47、数据存储安全与信息使用规范全解析

数据存储安全与信息使用规范全解析

1. Xsan 存储安全

Xsan 存储系统在数据管理中发挥着重要作用，其存储结构可分为三个部分：
- LUNs ：目标的逻辑分段，是数据的存储目的地，本质上是 RAID 或 RAID 的一部分。
- 存储池 ：一组 LUNs 的集合，每个客户端可通过单个存储池向多个 LUNs 写入数据。
- 卷 ：客户端实际看到的逻辑数据。

每个 SAN 客户端要写入数据，需对所有 LUNs 具有完全访问权限。元数据只是指示 SAN 数据写入位置的指针，而非数据本身的重定向器。若构成存储池的任何 LUNs 无法通过光纤通道被元数据控制器或客户端访问，存储池将报告“STRIPE GROUP DOWN”，Xsan 系统也会随之崩溃。例如，拔掉一个目标的电缆，可能导致整个 Xsan 环境瘫痪。因此，Xsan 环境的物理安全至关重要。

此外，通过光纤通道连接到 Xsan 环境的任何工作站的根用户，可通过向 /dev/<LUN 在 devs 中的位置> 写入数据，直接写入任何 LUN。若向元数据 LUN 写入大量任意数据，会导致卷无法访问，这实际上是对 SAN 的拒绝服务攻击，任何具有有效管理员/根账户的客户端系统都可能发起此类攻击。为避免这种情况，只能限制 SAN 客户端上的管理或根账户访问。

2. 光纤通道与亲和性

光纤通道交换与以太网交换类似。以太网交换可通过特殊堆叠电缆堆叠两个交换机，光纤通道虽术语不同，但概念相同，可通过 10GB 至