با طرز کارکرد شبکه ذخیره‌سازی (SAN) و روش های تامین امینت آن بیشتر آشنا شوید

شبکه ذخیره‌سازی (Storage area network) SAN یه نوع فناوریه که کاربران از طریق اون می‌تونن با عملکرد بالا و تأخیر کم به فضای ذخیره‌سازی دسترسی داشته باشن. SAN ترکیبی از سرورها و فضای ذخیره‌سازی است که با تأخیر کم و سرعت بالا به هم متصل هستن و کلاینت‌ها می‌تونن از طریق اتصالات Fibre Channel به volume فضای ذخیره‌سازی دسترسی پیدا کنن و تا حد امکان عملکرد سریعی داشته باشن. علاوه بر این، ممکنه SAN به یک شبکه مجزا و خصوصی اترنت بین سرور و کلاینت‌ها نیاز داشته باشه تا ترافیک درخواست فایل رو برای عملکرد هرچه بهتر از شبکه Fibre Channel دور نگه داره.

---

عاملان تهدیدات سایبری نظیر گروه‌های باج افزاری، شبکه‌های ذخیره‌سازی رو هدف قرار می‌دن چون داده‌هایی که در این شبکه‌ها ذخیره شده که برای شرکت ارزش زیادی داره. نشت این داده‌ها علاوه بر اینکه به لحاظ مادی به نفع هکرها هست، می‌تونه شهرت و اعتبار شرکت رو هم خدشته‌دار کنه. اقدامات امنیتی SAN به شرکت‌ها کمک می‌کنه تا مجدداً کنترل اطلاعات حساسشون ، مثل اطلاعات احتصاصی و اطلاعات مشتریان، رو به دست بگیرن.

---

معر‌فی شبکه ذخیره‌سازی (SAN)

شبکه‌های ذخیره‌سازی (SAN) دستگاه‌های ذخیره‌سازی فیزیکی رو در یک pool منطقی به هم متصل می‌کنه و بدین ترتیب، اپلیکیشن‌ها و کاربرها می‌تونن به داده‌هایی که در دستگاه‌ها ذخیره شدن دسترسی داشته باشن. SANها خیلی مفید هستن چون داده‌هایی که در چند تا موقعیت جغرافیایی مختلف قرار دارن رو یک جا جمع می‌کنن. اگر شرکتی تو دو تا دیتاسنتر آرایه‌های flash داشته باشه، مثلا یکی در اسکاتلند و یکی در نیوزیلند، ممکنه برای دسترسی به داده‌های مشتریان که در دستگاه‌های این دو تا دیتاسنتر ذخیره شدن به نرم‌افزار (Customer relationship management)CRM نیاز پیدا کنه. SAN انجام این کار رو براشون ممکن می‌کنه.

SAN راهکار انعطاف‌پذیریه و چندین کاربر می‌تونن در حوزه‌هایی مثل ادیت ویدئو یا سرورهای چند کاربرده، به صورت مشترک و همزمان به فضای ذخیره‌سازی مشترک دسترسی داشته باشن. Volumeهای SAN ترکیبی از کلاینت‌ها، سرور SAN و فضای ذخیره‌سازی در شبکه Fibre Channel هستن که به صورت یک هارد دیسک واقعی عمل می‌کنن. ترافیک فضای ذخیره‌سازی در Fibre Channel از مشکلات مربوط به تأخیر و ایجاد packetهای TCP/IP و هم‌چنین ترافیک شبکه محلی جلوگیری می‌کنه و مطمئن می‌شه با بالاترین سرعت می‌شه به رسانه‌ها و داده‌های ذخیره شده حساس دسترسی داشت.

---

امنیت SAN چیست ؟

SAN امنیت شبکۀ درایوهای هارد دیسک (HDD)، درایوهای حالت جامد (SSD)، آرایۀ چندگانه دیسک‌هاس مستقل (RAID) و سرورهای شرکت رو تأمین می‌کنه. SAN برای تأمین امنیت این شبکه اقداماتی مثل پیکربندی مناسب شبکه، کنترل‌های دسترسی(access controls) و رمزگذاری(encryption) رو به کار می‌بنده.

امنیت‌ شبکه‌های ذخیره‌سازی خیلی مهمه چون سازمان‌ها ممکنه اطلاعات حساس‌شون و داده‌های شخصی مشتریاشون رو در این شبکه‌ها ذخیره کنن. SANها ممکنه از ده‌ها هزار دستگاه ذخیره‌سازی به داده‌ها دسترسی پیدا کنن.

در ضمن، شرکت‌ها باید از قانون و مقررات زیادی در زمینه حفاظت از داده‌ها و حریم خصوصی داده‌ها تبعیت کنن. اگر یکی از نهادهای نظارتی متوجه بشه شرکتی اقدامات پایه رو برای حفاظت از SAN انجام نمی‌ده، می‌تونه اون رو به نشت اطلاعات متهم کنه. کسب‌وکارها عمدتاً موظفن اگر اطلاعاتشون نشت پیدا کرد و این اطلاعات مشتریاشون رو تحت تأثیر قرار می‌ده، اونا رو در جریان این اتفاق بذارن.

امنیت SAN، هم IP و هم شبکه‌های (fibre channel) FC رو در بر می‌گیرد:

• iSCSI (که یک پروتکل مبتنی بر IP هست) برای ارسال داده‌ها از TCP/ICP استفاده می‌کنه؛ این پروتکل‌ها این امکان رو برای iSCSI فراهم می‌کنن تا در چند تا شبکه اجرا بشه اما در همون حال باعث می‌شن که iSCSI آسیب‌پذیر بشه.

  ---

• شبکه‌های مبتنی بر IP در معرض جعل (spoofing) آدرس IP و حمله‌های انکار سرویس (DoS) قرار دارن.

  ---

• هرچند به نظر می‌رسه شبکه FC ایمن‌تر است، اما هنوز هم به یک سری اقدامات امنیتی نیاز داره.

  ---

• حتی اگر شبکۀ FC به بک شبکۀ IP وصل بشه، در معرض آسیب‌‌پذیری‌های IP هم قرار می‌گیره.

  ---

• شبکه‌های FC هم مثل شبکه‌های دیگه باید کنترل‌های دسترسی سفت و سختی داشته باشه.

---

معرفی NAS

NAS یه دستگاه ذخیره‌سازیه که فایل‌ها رو از طریق اترنت ارسال می‌کنه و قیمتش هم تقریباً ارزونه و راه‌اندازیش هم آسون. SAN شبکه‌ای متشکل از چند تا دستگاهه که قیمت قابل توجهی داره و همچنین راه‌اندازی و مدیریتش هم سختی‌های خودش رو داره. از دید کاربران بزرگ‌ترین تفاوت SAN و NAS در اینه که دستگاه‌های NAS فضای ذخیره‌سازی مشترک رو در قالب volumeهایی ارائه می‌دن که در شبکه نصب شدن و از پروتکل‌هایی مثل NFS و SMB/CIFS استفاده می‌کنن اما دیسک‌های متصل به SAN به صورت درایوهای محلی در اختیار کاربران قرار می‌گیرن.

NAS یه کامپیوتر متصل به شبکه متصل است که به صورت یک فضای ذخیره‌سازی داده (به صورت فایل) برای سایر دستگاه‌های موجود در شبکه عمل می‌کنه. بزرگ‌ترین نقطه قوت NAS اینه که راه‌اندازی و استقرارش خیلی آسونه. Volumeهای NAS در قالب volumeهایی به کاربر ارائه می‌شن که در شبکه نصب شدن. این فایل‌ها معمولاً داخل یک یا بیشتر از یک هارد دیسک سیستم قرار دارن و اغلب به صورت آرایه‌های RAID سازمان‌دهی می‌شن. به طور کلی، هر چه تعداد بیشتری drive bay در NAS وجود داشته باشه، گزینه‌های بیشتر و انعطاف‌پذیرتری برای ذخیره‌سازی دارین. دستگاه خودش یک node در شبکه است، شبیه کامپیوترها و سایر دستگاه‌های TCP/IP که همه آدرس‌های IP مخصوص به خودشون رو دارن؛ سرویس فایل NAS فایل‌ها رو از طریق شبکه اترنت ارسال و دریافت می‌کنه.

---

هدف همیشگی حملات، SANها هستند

از اونجایی‌که داده‌ها در شبکه‌های ذخیره‌سازی ذخیره می‌شن، SANها به طور خودکار در معرض حملات قرار دارن. شرکت‌ها با تکیه بر SANها می‌تونن policyهای یکسانی رو برای چند تا دستگاه و آرایه که در جاهای مختلف قرار دارن اعمال کنن و بدین ترتیب SAN بهشون کمک می‌کنه تا فضای ذخیره‌سازی‌شون رو بهتر مدیریت کنن. اما برای اینکه این فضای ذخیره‌سازی ایمن باشه، شرکت‌ها باید به طور مداوم اقدامات امنیتی در کل شبکه‌شون انجام بدن.

---

انواع امنیت شبکه ذخیره‌سازی (SAN)

شرکت‌ها می‌تونن از انواع مختلف امنیت SAN برای ایمن‌سازی اجزای فیزیکی و دیجیتال شبکه‌شون استفاده کنن. برای مثال، امنیت سخت‌افزارهایی مثل روترها باید تأمین بشه، اما ایمن‌سازی کنسول‌های مدیریت شبکه هم به همون اندازه اهمیت داره. امنیت صحیح SAN تمامی اجزای زیرساخت‌های ذخیره‌سازی (از جمله بازیابی اطلاعات در صورت موفقیت حمله) رو شامل می‌شه.

---

امنیت فیزیکی شبکه ذخیره‌سازی (SAN)

اجزای فیزیکی SAN شامل محل شرکت، دستگاه‌های ذخیره‌سازی، سوییچ‌های شبکه، روترها و سخت‌افزارهای دیگه می‌شه.

SANها شامل سوییچ‌های فیزیکی شبکه و اتصال به سیستم‌های فیزیکی ذخیره‌سازی می‌شه. امنیت این اجزای شبکه، به علاوۀ hard driveها و آرایه‌های flash باید تأمین بشه.

حفاظت فیزیکی به این معنیه که فقط افراد مجاز اجازۀ ورود به تأسیسات رو داشته باشن. منظور از تأسیسات هم جاهایی هست که دستگاه‌های شبکه‌ ذخیره‌سازی، سخت‌افزار شبکه یا کامپیوترهایی که به SAN دسترسی دارن در اون قرار دارن. در مورد تمامی مدیران و ادمین‌های فضای ذخیره‌سازی باید تحقیقات جامع انجام بشه و قبل از دریافت کنترل‌های دسترسی به فضاهای ذخیره‌سازی موجود در SAN باید سوابق‌شون بررسی بشه.

---

امنیت دیجیتال شبکه ذخیره‌سازی (SAN)

کنترل‌های دسترسی در تمامی سطوح SAN و هم‌چنین نقاط ورود باید پیاده‌سازی بشن. فناوری امنیت Zero-trust در این مورد یک فناوری کلیدی محسوب می‌شه. فناوری Zero-trust رویکردی برای تأمین امنیت شبکه است که قبل از هر مرحله کاربران رو استعلام می‌کنه. این فناوری به جای اینکه به کاربران اجازه بده به محض دسترسی به SAN در شبکه پرسه بزنن، ازشون می‌خواد که اطلاعات کاربری ارائه بدن.

بهتره که شرکت‌ها برای SAN یک کنسول مرکزی مدیریت داشته باشن تا بتونن سوییچ‌ها و سخت‌افزارهای دیگه رو کنترل کنن، policy های رو اعمال کنن و در جریان حوادث احتمالی قرار بگیرن. نرم‌افزار سازمانی SAN برای رفتارهای غیرعادی مثل استفاده از شبکه در زمان‌های غیرعادی و تعداد غیرطبیعی درخواست برای دسترسی به شبکه نیاز به نظارت دقیق داره.

---

بازیابی داده شبکه ذخیره‌سازی (SAN)

کسب‌وکارها علاوه بر اقدامات امنیتی پیش‌گیری کننده به یک استراتژی برای بازیابی داده‌ها هم نیاز دارن که اگه زمانی حادثه‌ای پیش اومد و یا بهشون حمله سایبری شد بتونن از اون استفاده کنن. البته به گفتۀ مایک پیولی(Mike Peavley)، معاون ارشد Global Services در شرکت Panzura، دست‌یابی به این قابلیت سختی‌های خودش رو داره.

با توجه به اینکه بازیابی یک چالش اساسی است، شرکت‌ها باید برنامه‌های جامعی برای مواقعی تدوین کنن که اطلاعات‌شون نشت پیدا می‌کنه یا در معرض حملات باج‌افزاری قرار می‌گیرن. سازمان‌ها باید مشخص کنن قبل از اینکه به کسب‌وکارشون خسارت مالی وارد بشه، دستگاه‌هاشون چه مدت می‌تونن (downtime) خاموش باشن. اگر تایم لاین استاندارد بازیابی SAN طولانی‌تر از مدت زمان لازم جهت بازیابی RTO (Recovery Time Objective) سازمان باشه، خسارت‌های مالی جبران ناپذیری به کسب‌وکار وارد می‌شه.

---

اجزای کلیدی امنیت SAN

کسب‌وکارها برای تأمین امنیت SAN باید از پروتکل‌های امن شبکه استفاده کنن، هم کاربران و هم فناوری SAN رو احراز هویت کنن و از فضای ذخیره‌سازی‌شون بک‌آپ بگیرن. چنین فناوری‌هایی این اطمینان رو به کسب‌وکارها می‌دن که افراد مجاز از پروتکل‌های صحیح استفاده می‌کنن و علاوه بر اون، اگه فضای ذخیره‌سازی شبکه به خطر افتاد اقدامات امنیتی اضافی از قبل انجام شده.

---

کنترل‌های دسترسی

کنترل‌های دسترسی شبکه توانایی کاربر در بازبینی و و ویرایش پیکربندی‌ها و هم‌چنین داده‌های ذخیره شده در SAN رو محدود می‌کنن. تیم‌های IT و ذخیره‌سازی اگر دسترسی به شبکه رو فقط به افرادی محدود کنن که برای انجام کارشون بهش نیاز دارن، می‌تونن از دسترسی غیرمجاز، سرقت اطلاعات کاربری و سوءرفتار نیروهای سازمان جلوگیری کنن.

---

گواهی‌های دیجیتال

سوییچ‌هایی که به SAN وصل می‌شن، قبل از اینکه بهشون اجازه دسترسی به شبکه داده بشه باید یک گواهی دیجیتال ارائه بدن و اصالتشون تأیید بشه. این کار احتمال حملات جعل سوییچ(Switch spoofing attacks) رو کاهش می‌ده. در این نوع حملای یک سیستم مخرب رو به جای یک سوییچ شبکۀ معتبر جا می‌زنن.

---

پروتکل‌های شبکه

پروتکل‌هایی نظیر (Secure Socket Layer) SSL به شرکت‌ها کمک می‌کنن تا از SANهایی که به اینترنت متصل هستند، محافظت کنن. سایر پروتکل‌ها عبارتند از: Secure File Transfer Protocol (SFTP) که برای ایمن‌سازی فرایند ارسال فایل‌ها از رمزگذاری استفاده می‌کنه و همچنین Simple Network Management Protocol (SNMP) که به کمک اون می‌شه رفتار شبکه رو کنترل کرد.

---

پشتیبان‌گیری

در صورتی‌که سایر اقدامات امنیتی با شکست مواجه شد یا کسب‌وکار تعطیل شد، از تمامی داده‌های SAN باید backup گرفته بشه. سازمان‌ها باید بک‌آپ‌ها رو به نحوی ایمن ذخیره کنن، برای مثال، تمامی کپی‌هایی که از داده‌های بک‌آپ گرفته شده باید رمزگذاری بشن و حداقل دو تا از این کپی‌ها باید در دو جای مختلف ذخیره بشن.

---

آموزش کارکنان

تمامی نیروهایی که کارشون شبکه‌ها، سیستم‌های ذخیره‌سازی یا فرایندهای IT رو تحت تأثیر قرار می‌ده باید در زمینه امنیت سایبری آموزش ببینن. برخی از این آموزش‌ها عبارتند از:

• افزایش آگاهی در زمینه مهندسی اجتماعی ( نظیر لینک‌های مشکوک در ایمیل و پیام‌های متنی)

  ---

• سیاست‌های Bring Your Own Device (BYOD) یا Shadow IT

  ---

• تأمین امنیت مکان‌های فیزیکی (از جمله کارت‌های کلید و مأموران امنیتی)

هرچه تیم‌های IT و ذخیره‌سازی بیشتر در مورد تهدیدات امنیتی و آسیب‌پذیری‌ها اطلاع‌رسانی کنن، بیشتر شفافیت رو به عنوان یک فرهنگ تیمی پرورش می‌دن. این کار باعث می‌شه امکان کاهش امنیت یا حتی سرقت اطلاعات داخلی کاهش پیدا کنه.

---

مزایای استفاده از SAN را بشناسید

از اونجایی که این فن‌آوری پیچیده‌تر و گران‌تر از NAS است، معمولاً شرکت‌ها بزرگ از SAN استفاده می‌کنن و لازمه که تیم‌های IT بر اون نظارت داشته باشن. این فن‌آوری به خاطر سرعت بالا و تأخیر کم در حوزه‌هایی مثل ادیت ویدئو خیلی کارایی داره.

بزرگ‌ترین نقطه قوت SAN اینه که کاربران می‌تونن به صورت همزمان به فضای ذخیره‌سازی اشتراکی دسترسی داشته باشن که با افزودن کنترلرهای فضای ذخیره‌سازی سریع‌تر هم می‌شه. برای مثال، صدها ادیتور ویدئو می‌تونن به صورت همزمان از  فضای ذخیره‌سازی 10s GB/s استفاده کنن. به همین دلیل، SAN به صورت گسترده در محیط‌های اشتراکی تولید ویدئو مورد استفاده قرار می‌گیره.

مزایای SAN:

• دسترسی سریع به داده‌ها با تأخیر کم

  ---

• کاهش ترافیک شبکه محلی

  ---

• امکان افزایش مقیاس

  ---

• دسترسی به فایل‌ها در سطح OS

  ---

• اغلب تنها راهکار مناسب برای حوزه‌هایی است که کاربران باید به صورت همزمان دسترسی مشترک به فضای ذخیره‌سازی داشته باشن.

---

محدودیت SAN

عیب SAN در قیمت و نیاز به نظارت بر اون است: به عبارت دیگه، باید یک شبکه اترنت مجزا برای درخواست‌ فایل‌های متادیتا داشت و یک شبکه Fibre Channel هم باید راه‌اندازی کرد که خیلی می‌تونه هزینه‌بر باشه. اما، SAN اغلب تنها راهکار برای مواقعی است که کاربران باید به صورت همزمان و سریع به داده‌ها دسترسی دشته باشن و میشه مقیاسش رو به صدها کاربر افزایش داد.

جمع‌بندی

به دلیل حجم زیاد داده‌های سازمانی که در SANها ذخیره می‌شه، کسب‌وکارها باید اقدامات امنیتی لازم برای محافظت از اونا رو انجام بدن. ماهیت شبکه‌های ذخیره‌سازی به این شکل هست که به هم متصل هستن. به عبارت دیگه، اگر یک دستگاه یا آرایه نشت پیدا کنه، دستگاه‌های دیگه هم در معرض ریسک قرار می‌گیرن.

اقدمات امنیتی برای تأمین امنیت SAN شامل این موارد می‌شه: پیاده‌سازی پروتکل‌های امن شبکه، دسترسی محدود به کنترل‌های دسترسی در سطح سازمان و آموزش نیروهای شبکه، IT و ذخیره‌سازی. هرچند ایمن‌سازی محیط SAN دشواره، اما برای شرکت‌هایی که به دنبال حفاظت از داده‌هاشون هستن، ارزشش رو داره.