El enmascaramiento de número de unidad lógica o enmascaramiento de LUN es un proceso de autorización que hace que un número de unidad lógica esté disponible para algunos hosts y no esté disponible para otros hosts.
El enmascaramiento de LUN es un nivel de seguridad que hace que un LUN esté disponible solo para hosts seleccionados y no esté disponible para todos los demás. Este tipo de seguridad se realiza en el nivel SAN y se basa en el HBA del host , es decir, puede otorgar acceso a un LUN específico en la SAN a un host específico con un HBA específico.
El enmascaramiento de LUN se implementa principalmente en el nivel del adaptador de bus de host (HBA). Los beneficios de seguridad del enmascaramiento LUN implementado en los HBA son limitados, ya que con muchos HBA es posible falsificar direcciones de origen ( WWN / MAC / IP ) y comprometer el acceso. Muchos controladores de almacenamiento también admiten el enmascaramiento de LUN. Cuando se implementa el enmascaramiento de LUN en el nivel del controlador de almacenamiento, el propio controlador aplica las políticas de acceso al dispositivo y, como resultado, es más seguro. Sin embargo, se implementa principalmente no como una medida de seguridad per se , sino más bien como una protección contra servidores que se comportan mal y que pueden dañar discos pertenecientes a otros servidores. Por ejemplo, los servidores Windows conectados a una SAN dañarán, bajo algunas condiciones, volúmenes que no son de Windows ( Unix , Linux , NetWare ) en la SAN al intentar escribirles etiquetas de volúmenes de Windows. Esto se puede evitar ocultando los otros LUN del servidor de Windows, ya que el servidor de Windows ni siquiera se da cuenta de que los otros LUN existen.