|
曾几何时,通讯安全保障技术与存储产品没有任何关系。如果谁提及存储通道的通讯安全,定会遭到耻笑。也对,你见过有哪个黑客是从SCSI连接攻破系统的吗?
但是说到iSCSI,情况就完全不一样了。iSCSI的连接通道是以太网,这可是黑客们自家的大院。谁要是进来,就必须得考虑安全问题。这比进建筑工地要带安全帽还重要,因为在Internet上被黑客盯上的概率,比在建筑工地被板砖拍到头上的概率大多了。不信您可以试试,在建筑工地里待上三天也等不到一块从天而降的板砖。但是把Windows的安全保护去掉连到Internet上,保证你三小时之内就收集到数种“宝贵”的后门程序。如果比较“幸运”,说不定您的用户口令已经被改过N次,通讯录被复制M回了。
Internet如此凶险,iSCSI所面临的安全考验可想而知。
幸好IETF和SNIA的IP存储工作组对此早有防范,在制订iSCSI标准之初就充分考虑了通讯的安全问题。按照SNIAIP存储工作组的说法,针对iSCSI技术的保护可以分为五个级别。
一、 无安全保护
且慢扔西红柿,听我说完嘛!
最简单的iSCSI实现方式,就是没有任何加密和认证机制的连接。这种方式仅提供了“SCSI指令在TCP/IP协议上传输”这样一个最基本的功能,连接到网络上的任何一台主机都可以毫无阻碍的连接到iSCSI存储设备。
这种方式显然对任何危险都没有防范能力。但是,这种方式也有一个显然的优势,那就是性能。没有了认证和加密,自然也就省去了很多额外开销。如果您非常需要您的iSCSI磁盘阵列以全速工作,这种方式无疑是最好的选择。刘祥要是带着安全帽、穿上防弹衣去参加奥运会,肯定也拿不了第一名。
当然,选择这种方式的时候,用来连接iSCSI磁盘阵列的网络交换机最好是与外界隔离的。这样安全问题就不那么突出了。不带安全帽,就离建筑工地远点呗,最好待在自己家里。板砖破窗而入的事件虽然也有可能发生,但毕竟比在建筑工地周围安全多了.
二、 iSCSI Initiator和Target通讯认证
这种方式是在iSCSI通讯的两端做文章。Initiator就是主机端,Target是磁盘阵列端。目前市面上的iSCSI产品,一般都会在产品介绍中注明支持CHAP、SRP、Kerberos、SPKM等等认证方式。这些都属于此类“安全帽”。这些看似诡异的英文缩写所对应的,都是传统网络中非常成熟,应用非常广泛的认证保护技术。
与传统网络认证技术一样,它们的意义就在于防止非授权的用户访问。
记得当初我做网络管理员的时候,就曾经“利用职权之便”,为关系好的同事创造方便。我让他们可以使用更大的服务器空间,还可以就近使用本来为领导们预备的打印机。有一个同事居然追求我喜欢的女孩儿,我一生气,删除了他在所有打印服务器上的帐号,逼着他只能抱着电脑跑到走廊尽头,去使用那台唯一没接服务器的老式打印机。
在iSCSI技术中,打印服务器变成了iSCSI磁盘阵列。如果想使用磁盘阵列,必须先有访问这台磁盘阵列的权限,访问的时候还要通过那些七七八八的认证。为了防止冒名顶替,认证的过程还会动用一下加密技术。
总之,如果管理员不想让你使用,虽然网线连着,你也没法使用。用计算机术语说,就是iSCSI Target只与授权的Initiator建立连接。
当然,设置权限的那个管理员也是安全的重要关口,幸好天下还是好人多。其实我后来也改邪归正了,因为那个女孩发现我的劣行之后,义无反顾的嫁给了我的同事。值得我反省啊!
三、 IP防火墙和VPN
有了用户认证,情况当然好很多。但是实际应用中,还是免不了出现漏洞。别的不说,相信设置空白口令这件事就会让很多管理员头疼。反正我做管理员的时候,就为此头疼不已。很多同事嫌口令难记,干脆留空,或者随手设成111111之类。这种口令实在令人着急,稍微耐心一点的黑客,手工都可以试出来,更何况眼下各种字典攻击程序满天飞。
对iSCSI磁盘阵列来说,情况也是一样。如果仅靠用户认证不能解决问题,就需要借鉴传统IP网络的办法,在内网和外网之间架设防火墙,阻击外面那些有充分精力和耐心的“尝试者”。如果iSCSI磁盘阵列(Target)和主机(Initiator)需要跨广域网连接,最好使两者以VPN互连。
上一篇:数据备份、恢复好工具ATI使用全攻略
下一篇:LSI逻辑:iSCSI 更适合中小企业应用
|
精品推荐