DoSTOR专家观点:在iSCSI协议出现以后,基于IP协议和以太网技术的存储区域网络—IP SAN应运而生。从此SAN就不能再作为光纤存储网络-FC SAN的代名词了。iSCSI 是一种在IP协议的网络上,主要是以太网上进行块数据传输的协议。它是由Cisco 和IBM共同研发,并且得到业界广泛认可, 目前已经成为新一代存储技术的标准协议。简单地说,iSCSI可以实现在IP网络上运行SCSI协议,它能够在以太网、INTERNET上执行SAN存储。
一直以来存储设备提供商致力于将SAN中使用的光纤通道设定为一种实用标准,但是由于各主流厂商囿于固有利益,相互之间难以协调,标准化一直没有取得明显进展, 同时光纤通道是一种高速串行互联,缺乏实现路由选择和节点容错的内置功能,只能提供最原始的地址管理和访问隔离功能;例如,光纤通道链路间虽然可以实现多路径冗余,却难以象以太网那样通过TRUNK技术实现多链路负载均衡。
在光纤通道 SAN中,所有功能都必须由操作员进行手工配置,由主机进行管理。这样,就会要求操作人员掌握不同厂商FC SAN相关设备的配置、使用、维护技术。而iSCSI是一套完全遵从IP协议标准的技术规范,它能够充分利用标准的IP网络的功能以及以太网的普及性,从而降低人员培训的要求和今后使用、维护的困难。
在SAN存储应用走出数据中心走向跨广域的备份、容灾应用的今天,简单、标准通用、低成本的IP SAN日益普及;而FC SAN高昂的建设成本和非标特性,限制了FC SAN技术的进一步发展。
iSCSI是将SCSI协议封装在IP协议中从而可以直接运行在互联网络上,而安全性是互联网永恒的话题。对于用户来讲,存储设备保存的是用户最为关键的数据,这些数据也往往是私密性的,一旦把这些数据放置在网络上,安全问题将变得非常突出。
IETF和SNIA的IP存储工作组在制定iSCSI 标准时就充分考虑了安全问题,例如IETF的Internet工程指导小组(IESG)要求在三种IP存储协议中使用IPSec:iSCSI、FCIP和iFCP。但这样做显然会影响性能,而通常在平衡性能和安全性的要求时候,大多数人总是倾向于更好的性能。
前几年,万兆网络存储尚未出现,IP存储设备的端口性能一直停留在千兆速率,相对于FC的4Gbps,端口性能差距十分明显。因而IP存储设备往往被定位在对性能要求较低的非关键应用的环境中使用,这些非关键应用本身对数据安全性的要求也较低。
那么,相对于FC 存储技术,IP存储是否就是不安全存储的代名词? 事实显然是否定的,我们先来看看FC SAN是如何处理安全性问题的
从技术角度上讲,光纤通道并没有人们想象中的安全,按网络七层模型分析光纤通道协议是工作在第二层的协议,原本并没有建立安全机制,而且该协议和IP协议完全不同, 不能直接运行在IP网络上。也就是说首先FC协议不能直接在互联网上运行,因而不存在在广域网上被窃听的机会,其次一旦连接存储设备的服务器被攻破,没有任何安全认证机制的FC SAN存储设备自然就完全暴露在入侵者面前。第三,FC协议在发起端和目标端通过唯一的WWPN号来建立对应关系,而黑客可以简单地采用SPOOFING方式伪装成合法的发起端, 从而取得对未经授权的目标端存储空间的访问。
光纤通道环境给人感觉具有比较高的安全性,原因在于它们是服务器后端的专用局域网络,从本质上来说光纤通道结构是一个独立的子网,专门处理在数据中心内的主机与存储设备之间的数据通讯问题。iSCSI给人感觉安全性较低,原因在于它可以通过基于以太网和IP协议和服务器直接连接。不过,通过部署专用于存储的IP网络,并和前端数据通信网络相对隔离,我们就可以实现和光纤通道技术相同级别的网络存储安全性。
实际上,IP存储技术提供了非常丰富的安全功能。iSCSI协议提供了initiator与目标端两方面的身份验证(使用CHAP、SRP、Kerberos和SPKM),能够阻止未经授权的访问,只允许那些可信赖的节点进行访问。另外,IPsec Digests(IPsec摘要)和Anti-Reply(防回复)功能阻止了插入、修改和删除操作,而IPsec Encryption(IPsec加密)或SSL 加密功能防止被偷听,确保了私密性。另外,IP存储设备还可以和基于IP技术的网络安全设备实现联动,进一步提高了存储系统的安全性和对抗各种威胁的能力。
具体维护操作过程中,我们可以通过以下几个步骤对IP SAN网络的安全性和所存放的数据的安全性进行管理
1、访问控制管理。
完善IT部门日常工作管理机制,定时检查区域网络连线状况以保障基础网络线路的正确性,经常检查存储系统的访问日志,确认存储系统访问者都经过授权许可;限制管理区域网络存储系统的终端与内外网的互访,并将SAN存储系统内的重要数据划分不同的区块并进行屏蔽,将不同区块与对应部门相关授权人员不同级别的访问权限对应,不定时更换访问密码以避免黑客的授权欺骗攻击;
通过设置访问控制列表,对设备的身份合法性进行控制,限制非法设备接入IP SAN网络中访问资源。作为SAN存储系统的组成部分,华三公司提供的IP SAN交换机(如H3C S9500/S7500/S5500等)可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,对访问存储系统资源的设备进行精细的安全访问权限过滤,防止非法设备接入网络中获取资源。
目前市面上主流的IP SAN存储系统都可支持基于IP地址的访问控制列表,不过,稍微厉害一点的黑客就能够轻松地破解这道安全防线。
另一个办法就是使用iSCSI客户机的起始端名字(initiator name)。与光纤系统的全球名字(WORLD WIDE NAME,简称WWN,全球统一的64位无符号的名称标识符)、以太网的MAC地址一样,起始端名字指的是为每台iSCSI主机总线适配器(HBA)或软件起始端(software initiator)分配到的全球唯一的名称标识。不过,它的缺点也与WWN、MAC地址一样,很容易被制服。这与光纤系统的逻辑单元屏蔽(LUN masking)技术一样,其首要任务只是为了隔离客户端(Targetor)的存储资源,而非构筑有效的安全防范屏障。
2、使用用户身份验证机制。
除了控制设备的合法性外,还可以通过AAA认证安全策略,对访问系统资源的用户进行认证。
各公司的 IP SAN系列交换机基本都支持集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、VLAN、交换机端口任意组合绑定,有效的防止非法用户访问SAN网络。此外,IP SAN交换机还可通过支持DUD(Disconnect Unauthorised Device)认证(通过MAC地址学习数目限制和MAC地址与端口绑定实现)、支持用户分级管理和口令保护、端口隔离、MAC地址黑洞、支持防止DoS攻击等功能进一步提高SAN网络的安全级别。
此外,诸如问询-握手身份验证协议(Challenge-Handshake Authentication Protocol,CHAP)之类的身份验证协议,将会通过匹配用户名和登陆密码,来识别用户的身份。由于密码不以纯文本的形式在网络中传输,从而避免了掉包和被拦截的情况发生,所以,该协议赢得了许多网络管理员的信任。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service,RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上,对终端进行认证、授权和统计。这2种协议在低端IP存储设备上也已经得到使用,例如EX1000。
即使如此,网络黑客仍然可以通过伪设置的办法,侵入正常客户端设备或管理终端设备,再通过这些客户端窃取数据。因此,我们建议通过EAD(端点准入防御)功能实现动态的用户合法验证,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
显然,FC SAN设备不具备如此强大的安全措施,也不能和基于IP的前端安全设备实现联动。
3、保护好存储设备管理界面。
通过分析近年来企业级光纤系统遭受攻击的案例,会得到一个重要的结论:保护好存储设备的管理界面是极其必要的。网络黑客或企业内部人员只要能使用存储设备管理程序,就能够重新分配存储器的赋值,更改、偷窃甚至摧毁数据文件。因此,用户应该将管理界面隔离在安全的局域网内,如利用防火墙和VPN、IPS、SecCenter、UDM等更高级别的安全和管理软件,并设置复杂的登录密码甚至采用生物识别技术来保护管理员帐户。
4、对通过网络传输的数据包进行加密。
IP security(IPsec)是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通讯手段:一是IPSec Tunnel:整个IP封装在IPSec报文,提供IPSec-gateway之间的通讯;二是IPSec Transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分(即:有效载荷),对文件头不作任何处理;Tunnel模式会将信息包的数据部分和文件头一并进行加密,在不要求修改已配备好的设备和应用的前提下,让网络黑客无法看到实际的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道。因此,绝大多数用户均选择使用Tunnel模式。用户需要在接收端设置一台支持IPsec协议的解密设备,对封装的信息包进行解密。记住,如果接收端与发送端并非共用一个密钥的话,IPsec协议将无法发挥作用。为了确保网络的安全,存储供应货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI系统中所有传输的数据。
IPsec虽然是一种强大的安全保护技术,却会严重地降低网络系统的性能。另外,IPsec 比较适合"点对点接入"。由于客户端使用不方便,对访问请求缺乏细粒度的权限管理,IPsec 技术在"远程接入"方面不太适合。
而SSL加密传输技术却是在广域网条件下一个更好的选择。在H3C等公司的磁盘阵列上已经内置了这个功能。用户可以利用这一技术手段,在广域网上实现安全的SAN存储,即WSAN
5、加密磁盘数据。
加密磁盘上存放的数据,也是非常必要的。加密任务可以在在客户端(如:加密的文件)、网络(如:PKI加密解决方案),或者在存储子系统上完成。目前,多数用户都倾向于简便易用的客户端加密方案。大多数企业级操作系统(包括Windows和Linux在内),都可以嵌入基于文件系统的加密技术,在数据被传送到网络之前实施加密,可以确保它在网上传输时和远端存储时都处于加密状态。当然,也可以考虑将加密过程放到网络中或是交由基于磁盘阵列的加密措施来处理。
目前,在杭州市政府统一灾备项目中已经使用了存储前对数据加密的技术。
6、及时备份
值得一提的是新一代的磁盘阵列都具有的多种数据备份、保护功能,这些功能往往可以通过设置管理策略实现自动的数据备份、保护工作。作为最后的补救措施,这些措施可以在存储设备前端的各种安全机制失效的情况下,保证您还有至少一份可靠的数据备份。
今天企业遇到的安全挑战是全方位的,安全保护已从传统的边界安全向全方位深度防御转移。为实现全方位深度防御,企业需要将多种安全措施嵌入到网络的各个层次,并集成到所有IT设备中。每个安全组件都能为异常流量检测、威胁反应和分析提供分立的事件日志和警报特性。显然,继续寄希望于FC 协议的二层访问控制机制来保证SAN存储的数据安全 ,已经是一种过时的鸵鸟政策。