许多有经验的存储工程师可能没有遇到磁盘阵列感染病毒的说法。传统上，系统中磁盘阵列的位置只是一个外部设备，许多用户甚至将其称为“大型硬盘”。虽然设备本身具有固件（固件）部分，但它基本上是一个嵌入式系统，如VxWorks甚至更小，并且很少有病毒可以感染该系统。当然，没有人见过磁盘阵列感染了病毒。
然而，近年来，随着磁盘阵列功能的丰富性和不断增长的处理要求，越来越多的高端磁盘阵列开始使用更大的操作系统作为固件平台。
NetApp存储设备控制器运行定制的FreeBSD；
Engineo磁盘阵列（即IBMDS4000系列）控制器使用Intel Celeron芯片并运行Linux（DS4100和DS4300仍遵循Mylex技术，使用Xscale CPU和VxWorks系统）；
EMCCLARiiON系列阵列控制器使用Intel Pentium芯片。他们使用Windows 2000作为操作系统，现在升级到Windows XP。
Sun新推出的6920磁盘阵列中央处理器（称为DSP）是运行标准Solaris和Veritas卷管理器的Sparc服务器。
IBM Enterprise Product DS8000阵列控制器是运行AIX系统的RS6000架构。
磁盘阵列控制器中传统服务器操作系统的普及自然为这些产品的功能和处理能力提供了强大的支持，但它也为病毒传播和黑客攻击提供了机会。
毋庸置疑，Windows、Linux、 Solaris和AIX开放系统平台因为用户数量众多而成为病毒和黑客的焦点。作者的笔记本电脑有一个预警系统，可以报告一些嗅探扫描和非法请求。尽管这种早期预警系统无法检测到所有的攻击和扫描，但即便如此，每周数百个事件足以显示互联网上的攻击和扫描数量有多惊人。如果这些攻击中只有一个成功率，则意味着系统将每2到3个月被非法入侵。对于大多数中高端系统而言，这种安全性是完全无法忍受的。更重要的是，对于没有任何保护的“裸体系统”，攻击的成功率将远高于1‰。我试图在一夜之间将只有Windows XP的笔记本电脑连接到互联网。第二天早上MSN的密码已经更改，桌面设置无法识别。针对Windows、 Linux和开放式Unix系统的病毒和攻击每天都在更新，系统本身受到频繁补丁和第三方安全软件的保护。因此，对于安装在阵列控制器中的系统来说，这种情况很棘手。目前，还没有第三方安全软件供应商为阵列控制器提供安全保护软件。用户只能在修补主机时频繁升级阵列控制器的固件。事实上，磁盘阵列供应商也在倡导这样的供应商，他们声称“升级到最新固件以确保最可靠的系统”，同时平均每周更新一次固件版本。但是，升级阵列固件对于在线磁盘阵列来说是非常危险的操作。经常升级固件无疑会严重影响数据安全性。即使制造商能够保证100％安全的固件升级，大多数中高端系统也无法忍受如此频繁的崩溃窗口。每周关闭1到2个小时，每年关闭50到100个小时！这是厂商声称的“四九”、“五九”高可用性在哪里？
也许供应商意识到这种尴尬，一些负责任的供应商已经在新推出的产品中引入了一项特殊功能----在线升级固件。这个问题似乎已经解决了。我多次听过许多着名制造商的工程师关于这个功能，说他们可以实现“不间断的系统维护”。这是真的吗？不幸的是，实际情况并不完美。打开任何支持“在线固件升级”产品的用户手册将在其操作过程中显示类似提示：“虽然此产品可支持在线固件升级，但它需要在升级过程中停止任何外部I / O操作。 “这是什么意思？磁盘阵列可以停止，但需要停止主机读写。这与系统停机时间有什么区别？ ！所谓的“不间断维护”不是文字游戏。
即使用户根据制造商的要求以最快的速度完全更新固件，也要退回10,000步，磁盘阵列是否安全？您可以通过将Windows XP补丁升级到最新版本来保护自己免受病毒和黑客攻击吗？同样的道理。有些人可能会怀疑，“我还没有听说过很多磁盘阵列感染了病毒和攻击。”事实上，事实很简单。考虑一下高端磁盘阵列的一般应用环境。电信公司的哪个中心办公室不是逐层软硬防火墙保护？银行的中央计算机房更糟糕，它只是隔离了与互联网的物理连接。这些客观因素降低了磁盘阵列“脆弱系统”被入侵的可能性，但这并不意味着减少磁盘阵列的“漏洞”。应该注意的是，在机房环境中对磁盘阵列的保护是非常有限的。几乎所有中高端磁盘阵列都支持远程管理和维护，供应商或集成商很乐意通过远程管理端口进行定期检查。如果可能，供应商和集成商将敦促用户提供磁盘阵列的公共地址，并将其放在外部可访问的位置。也许大多数集成商和用户都没有注意到这种便利性也会将磁盘阵列的“漏洞”暴露给危险的公共网络环境。
此外，一旦计算机房感染了病毒或恶意用户，磁盘阵列基本上处于危险之中，因为它没有预防措施。尽管磁盘阵列容易受到感染，但一旦发生这种情况，就很难杀死病毒和恶意代码。由于特殊的打包机制，一般安全软件无法安装在阵列控制器上。此外，对管理员帐户的更改以及此类系统的其他方面也会阻止安全软件在网络基础上清理系统。简而言之，磁盘阵列易受病毒感染，但不易删除。
除了磁盘阵列之外的其他存储设备呢？我们知道一些光纤交换设备和虚拟存储设备的核心操作系统也基于Linux。但总的来说，这些设备的安全机制要比磁盘阵列好得多。部分原因是大多数这些供应商或多或少都有传统的以太网技术基础，部分原因是它们与Linux版本（例如人们熟悉的RedHat、SuSe）的病毒和黑客完全不同。 “兼容性”很差。
NAS和iSCSI设备中的通用操作系统更受欢迎。 Microsoft还开发了Windows Storage Server作为此类设备的专业系统。病毒“兼容性”自然非常好。但幸运的是，网络安全方面都附加到NAS和iSCSI设备。几乎每个NAS产品都预先安装或提供防病毒软件，并具有良好的身份验证保护机制。在iSCSI设备中，CHAP保护机制只是其标准配置之一，可避免系统暴露于不安全的网络。
可以看出，NAS和iSCSI设备在网络安全性方面明显优于传统FC磁盘阵列。因此，NAS或iSCSI设备的选择将使存储设备本身更安全，同时可以满足性能和可扩展性要求。如果必须使用FC磁盘阵列，则需要避免通过控制器的网络接口进行管理，并尝试使用更安全的带内管理模式。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 蓝盟经验，Linux系统故障修复大全

• 分享到：