五層安全措施保障iSCSI存儲連接
作為存儲協議的互聯網小型計算機接口(iSCSI)以其管理的簡單性著稱。如果一個管理員知道TCP/IP協議以及有自尊心的管理員所不知道的內容,那么他們就擁有了成功管理iSCSI連接所需的知識。
iSCSI還得益于其硬件選擇。在大多數情況下,周圍同樣的以太電纜和網絡設備可以用來順利傳送iSCSI流量。
由于所有這些都適用于它,把服務器連接到存儲系統的iSCSI協議似乎是跨IT環境的首要選擇。但是它確實有一個缺點,這一點在匆忙加速部署新服務器時經常被忽視。
這個缺點是iSCSI保護這些連接的選項。不像連接從不離開服務器機架的直接附加式存儲,也不像光纖通道的完全獨立和單次使用的連接基礎架構,iSCSI的在已有網絡上使用它的價值掩蓋了很多安全問題,這些問題并不能顯而易見地解決。
但是保護iSCSI網絡連接的解決方案確實存在。特別有趣的是,這些解決方案可以在各自之上進行分層來創造安全數據所需的任何深度。當管理員考慮把iSCSI暴露在他們的環境中時,他們應該仔細考慮這一點。
第一層:分離的訪問控制列表(ACL)網絡。iSCSI針對千里眼的第一層防護不會在iSCSI協議自身的內部發生。相反,創建來支持iSCSI的架構應該以這樣的方式,即把iSCSI流量與其它傳統網絡分開。
出于安全需要以及為了確保保障性能,隔離可以是物理性的,即通過建立通過分離的網絡設備的路徑來實現。它也可以是邏輯的,即通過使用網絡層的VLAN和訪問控制列表(ACL)來實現。配置第三層(基于IP)網絡設備上的ACL可以確保適當的流量路由。它也具有屏蔽不該在全球范圍被訪問的iSCSI LUN的效果。iSCSI通過默認的TCP端口3260運行,它引入了這樣一個概念:第四層(基于端口)的訪問控制列表也可以提供額外的安全性。
第二層:挑戰握手認證協議(CHAP)驗證。雖然ACL也許能確保iSCSI流量準確地轉到正確的主機,但是它并沒有為存儲器驗證服務器。這個過程通過這個協議的挑戰握手認證協議支持來處理,它使用了兩個可能的配置之一。第一個是單向的CHAP身份驗證,存儲器上的iSCSI目標驗證服務器的啟動程序。存儲器上設置了單向CHAP身份驗證的秘密,本質上它是iSCSI密碼。任何正在進入的服務器啟動程序必須知道這個密碼才能發起會話。
第二個稍微好一點的選擇是雙向CHAP身份驗證,在這種情況下iSCSI目標和啟動程序彼此進行身份驗證。在這個配置中使用了分離的秘密,連接的各方都有一個。每一方都必須知道另一方的秘密才能啟動連接。
第三層:遠程身份驗證撥入用戶服務(RADIUS)驗證。RADIUS,或者稱為遠程身份驗證撥入用戶服務,長久以來與電話和調制解調器聯系在一起。這個服務也已經演變成驗證其它協議的一個標準。iSCSI的啟動程序和目標不是彼此驗證,而是通過RADIUS服務器來驗證。
通過第三方服務的集中式驗證改善了安全性管理。使用CHAP驗證配置密碼需要跨越多臺服務器以及存儲器連接來輸入它們的字符串。密碼數據的分布引入了犯錯誤的機會。僅僅記錄許多密碼會暴露漏洞。RADIUS服務器的集中式驗證降低了投入,這就減少了這些管理風險。
第四層:互聯網協議安全驗證。不幸的是,CHAP驗證自身并不是一個非常強大的保護連接安全的機制。據報道,CHAP會受到離線字典攻擊,一個持久的攻擊者可以通過強力手段最終猜到密碼。正是由于這個原因,在創建CHAP密碼時推薦使用隨機的字母和數字串。實際上RADIUS自身也僅僅是一個管理CHAP密碼的服務,這暗示著它的實施并不會增加太多超過秘密總合的安全性。
這些因素表明真正的安全連接身份驗證需要一個不同的方法,一個不會受制于CHAP漏洞的方法。IPSec可以滿足這些更強的身份驗證需求。IPSec工作在IP數據包層,賦予了它TCP/IP協議棧的全部功能。IPSec身份驗證可以通過使用預共享密鑰(類似于CHAP)而存在,但是它也支持類似于Kerberos和基于證書的身份驗證的更強大的框架。
IPSec的最大的局限性在于存儲設備的支持上。盡管CHAP身份驗證與iSCSI連接更加密切相關,但是IPSec的功能可能不是存儲器操作系統的功能集的一部分。請查閱制造商的文檔來獲取關于存儲器硬件的支持的相關信息。
第五層:互聯網協議安全加密。這一點的所有安全層都集中它們的精力來確保兩個設備可以進行通信。這就是身份驗證過程。這一點對保護存儲器數據沒有給予任何關注,因為它是通過網絡流動。解決這個問題需要加密技術,這是IPSec支持的另一項活動。IPSec加密代表了這五層的最后部分,因為只有在服務器啟動程序已經被存儲設備的目標驗證后它才發生。產生的流量在源端進行加密,然后傳送成功之后進行解密。
雖然加密流量確實提供了最高級別的安全性,但是這樣做也帶來了性能上的成本。加密和解密活動僅僅是需要更多的處理過程,這本身就會影響整體傳輸速度。因此,目前的最佳做法建議通過IPSec加密流量僅限于不信任的網絡,或者用在需要極度安全的情況。
iSCSI確實是一個把服務器路由到存儲器的很好的協議。對于那些熟悉TCP/IP的基本面的人來講,iSCSI易于使用、互連簡單以及需要一個較短的學習曲線,它為IT提供了一個一流的服務。然而,要謹防其經常被遺忘的缺點:由于缺乏正確的安全層,iSCSI可能會使存儲器流量以容易利用的方式暴露在外。
【編輯推薦】
