocolo Fibre Channel over Ethernet (FCoE) como de iSCSI. En el primer caso (debido a que se trata en todo momento de Ethernet) el equivalente al Zonning en el lado del Switch sería realizar el establecimiento de VLANs a Nivel II (MAC), es decir similar a la segmentación física de los dominios de broadcast tal y como se realiza a nivel físico en las Redes de Datos.

En el segundo caso, iSCSI funciona igualmente bajo Ethernet con lo cual la seguridad física se implementaría del mismo modo citado anteriormente para FCoE, en el lado del Switch. La diferencia aparece en el lado de las cabinas de discos de tipo iSCSI desde el punto de vista de la seguridad lógica. Es posible definir el Masking, es decir establecer una relación entre los IQNs de los Servidores y los LUNs que sirven las cabinas de discos y por otro lado posibilita igualmente el realizar autenticación CHAP unidireccional ó bidireccional (tanto en el lado del target como en el del initiator).

En esta ultima linea, adjunto los diferentes pantallazos de la realización de dichas medidas de seguridad en una SAN de tipo iSCSI, teniendo en cuenta la cabina de discos esta basada en ZFS como gestor de discos (RAID Z con doble paridad) y de volumenes dinamicos implementando de serie importantes funcionalidades como es el caso de ILM en cuanto al reparto de las caches de lectura y escritura, deduplicación en origen, replicación asincrona y thin provisioning al margen de otras ya citadas anteriormente en este blog.

Tal y como se puede apreciar, desde el punto de vista de los servidores (los cuales tienen acceso a los diferentes LUNs que sirve la cabina de discos iSCSI, de forma selectiva) se han realizado las pruebas con los sistemas operativos mas comunes y utilizados en este momento como es el caso de MS Windows 2008 Server R2, CentOS Linux 5.4, Sun Solaris 10u8 y OSX 10.4.11.

De forma similar se podrian implantar igualmente las medidas de seguridad lógica descritas en el caso concreto de entornos basados en la Virtualización de Servidores utilizando los hypervisores mas demandados en el mercado como es el caso de VMWare vSphere (ESX v3.5/4), Citrix XenServer (v5.0/5.5) y RHEV.