五招保证IP SAN安全

　　作者: 佚名, 　出处:中国计算机报,　责任编辑: 郭秋爽,　 2008-08-08 00:00

　　安全性是互联网永恒的话题。对于用户来讲，存储设备保存的是用户最关键的数据，这些数据往往是私密性的，一旦把这些数据放置在IP网络上，安全问题将变得非常突出。

　　安全性是互联网永恒的话题。对于用户来讲，存储设备保存的是用户最关键的数据，这些数据往往是私密性的，一旦把这些数据放置在IP网络上，安全问题将变得非常突出。IETF(互联网工程任务组)和SNIA(全球网络存储工业协会)的IP存储工作组在制定iSCSI标准时充分考虑到安全问题。例如，IETF的互联网工程指导小组(IESG)要求在三种IP存储协议中使用IPSec(iSCSI、FCIP和iFCP)，但这样做显然会影响性能。

　　那么，相对于光纤存储技术，IP存储是否就是不安全存储的代名词呢?事实显然不是这样。按网络七层模型分析，光纤通道协议是工作在第二层的协议，原本并没有建立安全机制，而且该协议和IP协议完全不同，不能直接运行在IP网络上。一旦连接存储设备的服务器被攻破，没有任何安全认证机制的FC SAN存储设备自然就完全暴露在入侵者面前。FC协议在发起端和目标端通过惟一的WWPN号建立对应关系，而黑客可以简单地采用Spoofing(欺诈)方式伪装成合法的发起端，实现对未经授权的目标端存储空间的访问。

　　光纤通道环境给人感觉具有比较高的安全性，原因在于它是服务器后端的专用局域网络。从本质上来说，光纤通道结构是一个独立的子网，专门处理在数据中心内的主机与目标设备间的数据通信问题。iSCSI给人感觉安全性较低，原因在于它是基于以太网和IP协议的网络。不过，通过部署专用于存储的IP网络，并和前端数据通信网络相对隔离，就可以实现和光纤通道技术相同级别的网络存储安全性。

　　其实，iSCSI提供了非常丰富的安全功能。iSCSI协议提供了发起端与目标端两方面的身份验证(使用CHAP、SRP、Kerberos和SPKM)，能够阻止未经授权的访问，只允许那些可信赖的节点进行访问。另外，IPSec Digests(IPSec摘要)和Anti-Reply(防回复)功能阻止了插入、修改和删除操作，而IPSec Encryption(IPSec加密)或SSL加密功能可防止被窃听，确保私密性。

用户可以通过以下几个步骤对IP SAN的安全性和数据的安全性进行管理。

　　访问控制管理

　　完善IT部门日常工作管理机制，定时检查区域网络连线状况以保障基础网络线路的正确性。经常检查存储系统的访问记录，确认存储系统访问者都经过授权许可。限制区域网络存储系统的终端与内外网的互访，并将SAN存储系统内的重要数据划分成不同的区块，并进行屏蔽，将不同区块与对应部门相关授权人员不同级别的访问权限对应，不定时更换访问密码，避免黑客的攻击。

　　通过设置访问控制列表，对设备的身份合法性进行控制，限制非法设备接入IP SAN网络中。作为SAN存储系统的组成部分，IP SAN交换机可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL，对访问存储系统资源的设备进行精细的安全访问权限过滤，防止非法设备接入网络中获取资源。

　　目前，市面上主流的IP SAN存储系统都可支持基于IP地址的访问控制列表，但这并不能阻止所有黑客的入侵。还有一个办法，就是使用iSCSI客户机的发起端名字(Initiator Name)。与光纤系统的全球名字(WWN)、以太网的MAC地址一样，发起端名字指的是为每台iSCSI主机总线适配器(HBA)或软件发起端(Software Initiator)分配的全球惟一的名称标识。其缺点也与WWN、MAC地址一样，很容易被制服。它与光纤系统的逻辑单元屏蔽(LUN Masking)技术一样，首要任务只是为了隔离客户端的存储资源，而非构筑有效的安全防范屏障。

　　使用用户身份验证机制

　　除了控制设备的合法性外，还可以通过AAA认证安全策略，对访问系统资源的用户进行认证。

　　IP SAN系列交换机支持集中式MAC地址认证和802.1x认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效防止非法用户访问网络;支持DUD(Disconnect Unauthorised Device)认证，通过MAC地址学习数目限制和MAC地址与端口绑定;支持用户分级管理和口令保护;支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞;支持防止DoS攻击功能。

　　诸如问询-握手身份验证协议之类的身份验证协议，可以通过匹配用户名和登录密码来识别用户身份。由于密码不以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生。因此，该协议赢得了许多网络管理员的信任。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service，RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计。这两种协议在低端IP存储设备上已经得到使用，例如H3CNeocean EX1000。

　　即使如此，网络黑客仍然可以通过伪设置的办法侵入客户端。因此，H3C公司建议通过EAD(端点准入防御)功能实现动态的用户合法验证，再配合后台系统，就可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，进一步提升网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

　　保护存储设备管理界面

　　通过分析近年来企业级光纤系统遭受攻击的案例，得到一个重要结论，那就是保护好存储设备的管理界面是非常必要的。网络黑客只要能使用存储设备管理程序，就能够重新分配存储器的赋值，更改、偷窃甚至摧毁数据文件。因此，用户应该将管理界面隔离在安全的局域网内，如利用防火墙软件和VPN、IPS、SecCenter、UDM等更高级别的安全和管理软件，并设置复杂的登录密码，甚至采用生物识别技术来保护管理员账户。

　　对数据包进行加密

　　IPSec是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通信手段：一是IPSec Tunnel，即整个IP封装在IPSec报文中，提供IPSec-Gateway之间的通信;二是IPSec Transport，即对IP包内的数据进行加密，使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分，对文件头不做任何处理。

　　Tunnel模式会将信息包的数据部分和文件头一并进行加密，在不要求修改已配备好的设备和应用的前提下，让网络黑客无法看到实际的通信源地址和目的地址，并且能够提供专用网络，通过互联网加密传输的通道。因此，绝大多数用户均选择使用Tunnel模式。用户需要在接收端设置一台支持IPSec协议的解密设备，对封装的信息包进行解密。如果接收端与发起端并非共用一个密钥的话，IPSec协议将无法发挥作用。为了确保网络的安全，用户应使用IPSec协议来加密iSCSI系统中所有传输的数据。IPSec虽然是一种强大的安全保护技术，但是会大大降低网络系统的性能。有鉴于此，除非必要，应尽量少用IPSec。

　　IPSec 比较适合点对点接入。由于客户端使用不方便，对访问请求缺乏细粒度的权限管理，IPSec 技术在远程接入方面不太适合。SSL加密传输技术是广域网条件下一个更好的选择。用户可以利用这一技术手段，在广域网上实现安全的SAN存储。

　　加密磁盘数据

　　加密磁盘上存放的数据也是非常必要的。加密任务可以在客户端(如加密的文件系统)、网络(如PKI加密解决方案)或者存储系统上完成。多数用户都趋向于客户端加密方案。大多数企业级操作系统(包括Windows和Linux在内)都可以嵌入基于文件系统的加密技术，在数据被传送到网络之前实施加密，并可确保在网上传输时都处于加密状态。当然，用户还可以考虑将加密过程放到网络中或是交由基于磁盘阵列的加密措施来处理。

　　IP SAN与FC SAN的对比

　　一直以来，存储设备提供商致力于将SAN中使用的光纤通道设定为一种实用标准，但各主流厂商囿于固有利益，相互之间难以协调，标准化一直没有取得明显进展。

　　同时，光纤通道是一种高速串行互联协议，缺乏实现路由选择和节点容错的内置功能，只能提供最原始的地址管理和安全功能，例如光纤通道链路间不能像以太网那样通过Trunk(端口汇聚)技术实现多链路负载均衡。在FC SAN中，所有这些功能都必须由操作员进行配置，并由主机进行管理，既昂贵又复杂。

　　iSCSI是一套完全遵从IP协议标准的技术规范，能够充分利用标准IP网络的功能以及以太网的普及性，简单且成本低。FC SAN高昂的建设成本和非标准化特性，限制了FC SAN技术的广泛普及。