iSCSI還得益于其硬件選擇。在大多數(shù)情況下,周圍同樣的以太電纜和網(wǎng)絡(luò)設(shè)備可以用來順利傳送iSCSI流量。
由于所有這些都適用于它,把服務(wù)器連接到存儲(chǔ)系統(tǒng)的iSCSI協(xié)議似乎是跨IT環(huán)境的首要選擇。但是它確實(shí)有一個(gè)缺點(diǎn),這一點(diǎn)在匆忙加速部署新服務(wù)器時(shí)經(jīng)常被忽視。
這個(gè)缺點(diǎn)是iSCSI保護(hù)這些連接的選項(xiàng)。不像連接從不離開服務(wù)器機(jī)架的直接附加式存儲(chǔ),也不像光纖通道的完全獨(dú)立和單次使用的連接基礎(chǔ)架構(gòu),iSCSI的在已有網(wǎng)絡(luò)上使用它的價(jià)值掩蓋了很多安全問題,這些問題并不能顯而易見地解決。
但是保護(hù)iSCSI網(wǎng)絡(luò)連接的解決方案確實(shí)存在。特別有趣的是,這些解決方案可以在各自之上進(jìn)行分層來創(chuàng)造安全數(shù)據(jù)所需的任何深度。當(dāng)管理員考慮把iSCSI暴露在他們的環(huán)境中時(shí),他們應(yīng)該仔細(xì)考慮這一點(diǎn)。
第一層:分離的訪問控制列表(ACL)網(wǎng)絡(luò)。iSCSI針對(duì)千里眼的第一層防護(hù)不會(huì)在iSCSI協(xié)議自身的內(nèi)部發(fā)生。相反,創(chuàng)建來支持iSCSI的架構(gòu)應(yīng)該以這樣的方式,即把iSCSI流量與其它傳統(tǒng)網(wǎng)絡(luò)分開。
出于安全需要以及為了確保保障性能,隔離可以是物理性的,即通過建立通過分離的網(wǎng)絡(luò)設(shè)備的路徑來實(shí)現(xiàn)。它也可以是邏輯的,即通過使用網(wǎng)絡(luò)層的VLAN和訪問控制列表(ACL)來實(shí)現(xiàn)。配置第三層(基于IP)網(wǎng)絡(luò)設(shè)備上的ACL可以確保適當(dāng)?shù)牧髁柯酚。它也具有屏蔽不該在全球范圍被訪問的iSCSILUN的效果。iSCSI通過默認(rèn)的TCP端口3260運(yùn)行,它引入了這樣一個(gè)概念:第四層(基于端口)的訪問控制列表也可以提供額外的安全性。
第二層:挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP)驗(yàn)證。雖然ACL也許能確保iSCSI流量準(zhǔn)確地轉(zhuǎn)到正確的主機(jī),但是它并沒有為存儲(chǔ)器驗(yàn)證服務(wù)器。這個(gè)過程通過這個(gè)協(xié)議的挑戰(zhàn)握手認(rèn)證協(xié)議支持來處理,它使用了兩個(gè)可能的配置之一。第一個(gè)是單向的CHAP身份驗(yàn)證,存儲(chǔ)器上的iSCSI目標(biāo)驗(yàn)證服務(wù)器的啟動(dòng)程序。存儲(chǔ)器上設(shè)置了單向CHAP身份驗(yàn)證的秘密,本質(zhì)上它是iSCSI密碼。任何正在進(jìn)入的服務(wù)器啟動(dòng)程序必須知道這個(gè)密碼才能發(fā)起會(huì)話。
第二個(gè)稍微好一點(diǎn)的選擇是雙向CHAP身份驗(yàn)證,在這種情況下iSCSI目標(biāo)和啟動(dòng)程序彼此進(jìn)行身份驗(yàn)證。在這個(gè)配置中使用了分離的秘密,連接的各方都有一個(gè)。每一方都必須知道另一方的秘密才能啟動(dòng)連接。
第三層:遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)驗(yàn)證。RADIUS,或者稱為遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù),長久以來與電話和調(diào)制解調(diào)器聯(lián)系在一起。這個(gè)服務(wù)也已經(jīng)演變成驗(yàn)證其它協(xié)議的一個(gè)標(biāo)準(zhǔn)。iSCSI的啟動(dòng)程序和目標(biāo)不是彼此驗(yàn)證,而是通過RADIUS服務(wù)器來驗(yàn)證。
通過第三方服務(wù)的集中式驗(yàn)證改善了安全性管理。使用CHAP驗(yàn)證配置密碼需要跨越多臺(tái)服務(wù)器以及存儲(chǔ)器連接來輸入它們的字符串。密碼數(shù)據(jù)的分布引入了犯錯(cuò)誤的機(jī)會(huì)。僅僅記錄許多密碼會(huì)暴露漏洞。RADIUS服務(wù)器的集中式驗(yàn)證降低了投入,這就減少了這些管理風(fēng)險(xiǎn)。
第四層:互聯(lián)網(wǎng)協(xié)議安全驗(yàn)證。不幸的是,CHAP驗(yàn)證自身并不是一個(gè)非常強(qiáng)大的保護(hù)連接安全的機(jī)制。據(jù)報(bào)道,CHAP會(huì)受到離線字典攻擊,一個(gè)持久的攻擊者可以通過強(qiáng)力手段最終猜到密碼。正是由于這個(gè)原因,在創(chuàng)建CHAP密碼時(shí)推薦使用隨機(jī)的字母和數(shù)字串。實(shí)際上RADIUS自身也僅僅是一個(gè)管理CHAP密碼的服務(wù),這暗示著它的實(shí)施并不會(huì)增加太多超過秘密總合的安全性。
這些因素表明真正的安全連接身份驗(yàn)證需要一個(gè)不同的方法,一個(gè)不會(huì)受制于CHAP漏洞的方法。IPSec可以滿足這些更強(qiáng)的身份驗(yàn)證需求。IPSec工作在IP數(shù)據(jù)包層,賦予了它TCP/IP協(xié)議棧的全部功能。IPSec身份驗(yàn)證可以通過使用預(yù)共享密鑰(類似于CHAP)而存在,但是它也支持類似于Kerberos和基于證書的身份驗(yàn)證的更強(qiáng)大的框架。
IPSec的最大的局限性在于存儲(chǔ)設(shè)備的支持上。盡管CHAP身份驗(yàn)證與iSCSI連接更加密切相關(guān),但是IPSec的功能可能不是存儲(chǔ)器操作系統(tǒng)的功能集的一部分。請查閱制造商的文檔來獲取關(guān)于存儲(chǔ)器硬件的支持的相關(guān)信息。
第五層:互聯(lián)網(wǎng)協(xié)議安全加密。這一點(diǎn)的所有安全層都集中它們的精力來確保兩個(gè)設(shè)備可以進(jìn)行通信。這就是身份驗(yàn)證過程。這一點(diǎn)對(duì)保護(hù)存儲(chǔ)器數(shù)據(jù)沒有給予任何關(guān)注,因?yàn)樗峭ㄟ^網(wǎng)絡(luò)流動(dòng)。解決這個(gè)問題需要加密技術(shù),這是IPSec支持的另一項(xiàng)活動(dòng)。IPSec加密代表了這五層的最后部分,因?yàn)橹挥性诜⻊?wù)器啟動(dòng)程序已經(jīng)被存儲(chǔ)設(shè)備的目標(biāo)驗(yàn)證后它才發(fā)生。產(chǎn)生的流量在源端進(jìn)行加密,然后傳送成功之后進(jìn)行解密。
雖然加密流量確實(shí)提供了最高級(jí)別的安全性,但是這樣做也帶來了性能上的成本。加密和解密活動(dòng)僅僅是需要更多的處理過程,這本身就會(huì)影響整體傳輸速度。因此,目前的最佳做法建議通過IPSec加密流量僅限于不信任的網(wǎng)絡(luò),或者用在需要極度安全的情況。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:怎么保障iSCSI存儲(chǔ)連接?
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083956989.html