domingo, 28 de febrero de 2010

Seguridad en Redes de ALMACENAMIENTO (SAN)

Tradicionalmente en el mundo de las Redes de Almacenamiento (SAN) desde el punto de vista del protocolo Fibre Channel (FCP) las medidas de seguridad podian ser:

* Físicas: caso del Mapping, es decir la relación entre las diferentes LUNs de los DiskGroup definidos en el RAID hardware de las cabinas de discos de proposito general y los puertos de fibra del Storage Procesor de las mismas.

* Lógicas: caso del Masking, es decir la relación entre los WWPNs de las HBAs de los servidores con respecto a los LUNs (previamente mapeados en el Mapping) de las cabinas de discos; como desde el lado del Switch al realizar el Zonning, es decir la relación entre los distintos puertos de fibra de las cabinas y de los servidores ó mediante la relación de los WWPNs de las HBAs de los servidores y los WWPNs de los puertos de fibra de las cabinas.

Sin embargo, actualmente se esta produciendo un importante avance en la convergencia de las Redes de Almacenamiento al mundo TCP/IP, es decir al de las Redes de Datos. Este es el caso del protocolo Fibre Channel over Ethernet (FCoE) como de iSCSI. En el primer caso (debido a que se trata en todo momento de Ethernet) el equivalente al Zonning en el lado del Switch sería realizar el establecimiento de VLANs a Nivel II (MAC), es decir similar a la segmentación física de los dominios de broadcast tal y como se realiza a nivel físico en las Redes de Datos.

En el segundo caso, iSCSI funciona igualmente bajo Ethernet con lo cual la seguridad física se implementaría del mismo modo citado anteriormente para FCoE, en el lado del Switch. La diferencia aparece en el lado de las cabinas de discos de tipo iSCSI desde el punto de vista de la seguridad lógica. Es posible definir el Masking, es decir establecer una relación entre los IQNs de los Servidores y los LUNs que sirven las cabinas de discos y por otro lado posibilita igualmente el realizar autenticación CHAP unidireccional ó bidireccional (tanto en el lado del target como en el del initiator).

En esta ultima linea, adjunto los diferentes pantallazos de la realización de dichas medidas de seguridad en una SAN de tipo iSCSI, teniendo en cuenta la cabina de discos esta basada en ZFS como gestor de discos (RAID Z con doble paridad) y de volumenes dinamicos implementando de serie importantes funcionalidades como es el caso de ILM en cuanto al reparto de las caches de lectura y escritura, deduplicación en origen, replicación asincrona y thin provisioning al margen de otras ya citadas anteriormente en este blog.

Tal y como se puede apreciar, desde el punto de vista de los servidores (los cuales tienen acceso a los diferentes LUNs que sirve la cabina de discos iSCSI, de forma selectiva) se han realizado las pruebas con los sistemas operativos mas comunes y utilizados en este momento como es el caso de MS Windows 2008 Server R2, CentOS Linux 5.4, Sun Solaris 10u8 y OSX 10.4.11.

De forma similar se podrian implantar igualmente las medidas de seguridad lógica descritas en el caso concreto de entornos basados en la Virtualización de Servidores utilizando los hypervisores mas demandados en el mercado como es el caso de VMWare vSphere (ESX v3.5/4), Citrix XenServer (v5.0/5.5) y RHEV.

2 comentarios:

  1. bueno como observación, conocimiento por ambas partes me gustaria argumentarte lo siguiente:

    Cuando pretendes definir en un Switch una zona existen dos modos:

    1.- Modo disposición por puerto

    donde generas la relación de la capa host y la capa storage mediante el INDEX de conexión (física) en el SW.

    2.- Modo disposición por pwwn.

    Aqui la asociación en el SW la realizas por el identficador PWWN.

    Donde quiero llegar con esto es que lo que defines por capa física a nivel de seguridad yo entiendo cualquier manipulación que se pudiera realizar dentro de un CPD asi que en el caso 1. si defines de esta forma las zonas "cualquiera" puede tener visión de los discos "asociados al port del SW" teniendo una HBA en un equipo.

    Luego podriamos debatir cual de los dos metodos para definir una zona es el mas optimo.

    Animo con el blog lo he visto hoy, es interesante.

    saludos

    paxinty

    ResponderEliminar
  2. Respecto a iSCSI, estrictamente hablando, corre sobre IP, con lo cual, además de las características de seguridad propias de iSCSI (autenticanción, por ejemplo) puedes aplicar las eternas ACL's a nivel 3, e incluso cifrar el tráfico (IPSEC). También añadir que en los protocolos que mencionas (y en otros, como AOE - ATA Over Ethernet) son aplicables todas las medidas de seguridad orientadas a nivel 2 (incluyendo 802.1x) o incluso las Private VLANS.

    También NPIV, especialmente útil en entornos virtuales, ofrece cierto nivel de seguridad y aislamiento y seguridad en entornos fibre channel.

    Un saludo.

    J. L. Medina.

    ResponderEliminar