Enmascaramiento de número de unidad lógica


El enmascaramiento de número de unidad lógica o enmascaramiento de LUN es un proceso de autorización que hace que un número de unidad lógica esté disponible para algunos hosts y no disponible para otros hosts.

El enmascaramiento de LUN es un nivel de seguridad que hace que un LUN esté disponible solo para hosts seleccionados y no disponible para todos los demás. Este tipo de seguridad se realiza en el nivel SAN y se basa en el HBA del host , es decir, puede otorgar acceso a un LUN específico en la SAN a un host específico con un HBA específico.

El enmascaramiento de LUN se implementa principalmente en el nivel del adaptador de bus de host (HBA). Los beneficios de seguridad del enmascaramiento de LUN implementados en los HBA son limitados, ya que con muchos HBA es posible falsificar direcciones de origen ( WWN / MAC / IP ) y comprometer el acceso. Muchos controladores de almacenamiento también admiten el enmascaramiento de LUN. Cuando se implementa el enmascaramiento de LUN en el nivel de la controladora de almacenamiento, la propia controladora aplica las políticas de acceso al dispositivo y, como resultado, es más seguro. Sin embargo, se implementa principalmente no como una medida de seguridad per se , sino más bien como una protección contra servidores que se comportan mal y que pueden dañar los discos que pertenecen a otros servidores. Por ejemplo, WindowsLos servidores conectados a una SAN dañarán, en algunas condiciones, los volúmenes que no sean de Windows ( Unix , Linux , NetWare ) en la SAN al intentar escribir etiquetas de volumen de Windows en ellos. Al ocultar los otros LUN del servidor de Windows, esto se puede evitar, ya que el servidor de Windows ni siquiera se da cuenta de que existen otros LUN.