Continua dalla Parte I
L’Autenticazione assicura che soltanto le persone
autorizzate possano accedere alla San. Questo solitamente si traduce in pratica
tramite un protocollo di challange-response, basato su user id e password. Ma
possono essere usati anche altri metodi, come per esempio la biometria.
Come
ognuna delle “Cinque A”, l’autenticazione coinvolge un certo numero di
istanze accessorie. Per esempio, se vengono usate user id e password, è
necessario modificare l’abituale procedura di controllo, cambiando regolarmente
la password e avendo la certezza che sia conservata in un luogo sicuro.
Inoltre, alla social engineering coinvolta nell’implementazione
dell’appropriata procedura di password fra gli utenti, si aggiunge un certo
numero di problemi tecnici, quali l’impossibilità di trasmettere una password
non criptata sulla rete, specialmente fuori dai canali dalla banda. Forse è per
questo motivo, ovvero perché sono comuni a così tanti settori nell’ambito della
sicurezza dei computer, chele richieste personali di identificazione sono
probabilmente i meglio capiti tra i vari problemi di sicurezza legati alle San.
L’accesso assicura che soltanto le persone autorizzate
accedano a un livello appropriato alla San e alle relative informazioni. Il
profilo tecnico delle richieste risulta più ampio di quello relativo
all’autenticazione e gli amministratori di storage hanno un maggior controllo
della situazione. La parte fondamentale dell’accesso determina e rafforza chi
avrà accesso a quali informazioni e quali privilegi avrà con i dati e la San
stessa. Poiché le San possono differire considerevolmente in termini di modalità
di controllo degli accessi e di come questi vengono effettuati, il primo passo è
determinare quali tool e utility sono disponibili all’amministratore per gestire
l’accesso.
Tipicamente, ciò comprenderà la capacità di regolare i permessi
di lettura/scrittura/cancellazione dei dati, i limiti su chi può accedere alle
funzioni di gestione della San quali la configurazione e alle caratteristiche
come suddivisione in zone e il Lun masking. Quest’ultima è solitamente la
funzione che richiede la maggior parte del tempo e dell’impegno nella
configurazione e nella manutenzione in virtù del numero di variabili e di
granularità desiderate. Teoricamente, ogni persona con accesso alla San dovrebbe
poter regolare individualmente tutte le variabili per produrre un profilo
totalmente univoco.
In pratica, questo non è possibile, a causa sia della
quantità di lavoro necessaria sia dei limiti che presentano i tool disponibili.
È inoltre importante rivedere regolarmente i livelli di accesso e modificarli al
variare delle funzioni o degli incarichi aziendali. Sia dal versante dell’utente
sia da quello dell’amministratore, è prevista anche la prevenzione dell’accesso
alle informazioni a chi non è autorizzato.
La Cifratura delle password, dei
messaggi e dei dati che si muovono attraverso la San è uno strumento potente per
sconfiggere gli accessi non autorizzati. La maggior parte delle San include
almeno alcune caratteristiche di crittografia, ma quest’ultima può introdurre un
problema in termini di velocità di trasmissione. Se ciò accade e se criptando
tutto allo stesso livello di sicurezza si ottiene un’inaccettabile perdita di
prestazioni, l’amministratore può dover stabilire delle gerarchie di
crittografia. Per esempio, le password dovrebbero avere il maggior livello di
protezione riguardo la crittografia, seguite dalla gestione e dai messaggi di
amministrazione; i dati dovrebbero avere il più basso livello di protezione.
[continua]
