Storage Area Networks werden mit Hilfe von Fibre-Channel-Switches aufgebaut, die als intelligente Schalteinheiten Server und Speicher miteinander verbinden. Angelehnt an die virtuellen LANs (VLANs) im LAN-Switch findet sich im FC-Switch eine ähnliche Funktionalität mit dem Namen "Zoning". Sie definiert voneinander abgrenzte Teilnehmergruppen, die auf Basis von physikalischen Port-Nummern (Hard-Zoning) oder aufgrund der Adressinformationen im Datenfeld (Soft-Zoning) gebildet werden. Server einer Zone können normalerweise nicht auf Speichersysteme einer anderen Zone zugreifen. Ursprünglich war Zoning aber weniger als Sicherheitsmaßnahme gegen Attacken gedacht, sondern vielmehr um das sehr "egoistische" Verhalten vieler Betriebssysteme unter Kontrolle zu halten. Nicht wenige Betriebssysteme haben/hatten nämlich die unangenehme Eigenschaft, fremde Plattenbereiche im SAN rigoros als ihre eigenen zu kennzeichnen und sie mit einem neuen Initialisierungsmuster zu überschreiben. Deshalb war es zwingend erforderlich, heterogene Server- und Speicherbereiche strikt voneinander abzutrennen, um nicht versehentlich Datenzerstörungen zu riskieren.
Derzeit sind die Disziplinen Speicher-Management und Sicherheit in den meisten Firmen streng voneinander getrennt - noch. Aber wie sagte unlängst Steve Duplessie, Gründer und Chefanalyst der angesehenen Enterprise Storage Group, über die Verschmelzung von Storage und Security: "Die Speicheradministratoren wissen nichts über Sicherheit, aber, ob sie wollen oder nicht, sie werden das ändern müssen. Und die Sicherheitsbeauftragten sollten sich schon mal erkundigen, was LUN bedeutet." |
Unterstützt wird Zoning oftmals noch durch die LUN-Security der Disk Arrays. Eine LUN (Logical Unit Number) ist eine logische Platteneinheit in einem intelligenten Festplattensubsystem. Unter LUN-Security fallen die Begriffe LUN-Binding und LUN-Masking. Beide Verfahren sollen verhindern, dass unberechtigte Teilnehmer im SAN Zugriff auf die LUNs erhalten. LUN-Binding erlaubt die Adressierung der LUNs nur über bestimmte Netzeingänge des Plattensystems. LUN-Masking definiert darüber hinaus noch Zugriffstabellen, in denen die World-Wide-Name-Adressen der zugriffsberechtigten Server hinterlegt sein müssen.