有关iSCS安全性你能学到什么:学习如何隔离iSCSI SAN,在管理端口上增加安全性,使用鉴权并禁止不需要的网络服务可以保护你的数据免于恶意攻击。 iSCSI(Internet SCSI因特网SCSI)协议允许使用以太网连接而不是光通道来建立存储网络。iSCSI通过低成本、垂手可得的以太网部件来提供不错的存储性能,但是iSCSI技术也带来严重的对安全性的担忧。可互操作的以太网设备很易于获取,导致iSCSI数据易受攻击。
例如,错误的iSCSI配置可能导致未经授权的用户通过无线网络把iSCSI LUN加载到他的笔记本电脑上。"这就是你在类似以太网/IP这样的通用网络上能做的蠢事的典型例子,"G……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
有关iSCS安全性你能学到什么:学习如何隔离iSCSI SAN,在管理端口上增加安全性,使用鉴权并禁止不需要的网络服务可以保护你的数据免于恶意攻击。
iSCSI(Internet SCSI因特网SCSI)协议允许使用以太网连接而不是光通道来建立存储网络。iSCSI通过低成本、垂手可得的以太网部件来提供不错的存储性能,但是iSCSI技术也带来严重的对安全性的担忧。可互操作的以太网设备很易于获取,导致iSCSI数据易受攻击。
例如,错误的iSCSI配置可能导致未经授权的用户通过无线网络把iSCSI LUN加载到他的笔记本电脑上。"这就是你在类似以太网/IP这样的通用网络上能做的蠢事的典型例子,"GlassHouse技术公司的策略服务部经理Stephen Foskett说。如果你计划采用iSCSI技术,使用iSCSI产品中已经有的安全功能是很重要的。
克服光通道的隔离性
和大家的认识正相反,光通道SAN并不比iSCSI SAN更安全。事实上,光通道设备间接地受益于它们的复杂性和在数据中心中的相对隔离,要意外地把一个笔记本电脑接入光通道SAN几乎是不可能的。“总的来说,有很多的光通道SAN是非常不安全的,”Foskett说道。但是其风险却很小,因为别人没有相关的硬件、软件或者技术来为非作歹。
相比之下,iSCSI支持为数不少的安全性功能,包括访问控制列表(ACL),IP安全性协议(IPSec),质问握手鉴权协议(CHAP)以及对虚拟专网(VPN)的应用。专家称,问题在于iSCSI在数据中心的实施经常是不合理的,安全性功能的使用缺乏一致性,甚至完全没有。结果就是,没有安全性的iSCSI SAN在以太网LAN上就是给黑客和恶意用户的请柬。只要iSCSI SAN的范围超出数据中心,存储管理员就应该采取恰当的手段来保证其访问安全性。
安全性指导原则
iSCSI安全性的诀窍不是找到合适的工具,而是采取恰当的步骤并善用现有的工具:
隔离iSCSI SAN。很多用户犯的第一个错误是,象其它以太网设备一样连接iSCSI设备,经常是象集成SAN设备一样在现有的以太局域网中路由iSCSI SAN。这不仅使iSCSI存储暴露在开放的局域网中,而且使得通常在以太网上带内承载的管理控制权容易受到威胁。分析师们建议建立与日常网络物理隔离的iSCSI SAN岛屿,并指出没有任何理由可以将iSCSI阵列连接到除数据中心的合适存储服务器之外的任何地方。“数据中心经理通常会隔离他们的外部网、内部网、管理网和他们的数据网络(有时候),”ESG分析师Brian Garrett说,“所以iSCSI的一个最佳做法就是保证iSCSI网络的安全并将其与其它流量隔离。”分隔流量可以使用现有的网络技术,比如VLAN技术。
守护管理接口。存储管理控制台控制着数据分配和访问的方式。如果管理接口没有应用安全性,黑客和恶意员工可以轻易地修改访问规则,从而可能泄漏敏感数据。这通常会发生在用任何网络浏览器都可以浏览的网络管理工具上。当使用这种工具的时候,一定要改掉默认密码,并只使用VPN来从本数据中心内的专用的管理终端来访问管理界面。有些管理员可能会觉得这种做法很麻烦,但是它是避免未经授权的管理改变的行之有效的方法,而且可以避免一旦安全性被攻破后事态升级。
禁用不需要的网络服务。类似DNCP,DNS和Wins服务器之类的网络服务可以使很多终端配置的工作自动化。例如,DHCP可以为接入网络的电脑自动分配IP地址。而在iSCSI SAN中,是不需要这种服务的,而且事实上可能帮助黑客接入你的网络从而助长恶意行为。“假设一个来访的诊断技术员无意间接入了你的iSCSI SAN,”Foskett说。“他们不会得到IP地址。”尽管仍然可以手动设置IP地址,其过程将需要更多的以太网知识,以及对你的网络配置的了解。
在任何可能的场合使用CHAP及其它鉴权机制。分析师们都同意在iSCSI SAN中应该使用能支持的最强的鉴权方法。ACL是有帮助的,但是他们的保护能力很弱─列表可以被欺骗,而且IP地址也可以伪装。CHAP是推荐在iSCSI SAN中使用的鉴权方法,而它常常在ACL的基础上使用。VPN和Windows登录都在使用CHAP,而多数的iSCSI设备都能对其提供支持。“要使用你能得到的最好的鉴权机制,因为(没有加密时)鉴权是你保护你的(iSCSI)阵列的唯一手段,”Foskett说。
必要时使用IPSec或者其它加密。IPSec是一个很有效的通用加密及鉴权协议。不幸的是,IPSec过程非常消耗性能,其对网络性能的降低甚至可达到50%。分析师指出在隔离的iSCSI SAN中使用IPSec是没有必要的─所以也不推荐。然而,在任何形式的开放网络上(比如复制或者WAN事务)使用iSCSI的时候,IPSec加密就可能是绝对必须的了。存储和网络管理员要决定加密带来的性能影响是否值得。
密钥管理是在任何类型加密中需要关心的一个问题。丢失密钥可能导致关键数据不可访问,从而造成公司不可修复的数据丢失。“如果你需要在一个危机中重建一个服务器,你可能没有正确的密钥,”Foskett说“所以,有的时候加密带来的麻烦要多于它的好处。”
相关推荐
-
企业存储系统新旧大比拼
传统的外部存储系统主要有两种类型:网络连接存储(NAS)和存储区域网络(SAN)。而云计算和对象存储的兴起促成了软件定义存储的出现。
-
ScaleIO 软件定义平台推出节点设备
ScaleI将推出将软件定义存储与贴牌EMC的商用服务器以及Arista网络交换机结合的节点设备。
-
VSA,SDS,DAS:服务器附加存储的概念和产品
传统的DAS、NAS和SAN就像一个彩色转盘里的红、黄、蓝三种颜色。而软件定义存储(SDS),数据定义存储(DDS)和对象存储则是根据这三种基本色进行不同程度的混合。
-
服务器存储归来
随着近年来各种存储技术的出现,存储架构师在构建理想的存储方案时有了更多的选择。过去大家根据DAS、NAS和SAN的各自特点来规划企业存储系统,而今天,软件定义存储受到了更大的关注。