Seguridad en los medios de almacenamiento DAS, NAS, SAN

De todos los componentes de un sistema informático, lo que hay que preservar especialmente son los datos. El hardware se
puede reponer, el software se puede reinstalar, pero si hay pérdidas de datos la catástrofe está asegurada. Hay un elevadísimo
porcentaje de empresas que, después de sufrir una importante pérdida de datos, no son capaces de recuperarse y desaparecen. Esta es
la razón por la que importa, y mucho, la seguridad en los medios de almacenamiento. Parte de esta seguridad reside en las copias de
seguridad, pero la restitución de un backup implica normalmente un tiempo de parada que algunos negocios no admiten.

Modelos arquitectónicos básicos de almacenamiento

Un modelo arquitectónico de almacenamiento indica la forma en que los discos que contienen los datos se conectan a los
servidores o, con mayor generalidad, a la red para ser servidos a los clientes de la red. Básicamente hay tres modelos arquitectónicos
básicos: DAS, NAS y SAN, que se describirán seguidamente.

DAS, Direct Attached Storage

Es la arquitectura tradicional de conexión de discos en servidores en la que los medios de almacenamiento (discos) se conectan
directamente al servidor cuyas aplicaciones y usuarios consumen los datos que residen en estos discos, por tanto la relación entre los
discos y el servidor es física.
Típicamente los discos están alojados dentro de la caja del servidor. Si el número de discos es grande, puede que no haya
suficiente espacio en la caja y haya que instalarlos en cajas adicionales que deben conectarse mediante el cable apropiado a la caja
del servidor a modo de extensión. En este modelo son frecuentes las conexiones SATA, USB y SCSI. La seguridad de los datos
dentro de los discos se puede mejorar utilizando modelos RAID en la configuración de los discos.

La ventaja del modelo DAS es que es el más barato y el posible cuello de botella de acceso a los discos debe ser controlado por
el servidor al que se conectan ya que las peticiones de cualquier cliente se hacen a través de este servidor y nunca directamente a los
discos. Por el contrario, adolece de un gran inconveniente: si el servidor deja de estar operativo, los datos contenidos en los discos
dejan de estar disponibles.

NAS, Network Attached Storage

En este modelo, los discos conectados a un servidor son compartidos a la red para que otros clientes de red consuman estos
servicios de disco. Por tanto, los discos y los clientes residen en distintos sistemas y se comunican a través de la LAN.
Las tecnologías de compartición de discos o ficheros que se suelen utilizar en NAS son SMB/CIFS o Samba (su equivalente en
el mundo Linux), NFS (más específico del mundo UNIX y Linux) y HTTP/FTP. Los clientes de la red acuden al NAS para abrir,
cerrar, escribir o borrar ficheros. El sistema de ficheros es aportado por el sistema NAS.

La tecnología NAS es barata puesto que los sistemas que alojan los discos no requieren una capacidad de cálculo elevada, basta
con que puedan ejecutar ágilmente los servicios de red y los accesos a los discos. Muchos de estos sistemas (NAS box) se
construyen en tomo a un sistema operativo del tipo GNU/Linux lo que abarata todavía más el coste del producto.

Sin embargo, NAS tiene un inconveniente: como las comunicaciones de los clientes con los discos se hace a través de una LAN,
típicamente Ethernet, se pueden producir situaciones de colapso en la red y, además, este flujo de datos interfiere con el tráfico
habitual de los usuarios de la LAN, que pueden notar la congestión si hay un consumo elevado de acceso a disco.

SAN, Storage Area Network

Este modelo es una mezcla de DAS y NAS, pero con muchas ventajas añadidas y salvando sus inconvenientes. Por tanto, es una
tecnología de gran interés, pero también mucho más cara. Por ello, solo suele instalarse este modelo cuando es realmente necesario.
La configuración de este modelo hace que los discos sean servidos por servidores que alcanzan los discos a través de una red, es
decir, los discos no están alojados dentro de ellos por lo que si ellos se paran, los discos pueden seguir estando disponibles. Por otra
parte, la red de acceso a los discos no es la misma LAN que la que utilizan los usuarios de la red por lo que se atenúan los problemas
de congestión en la red. Por tanto, en el modelo SAN hay dos redes locales: la de acceso al medio de almacenamiento (SAN, red de
área de almacenamiento) y la LAN habitual de los clientes de red. La red SAN que conecta los servidores a los discos suele ser una
red de alta velocidad basada en los estándares Fibre Channel (FC) sobre fibra óptica o iSCSI sobre Gigabit Ethernet.

1
 Modelo arquitectónico SAN.

Otra característica importante de la tecnología SAN es que los discos son servidos como dispositivos de bloques, que no de
ficheros como en el caso DAS y NAS: la unidad de acceso al medio de almacenamiento no es un fichero sino una porción del disco
(un bloque). Cuando un sistema necesita escribir un fichero en un dispositivo de bloques solicita al sistema SAN una relación de
bloques libres para escribir en ellos los datos que componen el fichero. Sin embargo, la información de cómo deben unirse los
bloques para reconstruir el fichero no reside en la SAN sino que es propio del sistema cliente. Por eso el sistema SAN no entiende de
ficheros, solo sabe escribir o leer bloques numerados por un identificador unívoco. Expresado de otro modo: el sistema de ficheros
(file system) es aportado por el sistema cliente, nunca por el sistema SAN.

Cuándo utilizar qué modelo de almacenamiento

Puede utilizarse DAS cuando se requiere un bajo coste inicial y no importa que la información cree islas (hosts aislados).
NAS debería utilizarse cuando se quiere optimizar la facilidad de uso y es necesario compartir ficheros a bajo coste sobre redes
Ethernet.
Habrá que elegir SAN cuando se requiere un sistema de alto rendimiento, escalable y de alta disponibilidad.

Componentes de una arquitectura SAN

Por su importancia en un proyecto de seguridad y alta disponibilidad, seguidamente se describirán los componentes de una red
SAN. Pero antes de ello hay que comprender bien el concepto de LUN.

Concepto clave
Una LUN (Logical Unit Number) es una dirección que identifica una porción del gigantesco sistema RAID (o disco lógico)
contenido dentro de la cabina de almacenamiento de un sistema SAN.
El término LUN es originario del protocolo SCSI ya que inicialmente las cabinas de almacenamiento se conectaban a través de
cables SCSI a las tarjetas SCSI de los servidores mediante el modelo DAS. Actualmente, una red SAN utiliza el protocolo SCSI de
acceso a discos sobre Fibre Channel o iSCSI.

Dispositivos clientes o hosts.

Son los servidores Windows, UNIX o mainframes que consumirán los datos almacenados en los medios de almacenamiento de
la red SAN.
Estos servidores accederán a los discos de las cabinas remotos accesibles a través de la red SAN como si fueran locales, de
hecho, sus sistemas operativos montan las particiones que les ofrecen como si los discos que las soportan estuvieran conectados
directamente al sistema.
Para que puedan acceder a la red SAN necesitan unas tarjetas especiales denominadas HBA (Host Bus Adapter), que suelen
ser dispositivos de conexión Fibre Channel o iSCSI y que se conectan a las cajas de discos mediante latiguillos de fibra o de cobre
de alta velocidad.

2
 Habitualmente en los hosts se instalan por seguridad varias HBA o bien una de varios puertos para obtener redundancia de
acceso a la red SAN, mejorando la seguridad y el rendimiento.

Equipos de almacenamiento.
Son las cabinas de discos y librerías o robots de cintas accesibles desde la red SAN.
Estas cabinas suelen disponer de múltiples puertos para ofrecer redundancia de acceso, generando una alta disponibilidad
basada en la existencia de múltiples caminos que son gestionados mediante protocolos como MPIO (MultiPath Input Output) o
SecurePath (protocolo propietario de HP).
Los discos que contienen las cabinas suelen disponerse en configuraciones RAID apropiadas para asegurar la información en
sus discos y ofrecer un alto rendimiento de acceso
Sobre estos volúmenes RAID se crean una o varias LUNs que se brindan a los equipos clientes de la SAN a modo de
particiones que ellos experimentarán como si fueran locales.

Dispositivos de interconexión.
Son los conmutadores utilizados para crear la red SAN, que pueden ser de tecnología Fibre Channel o iSCSI. Estos dispositivos
sirven para interconectar el resto de los componentes de la red de almacenamiento SAN.
Es muy común que se diseñen instalaciones con varios conmutadores para proveer redundancia de camino y escalabilidad.
En estos conmutadores suele configurarse la tecnología Swicth Zoning cuando se utiliza Fibre Channel o su tecnología Ethernet
equivalente VLAN (Virtual LAN) para iSCSI. También se utiliza una técnica denominada LUN Masking que permite confeccionar
un sistema de permisos de acceso de modo que cada servidor vea solamente las LUNs que el administrador le conceda y no las
demás.et

Tecnologías para redes SAN

Las redes SAN utilizan masivamente dos tipos de redes locales de alta velocidad como son Fibre Channel e iSCSI. En este
epígrafe se describirán algunos elementos técnicos específicos de estas tecnologías que puedan ayudar a una comprensión más
profunda del modelo arquitectónico de almacenamiento SAN.

Redes Fibre Channel o FC

Fibre Channel es una tecnología estandarizada por ANSI que permite la transmisión de datos a alta velocidad entre servidores y
discos de almacenamiento (o cintas magnéticas). Aunque originalmente estuvo soportado sobre fibra óptica, en la actualidad
también admite cableado de cobre, pero siempre sobre alta velocidad por lo que deben usarse cables de alta categoría. Velocidades
típicas de conexión sobre FC son 1 Gbps sobre cobre y hasta 8 Gbps sobre fibra, aunque estas velocidades se incrementan
constantemente.
Hay disponibles básicamente dos topologías para las redes FC:
• Topología FC-P2P o punto a punto. Es la conexión directa de dos dispositivos y limitada exclusivamente a ellos. Por
ejemplo, un dispositivo que se conecta a un medio de almacenamiento.
• Topología FC-SW, fabric o de medio conmutado. Todos los dispositivos se conectan a conmutadores de FC, que
conceptualmente son muy similares a los conmutadores de Ethernet. En esta topología se admite un máximo teórico de 16
millones de dispositivos y es la más ampliamente utilizada.

Redes iSCSI
iSCSI o internet SCSI es un estándar que pretende utilizar el protocolo SCSI específico para transferencia de datos sobre un
transporte TCP/IP, por tanto, es un protocolo de la capa de transporte muy apropiado para redes Ethernet de alta velocidad.
iSCSI ofrece ciertas ventajas sobre FC entre las que se encuentran que es más económico pues no hacen falta conmutadores FC
que son caros, basta con conmutadores Ethernet mucho más baratos. Además, la fibra que es más cara se sustituye por cableado de
cobre mucho más asequible. Por último, no son necesarios adaptadores HBA más caros porque se pueden utilizar tarjetas Ethernet
de alto rendimiento que son más baratas.
Sin embargo, iSCSI también presenta inconvenientes con respecto de FC. Por ejemplo, se pueden conseguir velocidades
menores debido al menor ancho de banda del cobre frente a la fibra y a que sobre cobre deben efectuarse más retransmisiones puesto

3
que es menos fiable que la fibra.
Entre los elementos específicos, además de host y cabinas, que componen una red iSCSI tenemos los siguientes:
• Target iSCSI. Hace la función de servidor que puede ofrecer uno o más recursos iSCSI a la red, por ejemplo, particiones,
discos, archivos, dispositivos de cinta, etc. Aunque para el acceso por la red SAN se emplea el protocolo SCSI (sobre
TCP/IP) no es necesario que los discos de la cabina iSCSI sean de tecnología SCSI.
• Iniciador iSCSI. Hace la función de cliente, es decir, son los equipos servidores que utilizan los datos.