شبکه ذخیرهسازی (Storage area network) SAN یه نوع فناوریه که کاربران از طریق اون میتونن با عملکرد بالا و تأخیر کم به فضای ذخیرهسازی دسترسی داشته باشن. SAN ترکیبی از سرورها و فضای ذخیرهسازی است که با تأخیر کم و سرعت بالا به هم متصل هستن و کلاینتها میتونن از طریق اتصالات Fibre Channel به volume فضای ذخیرهسازی دسترسی پیدا کنن و تا حد امکان عملکرد سریعی داشته باشن. علاوه بر این، ممکنه SAN به یک شبکه مجزا و خصوصی اترنت بین سرور و کلاینتها نیاز داشته باشه تا ترافیک درخواست فایل رو برای عملکرد هرچه بهتر از شبکه Fibre Channel دور نگه داره.
عاملان تهدیدات سایبری نظیر گروههای باج افزاری، شبکههای ذخیرهسازی رو هدف قرار میدن چون دادههایی که در این شبکهها ذخیره شده که برای شرکت ارزش زیادی داره. نشت این دادهها علاوه بر اینکه به لحاظ مادی به نفع هکرها هست، میتونه شهرت و اعتبار شرکت رو هم خدشتهدار کنه. اقدامات امنیتی SAN به شرکتها کمک میکنه تا مجدداً کنترل اطلاعات حساسشون ، مثل اطلاعات احتصاصی و اطلاعات مشتریان، رو به دست بگیرن.
معرفی شبکه ذخیرهسازی (SAN)
شبکههای ذخیرهسازی (SAN) دستگاههای ذخیرهسازی فیزیکی رو در یک pool منطقی به هم متصل میکنه و بدین ترتیب، اپلیکیشنها و کاربرها میتونن به دادههایی که در دستگاهها ذخیره شدن دسترسی داشته باشن. SANها خیلی مفید هستن چون دادههایی که در چند تا موقعیت جغرافیایی مختلف قرار دارن رو یک جا جمع میکنن. اگر شرکتی تو دو تا دیتاسنتر آرایههای flash داشته باشه، مثلا یکی در اسکاتلند و یکی در نیوزیلند، ممکنه برای دسترسی به دادههای مشتریان که در دستگاههای این دو تا دیتاسنتر ذخیره شدن به نرمافزار (Customer relationship management)CRM نیاز پیدا کنه. SAN انجام این کار رو براشون ممکن میکنه.
SAN راهکار انعطافپذیریه و چندین کاربر میتونن در حوزههایی مثل ادیت ویدئو یا سرورهای چند کاربرده، به صورت مشترک و همزمان به فضای ذخیرهسازی مشترک دسترسی داشته باشن. Volumeهای SAN ترکیبی از کلاینتها، سرور SAN و فضای ذخیرهسازی در شبکه Fibre Channel هستن که به صورت یک هارد دیسک واقعی عمل میکنن. ترافیک فضای ذخیرهسازی در Fibre Channel از مشکلات مربوط به تأخیر و ایجاد packetهای TCP/IP و همچنین ترافیک شبکه محلی جلوگیری میکنه و مطمئن میشه با بالاترین سرعت میشه به رسانهها و دادههای ذخیره شده حساس دسترسی داشت.
امنیت SAN چیست ؟
SAN امنیت شبکۀ درایوهای هارد دیسک (HDD)، درایوهای حالت جامد (SSD)، آرایۀ چندگانه دیسکهاس مستقل (RAID) و سرورهای شرکت رو تأمین میکنه. SAN برای تأمین امنیت این شبکه اقداماتی مثل پیکربندی مناسب شبکه، کنترلهای دسترسی(access controls) و رمزگذاری(encryption) رو به کار میبنده.
امنیت شبکههای ذخیرهسازی خیلی مهمه چون سازمانها ممکنه اطلاعات حساسشون و دادههای شخصی مشتریاشون رو در این شبکهها ذخیره کنن. SANها ممکنه از دهها هزار دستگاه ذخیرهسازی به دادهها دسترسی پیدا کنن.
در ضمن، شرکتها باید از قانون و مقررات زیادی در زمینه حفاظت از دادهها و حریم خصوصی دادهها تبعیت کنن. اگر یکی از نهادهای نظارتی متوجه بشه شرکتی اقدامات پایه رو برای حفاظت از SAN انجام نمیده، میتونه اون رو به نشت اطلاعات متهم کنه. کسبوکارها عمدتاً موظفن اگر اطلاعاتشون نشت پیدا کرد و این اطلاعات مشتریاشون رو تحت تأثیر قرار میده، اونا رو در جریان این اتفاق بذارن.
امنیت SAN، هم IP و هم شبکههای (fibre channel) FC رو در بر میگیرد:
-
iSCSI (که یک پروتکل مبتنی بر IP هست) برای ارسال دادهها از TCP/ICP استفاده میکنه؛ این پروتکلها این امکان رو برای iSCSI فراهم میکنن تا در چند تا شبکه اجرا بشه اما در همون حال باعث میشن که iSCSI آسیبپذیر بشه.
-
شبکههای مبتنی بر IP در معرض جعل (spoofing) آدرس IP و حملههای انکار سرویس (DoS) قرار دارن.
-
هرچند به نظر میرسه شبکه FC ایمنتر است، اما هنوز هم به یک سری اقدامات امنیتی نیاز داره.
-
حتی اگر شبکۀ FC به بک شبکۀ IP وصل بشه، در معرض آسیبپذیریهای IP هم قرار میگیره.
-
شبکههای FC هم مثل شبکههای دیگه باید کنترلهای دسترسی سفت و سختی داشته باشه.
معرفی NAS
NAS یه دستگاه ذخیرهسازیه که فایلها رو از طریق اترنت ارسال میکنه و قیمتش هم تقریباً ارزونه و راهاندازیش هم آسون. SAN شبکهای متشکل از چند تا دستگاهه که قیمت قابل توجهی داره و همچنین راهاندازی و مدیریتش هم سختیهای خودش رو داره. از دید کاربران بزرگترین تفاوت SAN و NAS در اینه که دستگاههای NAS فضای ذخیرهسازی مشترک رو در قالب volumeهایی ارائه میدن که در شبکه نصب شدن و از پروتکلهایی مثل NFS و SMB/CIFS استفاده میکنن اما دیسکهای متصل به SAN به صورت درایوهای محلی در اختیار کاربران قرار میگیرن.
NAS یه کامپیوتر متصل به شبکه متصل است که به صورت یک فضای ذخیرهسازی داده (به صورت فایل) برای سایر دستگاههای موجود در شبکه عمل میکنه. بزرگترین نقطه قوت NAS اینه که راهاندازی و استقرارش خیلی آسونه. Volumeهای NAS در قالب volumeهایی به کاربر ارائه میشن که در شبکه نصب شدن. این فایلها معمولاً داخل یک یا بیشتر از یک هارد دیسک سیستم قرار دارن و اغلب به صورت آرایههای RAID سازماندهی میشن. به طور کلی، هر چه تعداد بیشتری drive bay در NAS وجود داشته باشه، گزینههای بیشتر و انعطافپذیرتری برای ذخیرهسازی دارین. دستگاه خودش یک node در شبکه است، شبیه کامپیوترها و سایر دستگاههای TCP/IP که همه آدرسهای IP مخصوص به خودشون رو دارن؛ سرویس فایل NAS فایلها رو از طریق شبکه اترنت ارسال و دریافت میکنه.
هدف همیشگی حملات، SANها هستند
از اونجاییکه دادهها در شبکههای ذخیرهسازی ذخیره میشن، SANها به طور خودکار در معرض حملات قرار دارن. شرکتها با تکیه بر SANها میتونن policyهای یکسانی رو برای چند تا دستگاه و آرایه که در جاهای مختلف قرار دارن اعمال کنن و بدین ترتیب SAN بهشون کمک میکنه تا فضای ذخیرهسازیشون رو بهتر مدیریت کنن. اما برای اینکه این فضای ذخیرهسازی ایمن باشه، شرکتها باید به طور مداوم اقدامات امنیتی در کل شبکهشون انجام بدن.
انواع امنیت شبکه ذخیرهسازی (SAN)
شرکتها میتونن از انواع مختلف امنیت SAN برای ایمنسازی اجزای فیزیکی و دیجیتال شبکهشون استفاده کنن. برای مثال، امنیت سختافزارهایی مثل روترها باید تأمین بشه، اما ایمنسازی کنسولهای مدیریت شبکه هم به همون اندازه اهمیت داره. امنیت صحیح SAN تمامی اجزای زیرساختهای ذخیرهسازی (از جمله بازیابی اطلاعات در صورت موفقیت حمله) رو شامل میشه.
امنیت فیزیکی شبکه ذخیرهسازی (SAN)
اجزای فیزیکی SAN شامل محل شرکت، دستگاههای ذخیرهسازی، سوییچهای شبکه، روترها و سختافزارهای دیگه میشه.
SANها شامل سوییچهای فیزیکی شبکه و اتصال به سیستمهای فیزیکی ذخیرهسازی میشه. امنیت این اجزای شبکه، به علاوۀ hard driveها و آرایههای flash باید تأمین بشه.
حفاظت فیزیکی به این معنیه که فقط افراد مجاز اجازۀ ورود به تأسیسات رو داشته باشن. منظور از تأسیسات هم جاهایی هست که دستگاههای شبکه ذخیرهسازی، سختافزار شبکه یا کامپیوترهایی که به SAN دسترسی دارن در اون قرار دارن. در مورد تمامی مدیران و ادمینهای فضای ذخیرهسازی باید تحقیقات جامع انجام بشه و قبل از دریافت کنترلهای دسترسی به فضاهای ذخیرهسازی موجود در SAN باید سوابقشون بررسی بشه.
امنیت دیجیتال شبکه ذخیرهسازی (SAN)
کنترلهای دسترسی در تمامی سطوح SAN و همچنین نقاط ورود باید پیادهسازی بشن. فناوری امنیت Zero-trust در این مورد یک فناوری کلیدی محسوب میشه. فناوری Zero-trust رویکردی برای تأمین امنیت شبکه است که قبل از هر مرحله کاربران رو استعلام میکنه. این فناوری به جای اینکه به کاربران اجازه بده به محض دسترسی به SAN در شبکه پرسه بزنن، ازشون میخواد که اطلاعات کاربری ارائه بدن.
بهتره که شرکتها برای SAN یک کنسول مرکزی مدیریت داشته باشن تا بتونن سوییچها و سختافزارهای دیگه رو کنترل کنن، policy های رو اعمال کنن و در جریان حوادث احتمالی قرار بگیرن. نرمافزار سازمانی SAN برای رفتارهای غیرعادی مثل استفاده از شبکه در زمانهای غیرعادی و تعداد غیرطبیعی درخواست برای دسترسی به شبکه نیاز به نظارت دقیق داره.
بازیابی داده شبکه ذخیرهسازی (SAN)
کسبوکارها علاوه بر اقدامات امنیتی پیشگیری کننده به یک استراتژی برای بازیابی دادهها هم نیاز دارن که اگه زمانی حادثهای پیش اومد و یا بهشون حمله سایبری شد بتونن از اون استفاده کنن. البته به گفتۀ مایک پیولی(Mike Peavley)، معاون ارشد Global Services در شرکت Panzura، دستیابی به این قابلیت سختیهای خودش رو داره.
به گفتۀ پیولی، «SANها علاوه بر دفاع در مقابل باجافزارها در بازیابی دادهها هم به مشکلات خاصی برمیخورن. حتی اگه بکآپ هم گرفته باشین، بازیابی یک SAN سازمانی با اندازۀ معمول هم ممکنه هفتهها طول بکشه. این کار ممکنه موجب ورشکستگی شرکتهای مدرنی بشه که برای انجام کارهاشون به دادهها وابسته هستن.»
با توجه به اینکه بازیابی یک چالش اساسی است، شرکتها باید برنامههای جامعی برای مواقعی تدوین کنن که اطلاعاتشون نشت پیدا میکنه یا در معرض حملات باجافزاری قرار میگیرن. سازمانها باید مشخص کنن قبل از اینکه به کسبوکارشون خسارت مالی وارد بشه، دستگاههاشون چه مدت میتونن (downtime) خاموش باشن. اگر تایم لاین استاندارد بازیابی SAN طولانیتر از مدت زمان لازم جهت بازیابی RTO (Recovery Time Objective) سازمان باشه، خسارتهای مالی جبران ناپذیری به کسبوکار وارد میشه.
اجزای کلیدی امنیت SAN
کسبوکارها برای تأمین امنیت SAN باید از پروتکلهای امن شبکه استفاده کنن، هم کاربران و هم فناوری SAN رو احراز هویت کنن و از فضای ذخیرهسازیشون بکآپ بگیرن. چنین فناوریهایی این اطمینان رو به کسبوکارها میدن که افراد مجاز از پروتکلهای صحیح استفاده میکنن و علاوه بر اون، اگه فضای ذخیرهسازی شبکه به خطر افتاد اقدامات امنیتی اضافی از قبل انجام شده.
کنترلهای دسترسی
کنترلهای دسترسی شبکه توانایی کاربر در بازبینی و و ویرایش پیکربندیها و همچنین دادههای ذخیره شده در SAN رو محدود میکنن. تیمهای IT و ذخیرهسازی اگر دسترسی به شبکه رو فقط به افرادی محدود کنن که برای انجام کارشون بهش نیاز دارن، میتونن از دسترسی غیرمجاز، سرقت اطلاعات کاربری و سوءرفتار نیروهای سازمان جلوگیری کنن.
گواهیهای دیجیتال
سوییچهایی که به SAN وصل میشن، قبل از اینکه بهشون اجازه دسترسی به شبکه داده بشه باید یک گواهی دیجیتال ارائه بدن و اصالتشون تأیید بشه. این کار احتمال حملات جعل سوییچ(Switch spoofing attacks) رو کاهش میده. در این نوع حملای یک سیستم مخرب رو به جای یک سوییچ شبکۀ معتبر جا میزنن.
پروتکلهای شبکه
پروتکلهایی نظیر (Secure Socket Layer) SSL به شرکتها کمک میکنن تا از SANهایی که به اینترنت متصل هستند، محافظت کنن. سایر پروتکلها عبارتند از: Secure File Transfer Protocol (SFTP) که برای ایمنسازی فرایند ارسال فایلها از رمزگذاری استفاده میکنه و همچنین Simple Network Management Protocol (SNMP) که به کمک اون میشه رفتار شبکه رو کنترل کرد.
پشتیبانگیری
در صورتیکه سایر اقدامات امنیتی با شکست مواجه شد یا کسبوکار تعطیل شد، از تمامی دادههای SAN باید backup گرفته بشه. سازمانها باید بکآپها رو به نحوی ایمن ذخیره کنن، برای مثال، تمامی کپیهایی که از دادههای بکآپ گرفته شده باید رمزگذاری بشن و حداقل دو تا از این کپیها باید در دو جای مختلف ذخیره بشن.
آموزش کارکنان
تمامی نیروهایی که کارشون شبکهها، سیستمهای ذخیرهسازی یا فرایندهای IT رو تحت تأثیر قرار میده باید در زمینه امنیت سایبری آموزش ببینن. برخی از این آموزشها عبارتند از:
-
افزایش آگاهی در زمینه مهندسی اجتماعی ( نظیر لینکهای مشکوک در ایمیل و پیامهای متنی)
-
سیاستهای Bring Your Own Device (BYOD) یا Shadow IT
-
تأمین امنیت مکانهای فیزیکی (از جمله کارتهای کلید و مأموران امنیتی)
هرچه تیمهای IT و ذخیرهسازی بیشتر در مورد تهدیدات امنیتی و آسیبپذیریها اطلاعرسانی کنن، بیشتر شفافیت رو به عنوان یک فرهنگ تیمی پرورش میدن. این کار باعث میشه امکان کاهش امنیت یا حتی سرقت اطلاعات داخلی کاهش پیدا کنه.
مزایای استفاده از SAN را بشناسید
از اونجایی که این فنآوری پیچیدهتر و گرانتر از NAS است، معمولاً شرکتها بزرگ از SAN استفاده میکنن و لازمه که تیمهای IT بر اون نظارت داشته باشن. این فنآوری به خاطر سرعت بالا و تأخیر کم در حوزههایی مثل ادیت ویدئو خیلی کارایی داره.
بزرگترین نقطه قوت SAN اینه که کاربران میتونن به صورت همزمان به فضای ذخیرهسازی اشتراکی دسترسی داشته باشن که با افزودن کنترلرهای فضای ذخیرهسازی سریعتر هم میشه. برای مثال، صدها ادیتور ویدئو میتونن به صورت همزمان از فضای ذخیرهسازی 10s GB/s استفاده کنن. به همین دلیل، SAN به صورت گسترده در محیطهای اشتراکی تولید ویدئو مورد استفاده قرار میگیره.
مزایای SAN:
-
دسترسی سریع به دادهها با تأخیر کم
-
کاهش ترافیک شبکه محلی
-
امکان افزایش مقیاس
-
دسترسی به فایلها در سطح OS
-
اغلب تنها راهکار مناسب برای حوزههایی است که کاربران باید به صورت همزمان دسترسی مشترک به فضای ذخیرهسازی داشته باشن.
محدودیت SAN
عیب SAN در قیمت و نیاز به نظارت بر اون است: به عبارت دیگه، باید یک شبکه اترنت مجزا برای درخواست فایلهای متادیتا داشت و یک شبکه Fibre Channel هم باید راهاندازی کرد که خیلی میتونه هزینهبر باشه. اما، SAN اغلب تنها راهکار برای مواقعی است که کاربران باید به صورت همزمان و سریع به دادهها دسترسی دشته باشن و میشه مقیاسش رو به صدها کاربر افزایش داد.
جمعبندی
به دلیل حجم زیاد دادههای سازمانی که در SANها ذخیره میشه، کسبوکارها باید اقدامات امنیتی لازم برای محافظت از اونا رو انجام بدن. ماهیت شبکههای ذخیرهسازی به این شکل هست که به هم متصل هستن. به عبارت دیگه، اگر یک دستگاه یا آرایه نشت پیدا کنه، دستگاههای دیگه هم در معرض ریسک قرار میگیرن.
اقدمات امنیتی برای تأمین امنیت SAN شامل این موارد میشه: پیادهسازی پروتکلهای امن شبکه، دسترسی محدود به کنترلهای دسترسی در سطح سازمان و آموزش نیروهای شبکه، IT و ذخیرهسازی. هرچند ایمنسازی محیط SAN دشواره، اما برای شرکتهایی که به دنبال حفاظت از دادههاشون هستن، ارزشش رو داره.