DoSTOR專家觀點 探討IP SAN和FC SAN安全性

DoSTOR專家觀點：在iSCSI協議出現以后，基于IP協議和以太網技術的存儲區域網絡—IP SAN應運而生。從此SAN就不能再作為光纖存儲網絡-FC SAN的代名詞了。iSCSI 是一種在IP協議的網絡上，主要是以太網上進行塊數據傳輸的協議。它是由Cisco 和IBM共同研發，并且得到業界廣泛認可， 目前已經成為新一代存儲技術的標準協議。簡單地說，iSCSI可以實現在IP網絡上運行SCSI協議，它能夠在以太網、INTERNET上執行SAN存儲。

一直以來存儲設備提供商致力于將SAN中使用的光纖通道設定為一種實用標準，但是由于各主流廠商囿于固有利益，相互之間難以協調，標準化一直沒有取得明顯進展， 同時光纖通道是一種高速串行互聯，缺乏實現路由選擇和節點容錯的內置功能，只能提供最原始的地址管理和訪問隔離功能；例如，光纖通道鏈路間雖然可以實現多路徑冗余，卻難以象以太網那樣通過TRUNK技術實現多鏈路負載均衡。

在光纖通道 SAN中，所有功能都必須由操作員進行手工配置，由主機進行管理。這樣，就會要求操作人員掌握不同廠商FC SAN相關設備的配置、使用、維護技術。而iSCSI是一套完全遵從IP協議標準的技術規范，它能夠充分利用標準的IP網絡的功能以及以太網的普及性，從而降低人員培訓的要求和今后使用、維護的困難。

在SAN存儲應用走出數據中心走向跨廣域的備份、容災應用的今天，簡單、標準通用、低成本的IP SAN日益普及；而FC SAN高昂的建設成本和非標特性，限制了FC SAN技術的進一步發展。

iSCSI是將SCSI協議封裝在IP協議中從而可以直接運行在互聯網絡上，而安全性是互聯網永恒的話題。對于用戶來講，存儲設備保存的是用戶最為關鍵的數據，這些數據也往往是私密性的，一旦把這些數據放置在網絡上，安全問題將變得非常突出。

IETF和SNIA的IP存儲工作組在制定iSCSI 標準時就充分考慮了安全問題，例如IETF的Internet工程指導小組(IESG)要求在三種IP存儲協議中使用IPSec：iSCSI、FCIP和iFCP。但這樣做顯然會影響性能，而通常在平衡性能和安全性的要求時候，大多數人總是傾向于更好的性能。

前幾年，萬兆網絡存儲尚未出現，IP存儲設備的端口性能一直停留在千兆速率，相對于FC的4Gbps，端口性能差距十分明顯。因而IP存儲設備往往被定位在對性能要求較低的非關鍵應用的環境中使用，這些非關鍵應用本身對數據安全性的要求也較低。

那么，相對于FC 存儲技術，IP存儲是否就是不安全存儲的代名詞？ 事實顯然是否定的，我們先來看看FC SAN是如何處理安全性問題的

從技術角度上講，光纖通道并沒有人們想象中的安全，按網絡七層模型分析光纖通道協議是工作在第二層的協議，原本并沒有建立安全機制，而且該協議和IP協議完全不同， 不能直接運行在IP網絡上。也就是說首先FC協議不能直接在互聯網上運行，因而不存在在廣域網上被竊聽的機會，其次一旦連接存儲設備的服務器被攻破，沒有任何安全認證機制的FC SAN存儲設備自然就完全暴露在入侵者面前。第三，FC協議在發起端和目標端通過唯一的WWPN號來建立對應關系，而黑客可以簡單地采用SPOOFING方式偽裝成合法的發起端， 從而取得對未經授權的目標端存儲空間的訪問。

光纖通道環境給人感覺具有比較高的安全性，原因在于它們是服務器后端的專用局域網絡，從本質上來說光纖通道結構是一個獨立的子網，專門處理在數據中心內的主機與存儲設備之間的數據通訊問題。iSCSI給人感覺安全性較低，原因在于它可以通過基于以太網和IP協議和服務器直接連接。不過，通過部署專用于存儲的IP網絡，并和前端數據通信網絡相對隔離，我們就可以實現和光纖通道技術相同級別的網絡存儲安全性。

實際上，IP存儲技術提供了非常豐富的安全功能。iSCSI協議提供了initiator與目標端兩方面的身份驗證（使用CHAP、SRP、Kerberos和SPKM），能夠阻止未經授權的訪問，只允許那些可信賴的節點進行訪問。另外，IPsec Digests（IPsec摘要）和Anti-Reply（防回復）功能阻止了插入、修改和刪除操作，而IPsec Encryption（IPsec加密）或SSL 加密功能防止被偷聽，確保了私密性。另外，IP存儲設備還可以和基于IP技術的網絡安全設備實現聯動，進一步提高了存儲系統的安全性和對抗各種威脅的能力。

具體維護操作過程中，我們可以通過以下幾個步驟對IP SAN網絡的安全性和所存放的數據的安全性進行管理

1、訪問控制管理。

完善IT部門日常工作管理機制，定時檢查區域網絡連線狀況以保障基礎網絡線路的正確性，經常檢查存儲系統的訪問日志，確認存儲系統訪問者都經過授權許可；限制管理區域網絡存儲系統的終端與內外網的互訪，并將SAN存儲系統內的重要數據劃分不同的區塊并進行屏蔽，將不同區塊與對應部門相關授權人員不同級別的訪問權限對應，不定時更換訪問密碼以避免黑客的授權欺騙攻擊；

通過設置訪問控制列表，對設備的身份合法性進行控制，限制非法設備接入IP SAN網絡中訪問資源。作為SAN存儲系統的組成部分，華三公司提供的IP SAN交換機（如H3C S9500/S7500/S5500等）可以提供支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口的ACL,對訪問存儲系統資源的設備進行精細的安全訪問權限過濾，防止非法設備接入網絡中獲取資源。

目前市面上主流的IP SAN存儲系統都可支持基于IP地址的訪問控制列表，不過，稍微厲害一點的黑客就能夠輕松地破解這道安全防線。

另一個辦法就是使用iSCSI客戶機的起始端名字（initiator name）。與光纖系統的全球名字（WORLD WIDE NAME，簡稱WWN，全球統一的64位無符號的名稱標識符）、以太網的MAC地址一樣，起始端名字指的是為每臺iSCSI主機總線適配器（HBA）或軟件起始端（software initiator）分配到的全球唯一的名稱標識。不過，它的缺點也與WWN、MAC地址一樣，很容易被制服。這與光纖系統的邏輯單元屏蔽（LUN masking）技術一樣，其首要任務只是為了隔離客戶端（Targetor）的存儲資源，而非構筑有效的安全防范屏障。

2、使用用戶身份驗證機制。

除了控制設備的合法性外，還可以通過AAA認證安全策略，對訪問系統資源的用戶進行認證。

各公司的 IP SAN系列交換機基本都支持集中式MAC地址認證和802.1x認證。在用戶接入網絡時完成必要的身份認證，還可以通過靈活的MAC、IP、VLAN、交換機端口任意組合綁定，有效的防止非法用戶訪問SAN網絡。此外，IP SAN交換機還可通過支持DUD（Disconnect Unauthorised Device）認證（通過MAC地址學習數目限制和MAC地址與端口綁定實現）、支持用戶分級管理和口令保護、端口隔離、MAC地址黑洞、支持防止DoS攻擊等功能進一步提高SAN網絡的安全級別。

此外，諸如問詢-握手身份驗證協議（Challenge-Handshake Authentication Protocol，CHAP）之類的身份驗證協議，將會通過匹配用戶名和登陸密碼，來識別用戶的身份。由于密碼不以純文本的形式在網絡中傳輸，從而避免了掉包和被攔截的情況發生，所以，該協議贏得了許多網絡管理員的信任。遠程身份驗證撥入用戶服務（Remote Authentication Dial-In User Service，RADIUS）協議能夠將密碼從iSCSI目標設備上轉移到中央授權服務器上，對終端進行認證、授權和統計。這2種協議在低端IP存儲設備上也已經得到使用，例如EX1000。

即使如此，網絡黑客仍然可以通過偽設置的辦法，侵入正?？蛻舳嗽O備或管理終端設備，再通過這些客戶端竊取數據。因此，我們建議通過EAD（端點準入防御）功能實現動態的用戶合法驗證，配合后臺系統可以將終端防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系，通過對網絡接入終端的檢查、隔離、修復、管理和監控，使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力。

顯然，FC SAN設備不具備如此強大的安全措施，也不能和基于IP的前端安全設備實現聯動。

3、保護好存儲設備管理界面。

通過分析近年來企業級光纖系統遭受攻擊的案例，會得到一個重要的結論：保護好存儲設備的管理界面是極其必要的。網絡黑客或企業內部人員只要能使用存儲設備管理程序，就能夠重新分配存儲器的賦值，更改、偷竊甚至摧毀數據文件。因此，用戶應該將管理界面隔離在安全的局域網內，如利用防火墻和VPN、IPS、SecCenter、UDM等更高級別的安全和管理軟件，并設置復雜的登錄密碼甚至采用生物識別技術來保護管理員帳戶。

4、對通過網絡傳輸的數據包進行加密。

IP security（IPsec）是一種用于加密和驗證IP信息包的標準協議。IPSec提供了兩種加密通訊手段：一是IPSec Tunnel：整個IP封裝在IPSec報文，提供IPSec-gateway之間的通訊；二是IPSec Transport：對IP包內的數據進行加密，使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數據部分（即：有效載荷），對文件頭不作任何處理；Tunnel模式會將信息包的數據部分和文件頭一并進行加密，在不要求修改已配備好的設備和應用的前提下，讓網絡黑客無法看到實際的通訊源地址和目的地址，并且能夠提供專用網絡通過Internet加密傳輸的通道。因此，絕大多數用戶均選擇使用Tunnel模式。用戶需要在接收端設置一臺支持IPsec協議的解密設備，對封裝的信息包進行解密。記住，如果接收端與發送端并非共用一個密鑰的話，IPsec協議將無法發揮作用。為了確保網絡的安全，存儲供應貨和咨詢顧問們都建議用戶使用IPsec協議來加密iSCSI系統中所有傳輸的數據。

IPsec雖然是一種強大的安全保護技術，卻會嚴重地降低網絡系統的性能。另外，IPsec 比較適合"點對點接入"。由于客戶端使用不方便，對訪問請求缺乏細粒度的權限管理，IPsec 技術在"遠程接入"方面不太適合。

而SSL加密傳輸技術卻是在廣域網條件下一個更好的選擇。在H3C等公司的磁盤陣列上已經內置了這個功能。用戶可以利用這一技術手段，在廣域網上實現安全的SAN存儲，即WSAN

5、加密磁盤數據。

加密磁盤上存放的數據，也是非常必要的。加密任務可以在在客戶端（如：加密的文件）、網絡（如：PKI加密解決方案），或者在存儲子系統上完成。目前，多數用戶都傾向于簡便易用的客戶端加密方案。大多數企業級操作系統（包括Windows和Linux在內），都可以嵌入基于文件系統的加密技術，在數據被傳送到網絡之前實施加密，可以確保它在網上傳輸時和遠端存儲時都處于加密狀態。當然，也可以考慮將加密過程放到網絡中或是交由基于磁盤陣列的加密措施來處理。

目前，在杭州市政府統一災備項目中已經使用了存儲前對數據加密的技術。

6、及時備份

值得一提的是新一代的磁盤陣列都具有的多種數據備份、保護功能，這些功能往往可以通過設置管理策略實現自動的數據備份、保護工作。作為最后的補救措施，這些措施可以在存儲設備前端的各種安全機制失效的情況下，保證您還有至少一份可靠的數據備份。

今天企業遇到的安全挑戰是全方位的，安全保護已從傳統的邊界安全向全方位深度防御轉移。為實現全方位深度防御，企業需要將多種安全措施嵌入到網絡的各個層次，并集成到所有IT設備中。每個安全組件都能為異常流量檢測、威脅反應和分析提供分立的事件日志和警報特性。顯然，繼續寄希望于FC 協議的二層訪問控制機制來保證SAN存儲的數據安全 ，已經是一種過時的鴕鳥政策。