三、iSCSI的安全性

 

正是由于其采用廣泛應用的IP網絡和Internet網絡為數據傳輸的通道，與傳統的采用光纖通道FC SAN相比，iSCSI的安全性就凸現出來。因為傳統的FC SAN在實際應用中，底層采用光纖通道FC的傳輸技術，上層采用Fibre Channel Protocol（FCP）傳輸SCSI協議，與廣泛應用的IP網絡不兼容，往往會形成一個與通信網絡隔離開來的獨立存儲網絡，其安全性容易得到保障。而iSCSI采用IP網絡技術作為底層傳輸技術，完全可以在現有的通信網絡中，甚至Internet上傳輸SCSI協議，這使得iSCSI不得不面臨IP網絡常見的安全性問題。

 

要了解iSCSI的安全問題，首先讓我們看看iSCSI是如何工作的：

 

iSCSI是如何工作的呢？如前所述，iSCSI定義了TCP/IP網絡上傳輸塊存儲應用的規則和過程。在物理層，iSCSI支持以太網卡（100、1000M），這樣支持iSCSI的系統可以通過以太網卡直接接入以太網交換機或路由器。iSCSI協議介于物理和數據鏈路層與操作系統的標準SCSI命令集之間，將SCSI-3命令封裝在TCP/IP包內，由IP網絡負責其傳輸的可靠性。

 

SCSI命令和數據封裝在TCP包中，穿過毫無防范的Internet網絡，必然會引起安全問題。總之iSCSI面臨的安全風險主要有：

 

主動型的攻擊，如：身份偽裝、偽造信息插入、數據刪除/修改等

 

被動型的攻擊，如：竊聽、數據分析等

 

所以IETF建議在配置iSCSI時，一定要采取一定的安全措施。針對各種各樣的安全風險，iSCSI采用兩種安全措施：

 

認證：在target和initiator之間做身份認證。

 

加密：對傳輸的TCP/IP數據包進行保護。

 

認證主要是在iSCSI連接層，通過交換iSCSI的登錄PDU（Protocol data unit），實現帶內的身份認證。iSCSI通過這種安全措施提供了端到端的信任關系。iSCSI支持多種認證，但要強調的是采用哪種認證都要求不得明文的傳輸密碼字符。此外對于不同的算法，要求采用抗攻擊能力較強的選項。比如在采用CHAP認證時，為了防止離線的字典攻擊，要求隨機CHAP密文secret大于128位。

 

加密主要是通過IPSEC協議實現，在IP層通過對IP包的加密，實現數據的完整性保護、數據加密和身份認證。iSCSI通過這種安全措施提供了數據通信的安全通道。

 

實現IPSEC加密通信有兩種方式：

 

一是通過主機間建立IPSEC加密通道。主機間建立IPSEC通信，過去常用軟件的實現方式，這對于傳輸少量的數據可以接受，對于iSCSI這種大量存儲數據的傳輸，則顯得力不從心。所以，建議采用支持IPSEC協議的iSCSI HBA卡實現，提高加密解密的效率。但目前，采用這種HBA卡，其成本很高，如果有大量服務器、iSCSI存儲設備接入，總投資成本必然據高不下。

 

二是通過防火墻、VPN網關或帶VPN功能的路由器，在需要實現iSCSI通信的兩個子網間建立一條加密隧道，將兩個子網與承載iSCSI通信的IP網絡從邏輯上隔離開來。目前這種方式的應用較為普遍，而且成本容易控制。當然隨著iSCSI HBA的應用越來越廣泛，利用iSCSI HBA可以獲得更好的網絡擴展性。

 

當然，還可以采用其他技術來加強iSCSI的安全性，如iSCSI的分區、LUN masking等等，由于其還在討論和開發階段，這里就不再討論了。

 

四、仍需解決的問題

 

iSCSI存儲是一個新興的技術，盡管其標準已經建立且應用，但將其真正廣泛應用到存儲環境中還需要解決幾個關鍵技術點。

 

4.1 TCP負載空閑

 

由于IP無法確保提交到對方，而將TCP作為底層傳輸的三種IP存儲協議則需要在擁擠的、遠距離的IP空間中確保傳輸的可靠性。由于IP包可以打亂次序傳送，因此，TCP層需要重新修正次序，以提交到上一層的協議中（如SCSI）。TCP完成這一任務的典型操作是使用重調順序緩沖器，將數據包的順序完全整理為正確方式，完成這一操作后，TCP層將數據發送到下一層。這些處理都需要消耗主機的CPU資源，同時增加事務處理的延時，事實上，與典型的FC或SCSI塊傳輸相比，需要更多的I/O處理，一種稱之為TCP負載空閑引擎TCP Off-loading Engine (TOE)的設備可將主機的處理器負載降低，隨著新技術的應用，TOE將可以幫助解決這一問題。

 

4.2 性能

 

工作組和一些分析人士把相當多的注意力放在了確保IP存儲協議可以非常快的運行上，因為目前硬盤驅動器的運行速度已經很快。專家們預測IP存儲產品將以高速運行。然而，也有一些分析人員認為，IP存儲令人心往的最大優勢是IP的靈活性，而高速性能則排在第二位。盡管IP技術很有可能得以應用，但如果對性能較為看重的話，不推薦使用標準的以太網卡。如前所述，TOE可以減少服務器的處理負載，但由于TOE設備較新，其硬件成本及復雜程度都比標準網卡更高。其廣泛應用可能會由于性能價格比過高而受阻。像那些增強的iHBA都需要進一步改進，已達到光纖通道的技術水平。

 

4.3 安全性

 

當存儲設備通過IP架構進行遠距離連接時，安全性變得愈加重要。生產廠家必須明確產品的安全級別，并確保其安全性。在IP存儲產品廣泛應用之前，這一問題是IETF需亟待解決的。

 

當標準得到批準時，明確要求IP存儲協議的所有實施都必須包括可靠的安全性(實現加密數據完整性和保密性)。如果用戶不愿使用這些安全措施的話，他們不必使用，但是產品中必須具有啟動安全技術的功能，只有這樣廠商才能說他們的產品符合標準的要求。相當多的工作組成員非常不喜歡這項要求：他們認為這些協議的主要用武之地將是數據中心或其他一些受防火墻保護的領域。但是，一旦人們將應用放在IP上，這個應用沒有什么辦法確定自己的使用環境，例如在防火墻后使用。這是IP的一個重要特性。

 

4.4 互聯性

 

基于IP的技術并沒有被所有廠家共同使用，雖然這個協議的標準早已被IETF公布，但并不能保證廠家X與廠家Y使用相同的協議或技術。為了保證這些產品能夠相互配合得更好，必須保證廠家之間采用相同的協議，使各廠家產品具有良好的互聯性。