揭秘 EMC Symmetrix 动态密码

原文出处：转自天涯  http://bbs.tianya.cn/post-itinfo-321193-1.shtml

     高大上的EMC Symmetrix系列（DMX/VMAX）承担了众多的客户关键业务，但在做存储系统维护时总是提到一个动态密码或者口令的东西，外行人员对这个充满了疑惑，对采取这种动态密码机制不理解，甚至有些偏激，认为厂商设置了一些服务障碍。本文将对动态密码（Service Credential）进行一些说明和解释，消除大家对该机制的误解。

     什么是Symmetrix产品系列？

     很多客户听说过EMC 的DMX和VMAX产品，但是没有听说过Symmetrix，也不清楚Symmetrix和DMX以及VMAX的关系。Symmetrix是EMC的高端存储整列统一名称，该产品系列包含不同的产品型号，如大家耳熟能详的DMX3,DMX4以及VMAX等。类似于中端系列VNX，包含不同的产品型号，如VNX5100,5200,5400等等。

     Symmetrix产品系列运行在一个叫做 Enginuity的操作系统之上，不同的产品型号运行不同的Enginuity操作系统版本，EMC叫做code。如DMX3和4，目前的target主版本是5773，VMAX1和2代在5876，刚刚发布的VMAX3代是5977。在主版本上，有不同的小版本。

     理解了Symmetrix以及Enginuity code后，我们再来看动态密码。

     什么是动态密码(Service Credential)?

     EMC Symmetrix的动态密码（Service Credential）是从Symmetrix 5772版本以后引入的新功能，采用RSA安全加密机制。大家知道，RSA是目前民用的最高加密算法，基本上要破解RSA加密不太可能。

     该动态密码用来防止非授权人员登录Symmetrix产品的维护工具（SymmWin），而不是我们过去的很多误解，认为是用来阻止用户对Symmetrix存储系统的访问。SymmWin是EMC开发的专门针对Symmetrix存储系统的维护工具，该工具为EMC专利保护，并只能由EMC的授权人员使用，并没有作为一个软件产品卖给客户。

     SymmWin软件是运行在Symmetrix的服务控制台（Service Processor）上的一个工具软件，Service Processor就是一个普通的定制化的Windows PC服务器。对于该PC服务器的访问没有任何的限制。动态密码只是用来限制对于该控制台上的软件SymmWin的访问。

     动态密码是由一组12位的字符组成，该密码需要到EMC的内部网站进行申请，密码对应特有的机器序列号或者客户设备站点，密码最长有效期为10天，过期后该密码无效。

     EMC即使对于授权用户，也对应不同的权限（Role）。不同角色的工程师登录SymmWin后可以进行不同的操作，严格规避越界操作，造成对系统不可预料的影响。

     为什么需要动态密码

     大家知道，客户购买的EMC的Symmetrix系统99%均用于最关键的业务系统（Mission Critical Sysmte），存储系统作为IT基础架构中的灵魂，安全性不言而喻。任何的核心存储系统不可用(Data Unavailable)或者数据丢失（Data Lost），对于客户来讲都是灾难。

     熟悉Symmetrix体系架构的人员都知道，Symmetrix系统和目前市场上的绝大多数存储系统架构完全不同，Symmetrix系统来源于大机（Mainframe）的体系架构，其安全性、稳定性、可靠性和可用性等无人匹敌。但另一方面，我们在其他中端存储维护上的知识积累在该产品上几乎等于0。Symmetrix存储系统上的所有命令均为16进制，来源于大机架构。可以肯定的说，如果没有EMC原厂3年以上的专业训练，一般工程师对于DMX和VMAX系统的维护根本不可能。在维护DMX和VMAX存储系统中出现的任何异常现象均无法处理，造成不可预知的后果。

     根据Garner统计，80%的系统宕机或者业务不可用，均是人为失误或者操作流程不当造成。EMC的动态密码保护机制就是从机制上杜绝此类问题的发生。

     上述几点，我认为是EMC为什么要引入动态密码的原因，也是本着对客户负责的态度采取的技术措施。

     该动态密码的安全机制由下面三部分组成：

     1. 认证。只有授权用户才可以访问Symmwin工具软件，并使用该软件对存储系统进行维护操作。

     2. 授权。不同的角色具有不同的权限功能，可以进行不同的授权操作。防止非权限授权人员进行高级操作，导致不可预料的风险。

     3. 审计监控。任何角色的人员登录和任何对存储系统的操作，均进行归档。且该归档日志不可删除，任何时候均可以进行审计。