DoSTOR专家观点 探讨IP SAN和FC SAN安全性
时间:04-12
来源:存储在线
点击:
在iSCSI协议出现以后,基于IP协议和以太网技术的存储区域网络---IP SAN应运而生。从此SAN就不能再作为光纤存储网络-FC SAN的代名词了。iSCSI 是一种在IP协议的网络上,主要是以太网上进行块数据传输的协议。它是由Cisco 和IBM共同研发,并且得到业界广泛认可, 目前已经成为新一代存储技术的标准协议。简单地说,iSCSI可以实现在IP网络上运行SCSI协议,它能够在以太网、INTERNET上执行SAN存储。
一直以来存储设备提供商致力于将SAN中使用的光纤通道设定为一种实用标准,但是由于各主流厂商囿于固有利益,相互之间难以协调,标准化一直没有取得明显进展, 同时光纤通道是一种高速串行互联,缺乏实现路由选择和节点容错的内置功能,只能提供最原始的地址管理和访问隔离功能;例如,光纤通道链路间虽然可以实现多路径冗余,却难以象以太网那样通过TRUNK技术实现多链路负载均衡。
在光纤通道 SAN中,所有功能都必须由操作员进行手工配置,由主机进行管理。这样,就会要求操作人员掌握不同厂商FC SAN相关设备的配置、使用、维护技术。而iSCSI是一套完全遵从IP协议标准的技术规范,它能够充分利用标准的IP网络的功能以及以太网的普及性,从而降低人员培训的要求和今后使用、维护的困难。
在SAN存储应用走出数据中心走向跨广域的备份、容灾应用的今天,简单、标准通用、低成本的IP SAN日益普及;而FC SAN高昂的建设成本和非标特性,限制了FC SAN技术的进一步发展。
iSCSI是将SCSI协议封装在IP协议中从而可以直接运行在互联网络上,而安全性是互联网永恒的话题。对于用户来讲,存储设备保存的是用户最为关键的数据,这些数据也往往是私密性的,一旦把这些数据放置在网络上,安全问题将变得非常突出。
IETF和SNIA的IP存储工作组在制定iSCSI 标准时就充分考虑了安全问题,例如IETF的Internet工程指导小组(IESG)要求在三种IP存储协议中使用IPSec:iSCSI、FCIP和iFCP。但这样做显然会影响性能,而通常在平衡性能和安全性的要求时候,大多数人总是倾向于更好的性能。
前几年,万兆网络存储尚未出现,IP存储设备的端口性能一直停留在千兆速率,相对于FC的4Gbps,端口性能差距十分明显。因而IP存储设备往往被定位在对性能要求较低的非关键应用的环境中使用,这些非关键应用本身对数据安全性的要求也较低。
那么,相对于FC 存储技术,IP存储是否就是不安全存储的代名词? 事实显然是否定的,我们先来看看FC SAN是如何处理安全性问题的
从技术角度上讲,光纤通道并没有人们想象中的安全,按网络七层模型分析光纤通道协议是工作在第二层的协议,原本并没有建立安全机制,而且该协议和IP协议完全不同, 不能直接运行在IP网络上。也就是说首先FC协议不能直接在互联网上运行,因而不存在在广域网上被窃听的机会,其次一旦连接存储设备的服务器被攻破,没有任何安全认证机制的FC SAN存储设备自然就完全暴露在入侵者面前。第三,FC协议在发起端和目标端通过唯一的WWPN号来建立对应关系,而黑客可以简单地采用SPOOFING方式伪装成合法的发起端, 从而取得对未经授权的目标端存储空间的访问。
光纤通道环境给人感觉具有比较高的安全性,原因在于它们是服务器后端的专用局域网络,从本质上来说光纤通道结构是一个独立的子网,专门处理在数据中心内的主机与存储设备之间的数据通讯问题。iSCSI给人感觉安全性较低,原因在于它可以通过基于以太网和IP协议和服务器直接连接。不过,通过部署专用于存储的IP网络,并和前端数据通信网络相对隔离,我们就可以实现和光纤通道技术相同级别的网络存储安全性。
实际上,IP存储技术提供了非常丰富的安全功能。iSCSI协议提供了initiator与目标端两方面的身份验证(使用CHAP、SRP、Kerberos和SPKM),能够阻止未经授权的访问,只允许那些可信赖的节点进行访问。另外,IPsec Digests(IPsec摘要)和Anti-Reply(防回复)功能阻止了插入、修改和删除操作,而IPsec Encryption(IPsec加密)或SSL 加密功能防止被偷听,确保了私密性。另外,IP存储设备还可以和基于IP技术的网络安全设备实现联动,进一步提高了存储系统的安全性和对抗各种威胁的能力。
具体维护操作过程中,我们可以通过以下几个步骤对IP SAN网络的安全性和所存放的数据的安全性进行管理
1、访问控制管理。
完善IT部门日常工作管理机制,定时检查区域网络连线状况以保障基础网络线路的正确性,经常检查存储系统的访问日志,确认存储系统访问者都经过授权许可;限制管理区域网络存储系统的终端与内外网的互访,并将SAN存储系统内的重要数据划分不同的区块并进行屏蔽,将不同区块与对应部门相关授权人员不同级别的访问权限对应,不定时更换访问密码以避免黑客的授权欺骗攻击;
通过设置访问控制列表,对设备的身份合法性进行控制,限制非法设备接入IP SAN网络中访问资源。作为SAN存储系统的组成部分,华三公司提供的IP SAN交换机(如H3C S9500/S7500/S5500等)可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,对访问存储系统资源的设备进行精细的安全访问权限过滤,防止非法设备接入网络中获取资源。
目前市面上主流的IP SAN存储系统都可支持基于IP地址的访问控制列表,不过,稍微厉害一点的黑客就能够轻松地破解这道安全防线。
另一个办法就是使用iSCSI客户机的起始端名字(initiator name)。与光纤系统的全球名字(WORLD WIDE NAME,简称WWN,全球统一的64位无符号的名称标识符)、以太网的MAC地址一样,起始端名字指的是为每台iSCSI主机总线适配器(HBA)或软件起始端(software initiator)分配到的全球唯一的名称标识。不过,它的缺点也与WWN、MAC地址一样,很容易被制服。这与光纤系统的逻辑单元屏蔽(LUN masking)技术一样,其首要任务只是为了隔离客户端(Targetor)的存储资源,而非构筑有效的安全防范屏障。
一直以来存储设备提供商致力于将SAN中使用的光纤通道设定为一种实用标准,但是由于各主流厂商囿于固有利益,相互之间难以协调,标准化一直没有取得明显进展, 同时光纤通道是一种高速串行互联,缺乏实现路由选择和节点容错的内置功能,只能提供最原始的地址管理和访问隔离功能;例如,光纤通道链路间虽然可以实现多路径冗余,却难以象以太网那样通过TRUNK技术实现多链路负载均衡。
在光纤通道 SAN中,所有功能都必须由操作员进行手工配置,由主机进行管理。这样,就会要求操作人员掌握不同厂商FC SAN相关设备的配置、使用、维护技术。而iSCSI是一套完全遵从IP协议标准的技术规范,它能够充分利用标准的IP网络的功能以及以太网的普及性,从而降低人员培训的要求和今后使用、维护的困难。
在SAN存储应用走出数据中心走向跨广域的备份、容灾应用的今天,简单、标准通用、低成本的IP SAN日益普及;而FC SAN高昂的建设成本和非标特性,限制了FC SAN技术的进一步发展。
iSCSI是将SCSI协议封装在IP协议中从而可以直接运行在互联网络上,而安全性是互联网永恒的话题。对于用户来讲,存储设备保存的是用户最为关键的数据,这些数据也往往是私密性的,一旦把这些数据放置在网络上,安全问题将变得非常突出。
IETF和SNIA的IP存储工作组在制定iSCSI 标准时就充分考虑了安全问题,例如IETF的Internet工程指导小组(IESG)要求在三种IP存储协议中使用IPSec:iSCSI、FCIP和iFCP。但这样做显然会影响性能,而通常在平衡性能和安全性的要求时候,大多数人总是倾向于更好的性能。
前几年,万兆网络存储尚未出现,IP存储设备的端口性能一直停留在千兆速率,相对于FC的4Gbps,端口性能差距十分明显。因而IP存储设备往往被定位在对性能要求较低的非关键应用的环境中使用,这些非关键应用本身对数据安全性的要求也较低。
那么,相对于FC 存储技术,IP存储是否就是不安全存储的代名词? 事实显然是否定的,我们先来看看FC SAN是如何处理安全性问题的
从技术角度上讲,光纤通道并没有人们想象中的安全,按网络七层模型分析光纤通道协议是工作在第二层的协议,原本并没有建立安全机制,而且该协议和IP协议完全不同, 不能直接运行在IP网络上。也就是说首先FC协议不能直接在互联网上运行,因而不存在在广域网上被窃听的机会,其次一旦连接存储设备的服务器被攻破,没有任何安全认证机制的FC SAN存储设备自然就完全暴露在入侵者面前。第三,FC协议在发起端和目标端通过唯一的WWPN号来建立对应关系,而黑客可以简单地采用SPOOFING方式伪装成合法的发起端, 从而取得对未经授权的目标端存储空间的访问。
光纤通道环境给人感觉具有比较高的安全性,原因在于它们是服务器后端的专用局域网络,从本质上来说光纤通道结构是一个独立的子网,专门处理在数据中心内的主机与存储设备之间的数据通讯问题。iSCSI给人感觉安全性较低,原因在于它可以通过基于以太网和IP协议和服务器直接连接。不过,通过部署专用于存储的IP网络,并和前端数据通信网络相对隔离,我们就可以实现和光纤通道技术相同级别的网络存储安全性。
实际上,IP存储技术提供了非常丰富的安全功能。iSCSI协议提供了initiator与目标端两方面的身份验证(使用CHAP、SRP、Kerberos和SPKM),能够阻止未经授权的访问,只允许那些可信赖的节点进行访问。另外,IPsec Digests(IPsec摘要)和Anti-Reply(防回复)功能阻止了插入、修改和删除操作,而IPsec Encryption(IPsec加密)或SSL 加密功能防止被偷听,确保了私密性。另外,IP存储设备还可以和基于IP技术的网络安全设备实现联动,进一步提高了存储系统的安全性和对抗各种威胁的能力。
具体维护操作过程中,我们可以通过以下几个步骤对IP SAN网络的安全性和所存放的数据的安全性进行管理
1、访问控制管理。
完善IT部门日常工作管理机制,定时检查区域网络连线状况以保障基础网络线路的正确性,经常检查存储系统的访问日志,确认存储系统访问者都经过授权许可;限制管理区域网络存储系统的终端与内外网的互访,并将SAN存储系统内的重要数据划分不同的区块并进行屏蔽,将不同区块与对应部门相关授权人员不同级别的访问权限对应,不定时更换访问密码以避免黑客的授权欺骗攻击;
通过设置访问控制列表,对设备的身份合法性进行控制,限制非法设备接入IP SAN网络中访问资源。作为SAN存储系统的组成部分,华三公司提供的IP SAN交换机(如H3C S9500/S7500/S5500等)可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,对访问存储系统资源的设备进行精细的安全访问权限过滤,防止非法设备接入网络中获取资源。
目前市面上主流的IP SAN存储系统都可支持基于IP地址的访问控制列表,不过,稍微厉害一点的黑客就能够轻松地破解这道安全防线。
另一个办法就是使用iSCSI客户机的起始端名字(initiator name)。与光纤系统的全球名字(WORLD WIDE NAME,简称WWN,全球统一的64位无符号的名称标识符)、以太网的MAC地址一样,起始端名字指的是为每台iSCSI主机总线适配器(HBA)或软件起始端(software initiator)分配到的全球唯一的名称标识。不过,它的缺点也与WWN、MAC地址一样,很容易被制服。这与光纤系统的逻辑单元屏蔽(LUN masking)技术一样,其首要任务只是为了隔离客户端(Targetor)的存储资源,而非构筑有效的安全防范屏障。
- 苹果推出iPhone SDK Beta2(02-28)
- 分析师预测苹果将在6月9日发布3G iPhone(03-25)
- 意法半导体推出首款采用65nm制造工艺的SPEAr定制芯片(05-02)
- 英国无线设备 方圆5公里可连接Wi-Fi(05-03)
- 3G版iPhone国内水货估价2500-3500元(05-11)
- 北电推出40G光传输解决方案(05-11)