三、iSCSI的安全性
正是由于其采用广泛应用的IP网络和Internet网络为数据传输的通道,与传统的采用光纤通道FC SAN相比,iSCSI的安全性就凸现出来。因为传统的FC SAN在实际应用中,底层采用光纤通道FC的传输技术,上层采用Fibre Channel Protocol(FCP)传输SCSI协议,与广泛应用的IP网络不兼容,往往会形成一个与通信网络隔离开来的独立存储网络,其安全性容易得到保障。而iSCSI采用IP网络技术作为底层传输技术,完全可以在现有的通信网络中,甚至Internet上传输SCSI协议,这使得iSCSI不得不面临IP网络常见的安全性问题。
要了解iSCSI的安全问题,首先让我们看看iSCSI是如何工作的:
iSCSI是如何工作的呢?如前所述,iSCSI定义了TCP/IP网络上传输块存储应用的规则和过程。在物理层,iSCSI支持以太网卡(100、1000M),这样支持iSCSI的系统可以通过以太网卡直接接入以太网交换机或路由器。iSCSI协议介于物理和数据链路层与操作系统的标准SCSI命令集之间,将SCSI-3命令封装在TCP/IP包内,由IP网络负责其传输的可靠性。
SCSI命令和数据封装在TCP包中,穿过毫无防范的Internet网络,必然会引起安全问题。总之iSCSI面临的安全风险主要有:
主动型的攻击,如:身份伪装、伪造信息插入、数据删除/修改等
被动型的攻击,如:窃听、数据分析等
所以IETF建议在配置iSCSI时,一定要采取一定的安全措施。针对各种各样的安全风险,iSCSI采用两种安全措施:
认证:在target和initiator之间做身份认证。
加密:对传输的TCP/IP数据包进行保护。
认证主要是在iSCSI连接层,通过交换iSCSI的登录PDU(Protocol data unit),实现带内的身份认证。iSCSI通过这种安全措施提供了端到端的信任关系。iSCSI支持多种认证,但要强调的是采用哪种认证都要求不得明文的传输密码字符。此外对于不同的算法,要求采用抗攻击能力较强的选项。比如在采用CHAP认证时,为了防止离线的字典攻击,要求随机CHAP密文secret大于128位。
加密主要是通过IPSEC协议实现,在IP层通过对IP包的加密,实现数据的完整性保护、数据加密和身份认证。iSCSI通过这种安全措施提供了数据通信的安全通道。
实现IPSEC加密通信有两种方式:
一是通过主机间建立IPSEC加密通道。主机间建立IPSEC通信,过去常用软件的实现方式,这对于传输少量的数据可以接受,对于iSCSI这种大量存储数据的传输,则显得力不从心。所以,建议采用支持IPSEC协议的iSCSI HBA卡实现,提高加密解密的效率。但目前,采用这种HBA卡,其成本很高,如果有大量服务器、iSCSI存储设备接入,总投资成本必然据高不下。
二是通过防火墙、VPN网关或带VPN功能的路由器,在需要实现iSCSI通信的两个子网间建立一条加密隧道,将两个子网与承载iSCSI通信的IP网络从逻辑上隔离开来。目前这种方式的应用较为普遍,而且成本容易控制。当然随着iSCSI HBA的应用越来越广泛,利用iSCSI HBA可以获得更好的网络扩展性。
当然,还可以采用其他技术来加强iSCSI的安全性,如iSCSI的分区、LUN masking等等,由于其还在讨论和开发阶段,这里就不再讨论了。
四、仍需解决的问题
iSCSI存储是一个新兴的技术,尽管其标准已经建立且应用,但将其真正广泛应用到存储环境中还需要解决几个关键技术点。
4.1 TCP负载空闲
由于IP无法确保提交到对方,而将TCP作为底层传输的三种IP存储协议则需要在拥挤的、远距离的IP空间中确保传输的可靠性。由于IP包可以打乱次序传送,因此,TCP层需要重新修正次序,以提交到上一层的协议中(如SCSI)。TCP完成这一任务的典型操作是使用重调顺序缓冲器,将数据包的顺序完全整理为正确方式,完成这一操作后,TCP层将数据发送到下一层。这些处理都需要消耗主机的CPU资源,同时增加事务处理的延时,事实上,与典型的FC或SCSI块传输相比,需要更多的I/O处理,一种称之为TCP负载空闲引擎TCP Off-loading Engine (TOE)的设备可将主机的处理器负载降低,随着新技术的应用,TOE将可以帮助解决这一问题。
4.2 性能
工作组和一些分析人士把相当多的注意力放在了确保IP存储协议可以非常快的运行上,因为目前硬盘驱动器的运行速度已经很快。专家们预测IP存储产品将以高速运行。然而,也有一些分析人员认为,IP存储令人心往的最大优势是IP的灵活性,而高速性能则排在第二位。尽管IP技术很有可能得以应用,但如果对性能较为看重的话,不推荐使用标准的以太网卡。如前所述,TOE可以减少服务器的处理负载,但由于TOE设备较新,其硬件成本及复杂程度都比标准网卡更高。其广泛应用可能会由于性能价格比过高而受阻。像那些增强的iHBA都需要进一步改进,已达到光纤通道的技术水平。
4.3 安全性
当存储设备通过IP架构进行远距离连接时,安全性变得愈加重要。生产厂家必须明确产品的安全级别,并确保其安全性。在IP存储产品广泛应用之前,这一问题是IETF需亟待解决的。
当标准得到批准时,明确要求IP存储协议的所有实施都必须包括可靠的安全性(实现加密数据完整性和保密性)。如果用户不愿使用这些安全措施的话,他们不必使用,但是产品中必须具有启动安全技术的功能,只有这样厂商才能说他们的产品符合标准的要求。相当多的工作组成员非常不喜欢这项要求:他们认为这些协议的主要用武之地将是数据中心或其他一些受防火墙保护的领域。但是,一旦人们将应用放在IP上,这个应用没有什么办法确定自己的使用环境,例如在防火墙后使用。这是IP的一个重要特性。
4.4 互联性
基于IP的技术并没有被所有厂家共同使用,虽然这个协议的标准早已被IETF公布,但并不能保证厂家X与厂家Y使用相同的协议或技术。为了保证这些产品能够相互配合得更好,必须保证厂家之间采用相同的协议,使各厂家产品具有良好的互联性。