niedziela, 14 listopada 2010

ISM - Zarządzanie infrastrukturą storage

Podobnie jak sprawy związane z monitoringiem, tak samo zarządzanie storage można podzielić na cztery obszary:
  • Avaliablity
  • Capacity
  • Performance
  • Security

Avaliability Management:

Podstawowy zadaniem z działki zarządzania dostępnością urządzeń storage jest zapewnienie im braku tzw: SPOFów (Single Point of Failure), których obecność jest zagrożeniem dla ciągłości działania danego urządzenia.

Metody zapobiegania SPOFów to między innymi:
  • Dwie lub więcej niezależnych kart HBA po stronie hosta
  • Używanie oprogramowania do multipathingu
  • Używanie struktur RAID
  • Używanie dwóch niezależnych fabriców
Poprawne skonfigurowanie replikacji oraz polityki tworzenia backupów także wchodzi w skład zarządzania dostępnością. Technologie wirtualizacji mogą być pomocne przy tworzeniu architektury oraz planów działania podczas awarii (dynamiczne przydzielanie/usuwanie zasobów)


Capacity Management:

Głównym zadaniem zarządzania Capacity jest zapewnienie, że zapewniona będzie wystarczająca ilość zasobów. Podstawowe metody sprawdzania i zapewniania wystarczającej ilości zasobów to:

  • Analiza trendów zużycia zasobów
  • Odpowiednie przydzielanie (provisioning) zasobów

Performance Management:

Prawidłowe zarządzanie wydajnością jest potrzebne aby optymalnie i z maksymalna efektywnością wykorzystać dostępne zasoby, dzięki niemu możemy wykrywać wąskie gardła w naszym systemie.

Główne zadania zarządzania wydajnością to:
  • po stronie hosta: zarządzanie wolumenami, oraz architekturą bazy danych i aplikacji
  • po stronie sieci SAN: Zapewnienie wystarczającej ilości ISL z odpowiednią przepustowością
  • po stronie macierzy: Wybór typów struktur RAI , wybór rozłożenia LUNów po portach front-end


Security Management:

Pozwala na kontrolowanie dostępu do urządzeń storage.

Główne zadania:
  • po stronie hosta: tworzenie kont użytkowników, zarządzanie dostępami
  • po stronie sieci SAN: konfiguracja zoningu
  • po stronie macierzy: tworzenie kont do zarządzania macierzą, konfiguracja maskowania


Wyzywania w zarządzaniu infrastrukturą storage:

Głównym problemem w kompleksowym zarządzaniu pamięciami masowymi jest fakt, że ich środowisko może obejmować wiele różnych warstw ( bazy danych, serwery, sieć, urządzania storage ), a w każdej z nich możliwe są rozwiązania multi-vendor, w czasem bardzo skomplikowanych konfiguracjach. Macierze mogą po sieciach (zarówno SAN jak i IP ) wystawiać zasoby do najróżniejszych systemów takich jak: UNIX, Windows czy nawet komputerów klasy mainframe. Całe te, działające na różnych poziomach, środowisko, jest bardzo trudne do zarządzania i zwykle używanych jest do tego celu wiele niezależnych narzędzi.

Rozwiązaniem problemów ze zbytnią złożonością i wielością narzędzi używanych do zarządzania storage jest zintegrowanie ich w jeden centralny system zarządzania i monitorowania.
System ten powinien spełniać następujące wymagania:

  • musi zbierać informacje z wszystkich komponentów i być w stanie zarządzać nimi za pomocą jednego interfejsu
  • musi być w stanie przeprowadzić analizę wpływu awarii jednego komponentu na działania pozostałych
  • musi mieć zaimplementowany mechanizm powiadamianie (np: poprzez email lub SNMP) o zaistnieniu pewnych zdefiniowanych wydarzeń, musi być także w stanie generować raporty ogólne i per komponent
Aby ułatwić stworzenie tego rodzaju oprogramowania SNIA (Storage Networking Industry Association) stworzyła tzw: SMI-S ( Storage Management Initiative Specification), który jest abstrakcyjnym modelem opisującym sposoby zarządzania i monitorowania zasobów strorage. Model ten może być adaptowany następnie do konkretnych rozwiązań. Pozwala to na stworzenie jednego oprogramowania do zarządzania całością zasobów storage, a jednocześnie zgodność z modelem SMI-S sprawia, że sprzęt i oprogramowanie różnych  (ale przestrzegający wytycznych tego modelu) producentów będzie dobrze współpracowało z takim centralnym systemem.

Takie centralne aplikacje stworzone do zarządzania i monitorowania całej infrastruktury używanej w danym przedsiębiorstwie noszą nazwę EMP ( Enterprise Management Platform) - przykładem takiego systemu jest EMC ControlCenter.



I w ten sposób dotarliśmy do końca kursu przygotowującego do egzaminu ISM (e20-001)
Co dalej?
Najpierw powtórzę sobie cały ten materiał raz albo i dwa razy, potem przystępuję do egzaminu i mam nadzieję zostanę EMC Proven :D
Co dalej z blogiem?
W tej chwili raczej skupię się na przygotowaniach do certyfikatu, więc pisał będę mniej, pewnie pojawia się jakieś wpisy nie związane z samymi egzaminami EMC, tylko ogólnie na tematy "metastorage"-owe, ale nie wiem ile ich będzie i jak często będą publikowane.
Jeżeli uda mi się certyfikować, to od razu siłą rozpędu zaczynam przygotowywać się do kolejnego certu, najprawdopodobniej z Clariiona - ale to jeszcze daleka przyszłość.


sobota, 13 listopada 2010

ISM - Monitorowanie infrastruktury storage

Monitorowanie urządzeń storage powinno dotyczyć czterech obszarów:

  • Dostępności (Accessibility)
  • Zasobów (Capacity)
  • Wydajności (Performance)
  • Bezpieczeństwa (Security)
Dostępność (Accessibility)

O dostępności komponentu mówimy kiedy pracuje on prawidłowo, bez żadnych zakłóceń i awarii. Monitorowanie dostępności zwykle opiera się na ustawieniu pewnych predefiniowanych alarmów, dotyczących prawidlowego działania. Alarmy te definiuje na samym urządzeniu (SAN device, HBA, port, dysk, macierz, element oprogramowania) i są one przechwytywane wystąpienia. Szybkie wykrywanie i naprawa niedostępnych z powodu awarii komponentów, chroni nas przed uszkodzeniem i utratą ciągłości działania całego systemu.


Zasoby (Capacity)

Capacity odnosi się do ilości zasobów storage jakie są dostępne. Przykładami monitorowania Capacity jest np. sprawdzanie ilości wolnego miejsca na systemie plikow lub zużycie quoty na skrzynce pocztowej. Brak monitorowania Capactiy może doprowadzić do problemów wydajnościowych lub nawet dostępności danej aplikacji (przepełnienie). Zwykle dane uzyskane z monitoringu Capacity analizuje się pod względem trendów i według nich planuje przyszłą strategię zakupową dla obszaru storage.


Wydajność(Performance)

Monitorowanie wydajności jest to sprawdzanie jak efektywnie pracują nasze zasoby i w których miejscach mamy tzw "wąskie gardła". Pomiary wydajności, zwykle, polegają na cyklicznym sprawdzaniu różnych parametrów i porównywaniu ich do predefiniowanych wartości. Przykłady zasobów i parametrów jakie można objąć monitoringiem wydajnści to np: Ilość I/O do dysków , czas odpowiedzi aplikacji , utylizacja sieci itd...


Bezpieczeństwo (Security)

Monitorowanie bezpieczeństwa pozwala na wykrycie i zapobieganie nieautoryzowanych prób dostępu. Pomaga także przy śledzeniu nieplanowancyh/nieautoryzowanych zmian wykonywanych w elementach infrastruktury storage. Monitorowanie bezpieczeństwa zapewnia, że nasze dane pozostają poufne, spójne i dostępne. Może ono odbywać się na poziomie software ( np: śledzenie zmian w konfiguracji storage ) jak i  być monitorowaniem fizycznym ( czytniki kart, kamery w halach z macierzami itd...)


Monitorowanie hostów:

Serwery szczególnie te z aplikacjami typu mission-critical powinny być stale monitorowane.
Poszczególne zakresy monitoringu hostów obejmując:

  • Accessibility ( komponenty hardware: HBA,NIC,dyski wewnętrzne ; status kluczowych procesów i usług)
  • Capacity (utylizacja systemu plików, użycie table spaców i log space w bazach , zużycie quoty )
  • Performance ( Utylizacja CPU i pamięci , czasy odpowiedzi )
  • Security ( Autoryzacje i czasy logowań - szczególnie na konta root/administrator )

Monitorowanie sieci SAN:

Poszczególne zakresy monitoringu dla sieci SAN obejmują przykładowo:
  • Accessibility ( Fizyczne elementy sieci SAN i ich komponenty - zasilacze, wentylatory w switchach itd ; błędy pojawiające się w komunikacji w fabricu i zonie )
  • Capacity ( Utylizacja ISL i portów )
  • Performance ( utylizacja portów , monitorowanie opóźnień w sieci i utraty pakietów )
  • Security ( Zoning i LUN Masking , monitorowanie bezpieczeństwa fizycznego środowiska SAN)

Monitorowanie macierzy dyskowych:
  • Accessibility ( Wszystkie elementy hardware maszyny + jej wewnętrzny system operacyjny)
  • Capacity ( surowa i skonfigurowana przestrzeń , ilość przestrzeni zaalokowanej )
  • Performance ( Utylizacja portów FE i BE , czasy odpowiedzi, zużycie cache )
  • Security ( Bezpieczeństwo fizyczne , monitorowanie logowania na macierze )



Sam temat zawierał jeszcze dość dużo przykładów i różnych scenariuszy ( np: analizę dla uszkodzenia portu, HBA, switcha dla monitoringu accessibility), ale były to materiały bardzo ciężkie do wykorzystania bez kopiowania powiązanych z nimi grafik(schematów).
Ogólnie nie było tam nic odkrywczego, tylko sprawy oczywiste typu: "uszkodzenie ścieżki powoduje, że dane są przesyłane drugą z nich"

Kolejny temat to zarządzanie infastrukturą storage.

poniedziałek, 8 listopada 2010

ISM - Rozwiązania zapewniające bezpieczeństwo dla sieci SAN , NAS i IP-SAN

Zapewnienie bezpieczeństwa w sieci SAN

W tradycyjnych sieciach SAN bezpieczeństwo było zapewniane przez odizolowanie jej od sieci LAN i świata zewnętrznego. Obecnie jednak sieci SAN są coraz bardziej zintegrowane z resztą infrastruktury i nie stanowią już odrębnego środowiska. Aby zmniejszyć negatywny wpływ na bezpieczeństwo, jaki ma taka połączenie tych środowisk, wprowadzono protokół FC-SP (Fibre Channel Security Protocol), implementujący mechanizmy zabezpieczenia na styku sieci IP i LAN.
Inną metodologią zabezpieczani sieci storage (SAN , IP-SAN, NAS) jest tzw "defense-in-depth" - polega to używaniu wielu współpracujących ze sobą warstw bezpieczeństwa. Kompromitacja i spenetrowanie przez intruzów jednej z takich warstw, nie ma wpływu na inne, które dalej chronią zasoby sieci storage.


Podstawowe mechanizmy ochrony sieci SAN:

Sposoby ochrony sieci SAN można podzielić na kilka podkategorii:
  • Array-based Volume Access Control
  • Security on FC Switch Port
  • Switch-wide and Fabric-wide Access Control
  • Logical Partitioning on a Fabric: VSAN


Array-based Volume Access Control:
Są to metody, które chronią przed niepowołanym dostępem do urządzeń storage. Dwa najbardziej popularne rozwiązania tego typu to: LUN Masking i mechanizmy Zoningu
Tworzenie zon w sieci  polega na dzieleniu (logicznym) sieci SAN na mniejsze kawałki. Urządzenia zarówno source( hosty) jaki i target (macierze) widzą i są w stanie wymienić informacje jedynie z urządzeniami w tej samej zonie.
Zoning może występować w dwóch odmianach:
  • Hard/port zoning - zony są zestawiane pomiędzy portami na hostach (lub switchach) a portami na macierzy. 
  • Soft/WWN zoning - zony są zestawiane pomiędzy urządzeniami o określonych adresach WWN. Jest to rozwiązanie nieco mniej bezpieczne niż hard zoning - można wyobrazić sobie, iż intruz udaje WWN jednego z członków zony, aby zostać uprawnionym do nasłuchiwania na ruch w niej. Dla porównania przy zastosowaniu hard zoningu musiałby fizycznie odpiąć hosta z zony i wpiąć się w jego miejsce.
Tak jak zoning pozwala kontrolować dostęp danych hostów do macierzy, tak LUN masking pozwala na kontrolę dostępu do poszczególnych LUNów, wystawianych z macierzy. Robi to filtrując listę LUNów do których danych HBA ma dostęp. Silniejszą wersją LUN Maskingu obecną w macierzach EMC Symmetrix jest S_ID Lockdown

Security on FC Switch Ports:
Jest to grupa zabezpieczeń związanych z ustawieniami portów na switchach. Można wśród nich wyróżnić:
  • Port Binding - ogranicza liczbę urządzeń, które mogą używać danego portu do logowania się do fabrica. Ogranicza to zagrożenie WWPN spoofingiem przy soft zoningu.
  • Port Lockdown, Port Lockout - metody ograniczające sposób w jaki dany port może być wykorzystany. Pożna np: wyłączyć możliwość stworzenia połączenia switch-switch albo podłączenia pętli FCAL.
  • Persistent Port Disable - zapobiega włączeniu portu po reboocie switcha.


Switch-wide and Fabric-wide Access Control:
Ta kategoria opisuje mechanizmy kontroli dostępu do sieci SAN i zawiera w sobie następujące rozwiązania:
  • Access control lists - kontroluje podłączenia do SANów i autoryzuje je na podstawie zdefiniowanych polityk. Reguły opisują które HBA i porty macierzy oraz switche mogą być częścią sieci SAN i odcinają urządzenia nieuprawnione.
  • Fabric binding - chroni przed nieautoryzowanym dołączeniem do fabrica zewnętrznego switcha
  • Role-based access control - określa jaki użytkownik i z jakimi uprawnieniami może logować się do poszczególnych urządzeń w fabricu.


Logical Partitioning on a Fabric: VSAN
Mechanizm VSANów jest odpowiednikiem VLANów w sieci Ethernet - polega on na podzieleniu jednej fizycznej sieci SAN, na niezależne od siebie logiczne części. Ruch danych jest możliwy tylko w obrębie jednego VSANu; każdy port (switch, host, array) może należeć tylko do jednego VSANu.
Takie rozdzielenie urządzeń w sieci SAN pozwala na lepszą kontrolę nad dostępami i przepływem danych.


Zapewnienie  bezpieczeństwa w sieci NAS:

Sieć NAS może być narażona na wiele różnych niebezpieczeństwa takich jak na przykład: wirusy , nieuprawniony dostęp , podsłuchiwanie transmisji itd...
Pierwszym poziomem zabezpieczenia są tzw ACLs ( Access Control Lists) określające jakie uprawnienia mają poszczególni użytkownicy. Dane te są następnie uzupełniane o prawa i atrybuty powiązane z plikami i folderami w sieci. Kolejne poziomy bezpieczeństwa są zapewniane przez dodatkowe mechanizmy autoryzacji (np: Kerberos) i ochrony przed nieuprawnionym dostępem (np: firewalle)

Uprawnienia do plików w Windows:
Windows wspiera dwa rodzaje list ACL : discretionary access control lists (DACL) i system access control lists (SACL)
DACL - jest używany do wyznaczenia kto ma dostęp do plików , SACL określa jakiego rodzaju dostęp ma być audytowany (jeżeli audytowanie jest włączone). Dodatkowo w Windows istnieje pojęcie właściciela objektu - które to nadaje właścicielowi prawa do danego pliku nawet jeżeli listy DACL i SACL takiego dostępu zabraniają. Windows wspiera również dziedziczenie uprawnień, pomiędzy objektami przodkami a potomkami.
Każdy użytkownik i grupa jest identyfikowana po unikalnym numerze SID - przydzielanie i sprawdzanie uprawnień odbywa się bazując na tym atrybucie, nie na nazwie pod jaką dany user występuje w systemie.

Uprawnienia do plików w Unixie:
Podstawowymi prawami do plików w systemach Unix/Linux sa odczyt/zapis/wykonanie (Read/Write/Execute). Dla każdego pliku i folderu te prawa określone są na 3 poziomach: właściciel , właściciel grupowy , inni.

Autentyfikacja i autoryzacja współdzielonych plików:
Urządzenia NASowe używają dwóch standardowych protokołów do współdzielenia plików: NFS i CIFS. Autentyfikacja użytkownika próbującego się dostać do zasobów jest wykonywana przez pewien centralny system jak np Network Information System na systemach Unix czy Active Directory w Windowsach.
Autoryzacja określa czy dany (autentyfikowany) użytkownik ma prawo uzyskać dostęp do danego zasobu. Sposoby opisu dostępu do pliku różnią się w przypadku systemów Unixowych ( dostęp typu: rwxrwxrwx) a systemach Windowsowych (listy ACL). Jeżeli jedno urządzenie powinno wystawiać pliki zarówno dla hostów Windowsowych jak i Unixowych to musi ono obsługiwać mappowanie pomiędzy sposobami określania dostępu do zasobów.

Kerberos:
Kerberos jest to sieciowy protokół do autentyfikacji. Został zaprojektowany aby zapewnić bezpieczną autentyfikację dla aplikacji typu klient/serwer i opiera się na silnych algorytmach kryptograficznych. Jego założeniem jest umożliwić przeprowadzenie autentyfikacji klienta na serwerze poprzez niechronioną sieć.
W zastosowaniach związanych z NASami, Kerberos zwykle wykorzystywany jest przy autentyfikacji użytkowników z Active Directory.
Kerberos działa w architekturze klient-serwer. Klientem może być np: użytkownik lub host który otrzymuje service ticket. Kerberos serwer jest zwany także Key Distribution Center(KDC)

Przykładowy procesy autoryzacji z wykorzystaniem Kerberosa w środowisku skladającym się z 4 jednostek:
  • NAS Device (1)
  • Windows Client (2)
  • KDC (3)
  • Active Directory (4)
Proces autoryzacji:

Krok 1:
Użytkownik loguje się do stacji roboczej będącej częścią domeny, używając swojego ID i hasła. Następnie jego komputer wysyła do Autentication Service (AS) na KDC żadanie przesłania ticketu. KDC weryfikuje ID użytkownika w AD.
          
(2) -------ID Proof-------->(3)

Krok 2:
KDC odpowiada poprzez TGT (Ticket Granting Service). Transmisja składa się z dwóch części, jedna może być odkodowana przez klienta, druga przez KDC.

(2)<----------TGT-----------(3)

Krok 3:
Kiedy klient otrzyma TGT odsyła je do serwera KDC wzbogacone o informację na temat zasobu do którego się chce dostać.

(2)---------TGT+Server name----->(3)

Krok 4:
KDC sprawdza uprawnienia użytkownika do danego zasobu w AD

(3)-------------->(4)


Krok 5:
KDC wysyła service ticket do klienta.

(2) <--------Service Ticekt-------(3)

Krok 6:
Klient wysyła Service Ticket do zasobu z którego chce korzystać ( w naszym przypadku macierz NAS)

(2) ------Service Ticekt-------->(1)

Krok 7:
NAS udostępnia zasoby klientowi


Firewalle warstwy sieci:
NAS wykorzystuje sieć IP do przesyłu swoich danych, dlatego też zagrożenia występujące przy używaniu protokołu IP, odnoszą się także do wymiany danych poprzez macierzy NASową.
Jednym z podstawowych zabezpieczeń jest użycie firewalla i filtrowanie przychodzącego i wychodzącego ruchu bazując na adresie źródłowych, docelowym i numerze portu.
Częstą implementacją firewalli jest wykorzystanie ich do stworzenia tzw. Strefy zdemilitaryzowanej ( Demilitarized zone - DMZ).  W środowisku DMZ serwery które muszą być dostępne z sieci zewnętrznej (Intenet) znajdują się pomiędzy dwoma firewallami, natomiast serwery i macierze, które muszą być maksymalnie chronione znajdują się w sieci wewnętrznej.

Sieć zewnętrzna <---> FIREWALL<--->DMZ<--->FIREWALL<--->SIEĆ WEWNĘTRZNA


Zabezpieczanie sieci IP SAN:

Challenge-Handshake Authentication Protocol (CHAP) - mechanizm autoryzacji używany w sieciach IP , za jego pomocą inicjator i target mogą potwierdzić wzajemnie swoją tożsamość, wymieniając pewne sekretne hasło. Jest ono losową sekwencją od 12 do 128 znakówi  nigdy nie jest przesyłane bezpośrednio poprzez sieć, transmituje się tylko jego skrót (hash) stworzony za pomocą funkcji MD5.
CHAP Authentication występuje w dwóch rodzając: one way authentication i two ways authentication

One-Way CHAP Authentication:
Służy do identyfikowania Initiatora poprzez Target.
Schemat działania:
1. Initiator wysyła logon request do targetu i zestawiane jest połaczenie
2. Target wysyła do inicjatora tzw: CHAP Challange
3. Initiator wykorzystuje CHAP Challange oraz znany sobie i targetowi klucz do stworzenia hasha.
4. Hash jest wysyłany do Targetu
5. Target sprawdza czy otrzymany hash jest tym, który był oczekiwany, jeżeli tak połączenie jest autoryzowane.

Two-Way CHAP Authorization:
W tym rodzaju CHAP-sa, najpierw inicjator autentyfikuje się targetowi (one-way CHAP) a następnie ten proces zostaje odwrócony i target autentyfikuje się inicjatorowi.

Zabezpieczanie sieci IP SAN za pomocą iSNS Discovery Domains
iSNS discovery domains pełni tą samą rolę w sieciach IP SAN co zoning w FC. Dzięki temu mechanizmowi możemy podzielić całą sieć na logiczne fragmenty. Jedynie urządzenia w tej samej discovery domain mogą się ze sobą komunikować.





Wpis dość długi i na dodatek dość długo (w porównaniu do poprzednich) przygotowywany. Po części jest to sprawa dość dużej partii materiału zawartego w tym rozdziale, ale również wynika z pewnych zmian jakie zaszły ostatnio w moim życiu zawodowym. W skrócie mówiąc, ilość wolnego czasu, jaki posiadam, z niewielkiego, zmniejszyła się do ekstremalnie małego, co nie pozostanie bez negatywnego wpływu na częstotliwość aktualizowania tego blogu.
Niestety, takie życie...