存储在线DoSTOR存储分析 3月15日国际报道:针对下一版本的网络文件系统(NFS)协议,美国国家安全局(NSA)正在努力推广其自己的高安全性访问控制技术。
本周早些时候,在费城的互联网工程任务组(IETF)会议上,国家安全局展示了其名为标记式网络文件系统的技术。安全增强型Linux(SELinux)操作系统上的集权访问控制技术(MAC)是该技术的基础。
将MAC技术整合进网络文件系统可以允许"受信任"用户或系统读写敏感文件,并运行基于网络文件系统的网络存储系统上的程序。MAC基本上可以确保用户只能访问他们被授权访问的文件,而恶意代码则不能在网络文件系统环境下运行。
对于是否考虑在网络文件系统上增加这一新的安全功能,IETF现在只等国家安全局给他们以正式的注解请求(RFC)就能够开始这一进程。
IETF的NFSv4工作组副主席Spencer Shepler说:"我们建议他们先行一步,写出一个英特网方案草稿,对这个标记式机制提出一些指示,并提供一些他们已经完成的档案文件,以及他们设计上的选择…….只有围绕这些要求,我们才能更好的理解他们的意图"。
本文发稿的时候,还未能获得国家安全局的评论。
基本上,MAC方式主要是一种围绕敏感或受限制文件及应用程序的控制访问策略,而且只有安全策略管理员可以设定这些策略(用户不能覆盖它们)。例如,当一个用户或程序试图访问一个文件的时候,该系统将决定该用户或对象是否可以进行这项操作。
现在的传统的访问控制方式是用一个访问控制列表(ACL)。ACL是根据用户身份等信息来进行访问控制,而用户和程序则可以修改访问规则。国家安全局国家信息安全研究实验室的David Quigley在IETF会议的演讲上指出,这种"随意"的访问方式的后果就是,机构和组织们不得不面对来自恶意或脆弱软件的威胁–而用户的权力则可以被更改或扩大。
网络文件系统的目前版本是NFSv4,该版本结合了Kerbero(一种网络认证系统)以提高认证安全性,并且还结合了ACL规范。"你可以用Kerbero来进行更严谨的用户授权,确保服务器不被攻击,防止整个存储机制被破坏。我们还定义了通用的ACL机制",IETF的Shepler(目前任职于Sun公司)说,"我把标记式网络文件系统工作看成是安全的第三向量"。
至于那些没有像联邦机构或国家安全局一样的安全顾虑的组织是否会否决该标记式网络文件系统,还不清楚。Shelper说:"我个人的看法是,对于如何使用和管理该网络文件系统,还存在很多障碍–企业是否做好了采用这种类型的定义和粒度性的准备?对于一些组织来说,它们才刚开始接触强认证体系和进行合理的ACL使用"。
根据国家安全局的演讲内容,添加标记式网络文件系统能够让SELinux系统将其现有的MAC安全机制扩展到网络存储系统,这将给FreeBSD和Solaris都带来好处。