作為存儲(chǔ)協(xié)議的互聯(lián)網(wǎng)小型計(jì)算機(jī)接口（iSCSI）以其管理的簡單性著稱。如果一個(gè)管理員知道TCP/IP協(xié)議以及有自尊心的管理員所不知道的內(nèi)容，那么他們就擁有了成功管理iSCSI連接所需的知識(shí)。

　　iSCSI還得益于其硬件選擇。在大多數(shù)情況下，周圍同樣的以太電纜和網(wǎng)絡(luò)設(shè)備可以用來順利傳送iSCSI流量。

　　由于所有這些都適用于它，把服務(wù)器連接到存儲(chǔ)系統(tǒng)的iSCSI協(xié)議似乎是跨IT環(huán)境的首要選擇。但是它確實(shí)有一個(gè)缺點(diǎn)，這一點(diǎn)在匆忙加速部署新服務(wù)器時(shí)經(jīng)常被忽視。

　　這個(gè)缺點(diǎn)是iSCSI保護(hù)這些連接的選項(xiàng)。不像連接從不離開服務(wù)器機(jī)架的直接附加式存儲(chǔ)，也不像光纖通道的完全獨(dú)立和單次使用的連接基礎(chǔ)架構(gòu)，iSCSI的在已有網(wǎng)絡(luò)上使用它的價(jià)值掩蓋了很多安全問題，這些問題并不能顯而易見地解決。

　　但是保護(hù)iSCSI網(wǎng)絡(luò)連接的解決方案確實(shí)存在。特別有趣的是，這些解決方案可以在各自之上進(jìn)行分層來創(chuàng)造安全數(shù)據(jù)所需的任何深度。當(dāng)管理員考慮把iSCSI暴露在他們的環(huán)境中時(shí)，他們應(yīng)該仔細(xì)考慮這一點(diǎn)。

　　第一層：分離的訪問控制列表（ACL）網(wǎng)絡(luò)。iSCSI針對(duì)千里眼的第一層防護(hù)不會(huì)在iSCSI協(xié)議自身的內(nèi)部發(fā)生。相反，創(chuàng)建來支持iSCSI的架構(gòu)應(yīng)該以這樣的方式，即把iSCSI流量與其它傳統(tǒng)網(wǎng)絡(luò)分開。

　　出于安全需要以及為了確保保障性能，隔離可以是物理性的，即通過建立通過分離的網(wǎng)絡(luò)設(shè)備的路徑來實(shí)現(xiàn)。它也可以是邏輯的，即通過使用網(wǎng)絡(luò)層的VLAN和訪問控制列表（ACL）來實(shí)現(xiàn)。配置第三層（基于IP）網(wǎng)絡(luò)設(shè)備上的ACL可以確保適當(dāng)?shù)牧髁柯酚?。它也具有屏蔽不該在全球范圍被訪問的iSCSI LUN的效果。iSCSI通過默認(rèn)的TCP端口3260運(yùn)行，它引入了這樣一個(gè)概念：第四層（基于端口）的訪問控制列表也可以提供額外的安全性。

　　第二層：挑戰(zhàn)握手認(rèn)證協(xié)議（CHAP）驗(yàn)證。雖然ACL也許能確保iSCSI流量準(zhǔn)確地轉(zhuǎn)到正確的主機(jī)，但是它并沒有為存儲(chǔ)器驗(yàn)證服務(wù)器。這個(gè)過程通過這個(gè)協(xié)議的挑戰(zhàn)握手認(rèn)證協(xié)議支持來處理，它使用了兩個(gè)可能的配置之一。第一個(gè)是單向的CHAP身份驗(yàn)證，存儲(chǔ)器上的iSCSI目標(biāo)驗(yàn)證服務(wù)器的啟動(dòng)程序。存儲(chǔ)器上設(shè)置了單向CHAP身份驗(yàn)證的秘密，本質(zhì)上它是iSCSI密碼。任何正在進(jìn)入的服務(wù)器啟動(dòng)程序必須知道這個(gè)密碼才能發(fā)起會(huì)話。

　　第二個(gè)稍微好一點(diǎn)的選擇是雙向CHAP身份驗(yàn)證，在這種情況下iSCSI目標(biāo)和啟動(dòng)程序彼此進(jìn)行身份驗(yàn)證。在這個(gè)配置中使用了分離的秘密，連接的各方都有一個(gè)。每一方都必須知道另一方的秘密才能啟動(dòng)連接。

　　第三層：遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)（RADIUS）驗(yàn)證。RADIUS，或者稱為遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)，長久以來與電話和調(diào)制解調(diào)器聯(lián)系在一起。這個(gè)服務(wù)也已經(jīng)演變成驗(yàn)證其它協(xié)議的一個(gè)標(biāo)準(zhǔn)。iSCSI的啟動(dòng)程序和目標(biāo)不是彼此驗(yàn)證，而是通過RADIUS服務(wù)器來驗(yàn)證。

　　通過第三方服務(wù)的集中式驗(yàn)證改善了安全性管理。使用CHAP驗(yàn)證配置密碼需要跨越多臺(tái)服務(wù)器以及存儲(chǔ)器連接來輸入它們的字符串。密碼數(shù)據(jù)的分布引入了犯錯(cuò)誤的機(jī)會(huì)。僅僅記錄許多密碼會(huì)暴露漏洞。RADIUS服務(wù)器的集中式驗(yàn)證降低了投入，這就減少了這些管理風(fēng)險(xiǎn)。

　　第四層：互聯(lián)網(wǎng)協(xié)議安全驗(yàn)證。不幸的是，CHAP驗(yàn)證自身并不是一個(gè)非常強(qiáng)大的保護(hù)連接安全的機(jī)制。據(jù)報(bào)道，CHAP會(huì)受到離線字典攻擊，一個(gè)持久的攻擊者可以通過強(qiáng)力手段最終猜到密碼。正是由于這個(gè)原因，在創(chuàng)建CHAP密碼時(shí)推薦使用隨機(jī)的字母和數(shù)字串。實(shí)際上RADIUS自身也僅僅是一個(gè)管理CHAP密碼的服務(wù)，這暗示著它的實(shí)施并不會(huì)增加太多超過秘密總合的安全性。

　　這些因素表明真正的安全連接身份驗(yàn)證需要一個(gè)不同的方法，一個(gè)不會(huì)受制于CHAP漏洞的方法。IPSec可以滿足這些更強(qiáng)的身份驗(yàn)證需求。IPSec工作在IP數(shù)據(jù)包層，賦予了它TCP/IP協(xié)議棧的全部功能。IPSec身份驗(yàn)證可以通過使用預(yù)共享密鑰（類似于CHAP）而存在，但是它也支持類似于Kerberos和基于證書的身份驗(yàn)證的更強(qiáng)大的框架。

　　IPSec的最大的局限性在于存儲(chǔ)設(shè)備的支持上。盡管CHAP身份驗(yàn)證與iSCSI連接更加密切相關(guān)，但是IPSec的功能可能不是存儲(chǔ)器操作系統(tǒng)的功能集的一部分。請(qǐng)查閱制造商的文檔來獲取關(guān)于存儲(chǔ)器硬件的支持的相關(guān)信息。

　　第五層：互聯(lián)網(wǎng)協(xié)議安全加密。這一點(diǎn)的所有安全層都集中它們的精力來確保兩個(gè)設(shè)備可以進(jìn)行通信。這就是身份驗(yàn)證過程。這一點(diǎn)對(duì)保護(hù)存儲(chǔ)器數(shù)據(jù)沒有給予任何關(guān)注，因?yàn)樗峭ㄟ^網(wǎng)絡(luò)流動(dòng)。解決這個(gè)問題需要加密技術(shù)，這是IPSec支持的另一項(xiàng)活動(dòng)。IPSec加密代表了這五層的最后部分，因?yàn)橹挥性诜?wù)器啟動(dòng)程序已經(jīng)被存儲(chǔ)設(shè)備的目標(biāo)驗(yàn)證后它才發(fā)生。產(chǎn)生的流量在源端進(jìn)行加密，然后傳送成功之后進(jìn)行解密。

　　雖然加密流量確實(shí)提供了最高級(jí)別的安全性，但是這樣做也帶來了性能上的成本。加密和解密活動(dòng)僅僅是需要更多的處理過程，這本身就會(huì)影響整體傳輸速度。因此，目前的最佳做法建議通過IPSec加密流量僅限于不信任的網(wǎng)絡(luò)，或者用在需要極度安全的情況。

　　iSCSI確實(shí)是一個(gè)把服務(wù)器路由到存儲(chǔ)器的很好的協(xié)議。對(duì)于那些熟悉TCP/IP的基本面的人來講，iSCSI易于使用、互連簡單以及需要一個(gè)較短的學(xué)習(xí)曲線，它為IT提供了一個(gè)一流的服務(wù)。然而，要謹(jǐn)防其經(jīng)常被遺忘的缺點(diǎn)：由于缺乏正確的安全層，iSCSI可能會(huì)使存儲(chǔ)器流量以容易利用的方式暴露在外。

原文鏈接：http://www.searchsv.com.cn/showcontent_51329.htm