如何构建稳定、安全的iSCSI存储网络?只要你稍加规划,iSCSI存储网络可以比老式的光纤通道存储网络还要安全。
如果你在考虑实施iSCSI存储网络,就可能会被问及安全问题。
惠普StorageWorks部门的SAN营销主管Kyle Fitze表示:“随着存储系统放回到了以太网和IP网络上,客户对访问控制和加密开始关注起来。”从理论上来说,iSCSI网络中使用的大众化协议和硬件可以连接到几乎任何计算机,无论是机架服务器,还是笔记本电脑或者手持电脑。iSCSI在构建一开始就拥有强大的验证和加密功能——只要这些功能得到启用。
既然iSCSI有那么多的安全功能,为什么还有那么多人在询问安全呢?原因在于,与以前的存储协议相比, iSCSI的可访问性大大增强。无论是在数据中心的内部还是外部,以太网硬件和IP支持功能已经变得很普遍。这项技术使用常用协议,并得到大部分操作系统的支持。这意味着从理论上来说,任何人都有机会闯入iSCSI SAN。
这种可访问性对iSCSI来说也是件好事。好的方面在于:与光纤通道相比,人们对iSCSI基本概念的了解和接受程度都要高得多。另外有大批经过培训的网络工程师具备构建安全网络以供iSCSI在上面运行的技能。十年的广泛应用证明,质询握手验证协议(CHAP)、远程验证拨入用户服务(RADIUS)、虚拟专用网(VPN)和IPsec等技术功能强大、可靠耐用。与之形成对照的是,光纤通道存储设备厂商提供的安全功能(大部分功能很少用到)深奥难懂。科罗拉多州韦尔镇的IT主管Ron Braden说:“我们的iSCSI SAN更安全,因为我们以前在IP和以太网方面有过经验。构建安全的IP网络对我们来说轻车熟路。”
安全系统需要满足机密性、完整性和可用性。大多数人从机密性开始着手,但可用性同样重要,可用性问题引起的安全事件可能更多。策划拒绝服务攻击要比设计加密破解手法容易得多。数据还可能被删除,恢复起来很费时间。完整性更是一个微妙的话题。用坏数据取代好数据可能不会引起人们的注意,却会导致比无法访问系统更严重的后果。完整性问题也会带来诸多法律和法规遵从问题,它们造成的损失比任何技术问题都要大。
隔离iSCSI网络
要构建稳定、安全的iSCSI SAN,最重要的一步就是把它与其他网络隔离开来。Braden指出:“我们对拒绝服务不是很担心,更担心的是安全。从性能角度来看,允许存储流量与其他应用共享同一网络,风险实在太大了。”Braden的iSCSI SAN包括了一个“空气缝隙隔离”(air gap),这种隔离机制包括专用以太网交换机以及隔离开来的用于存储的光缆。这种方案减少了主数据网络上的问题会扩散到SAN上的风险。韦尔镇与SAN连接的每台服务器都有两个以太网接口:一个用于SAN,另一个用于局域网。
一家跨国银行实施的规模较大的iSCSI网络采用了类似配置。整个网络上经过配置的路由器和交换机可以防止 iSCSI数据从一个网段泄漏到另一个网段。这家银行还使用iSCSI主机总线适配器(HBA),而不是标准的以太网卡,从而减小了入侵者使用iSCSI SAN作为“跳板”进入其他安全网络的风险。
身份验证
有许多办法可以在授权某人访问iSCSI SAN之前,先验证对方的身份。你可以要求对话之前先进行身份肯定识别(positive identification);或者在连接期间不间断检查对方的身份。
大多数iSCSI阵列借用了光纤通道的概念,让你可以根据分配给每个连接客户端的惟一识别符来控制访问权。光纤通道使用全局名称用于逻辑单元号屏蔽(LUN masking),而iSCSI可以使用IP地址、MAC地址或者分配给运行在客户端上的iSCSI启动器软件的惟一名称来隐藏目标。虽然这些方法没有一种是非常安全的,但它们确实能够防范存储管理员的意外操作。另外,有些iSCSI启动器能够“获取”它们看到的所有存储设备,这样就需要进行屏蔽,所有这些值很容易用软件来更改而进行欺骗。
如果嫌屏蔽iSCSI目标还不够,CHAP增添了另一层安全。作为IP领域的一种常用验证协议,CHAP使用公钥加密概念来验证连接设备的身份。它可以证实两个设备都知道密码这样的“共享密码”,这就加大了访问存储阵列的难度。EqualLogic公司的产品管理主管Eric Schott说:“iSCSI标准要求,所有iSCSI启动器和目标都要包括CHAP支持功能,但不是所有客户都选择启用该功能。”
CHAP还可以用来验证访问阵列的客户端。LeftHand Networks公司的创办人兼首席技术官John Spiers提议,所有iSCSI用户应当实施双向的CHAP(又叫Diffie-Hellman CHAP或者DH-CHAP)。Spiers说:“单向CHAP会话可能遭到欺骗,从而被人闯入或者策划中间人攻击。DH-CHAP要安全得多。”
但CHAP并非完全安全。微软公司iSCSI首席软件设计工程师Alan Warwick承认:“CHAP会遭到离线词典攻击——使用功能强大的计算机就能猜出密码。”不过,这很费时间,而且难度大,因为必须把网络嗅探器放到存储网络上,然后捕获到CHAP登录信息。Warwick提议,那些担心可能会遭到CHAP攻击的人应当使用16字节的密码,并且定期更改。
最安全的验证技术就是IPsec验证头(AH),它对每个数据包都采用了数字签名。不像全面实施的对整个数据包进行加密的IPsec,IPsec AH只是验证发送者、接收者以及消息内容校验和。这实际上对整个消息进行了验证,但无法保护内容被人窥探。虽然对性能仍有一定影响,不过对60字节的头进行加密要比对64KB的数据包进行加密容易得多。
窥探iSCSI数据包
窥探iSCSI数据包的内容,这是许多人被问及iSCSI安全问题时首先提到的威胁之一,不过发生的可能性不如其他几种攻击。没有安全控制措施的IP SAN可能会运行在交换以太网上。交换机为数据建立了点对点通道,所以每个端口只能看到通过自己的流量。要窥探iSCSI流量,就需要某种高级嗅探功能,把所有流量发送到你的端口,这就需要拥有管理员权限才能访问以太网交换机。
有许多办法可以保护网络上的动态数据。譬如说,IPsec封装安全载荷为每个数据包提供了高级验证机制,实际上排除了有人读取在网络上传输数据的这种可能性。而如果需要更强的加密功能,可以使用更有效的办法来取代IPsec使用的标准加密协议。
另一种办法就是在服务器上使用加密文件系统,在数据传输到IP SAN之前,先对数据进行加密。除了静态数据外,还能对动态数据进行有效加密,因为离开服务器的数据都经过了加密。这种办法还可以防止网络上的各种中间人攻击,因为篡改内容的任何活动都会干扰服务器读取数据的功能。使用加密文件系统的缺点是,它会对服务器的性能带来影响。如果采用这种加密技术,即使功能强大的服务器也会出现性能明显下降。
VPN在安全网络之间建立了点对点的加密隧道。只要敏感数据在没有受到控制的网络上传输,就需要使用VPN技术。韦尔镇依赖加密的VPN隧道复制到灾难恢复站点,并充分利用现有的广域网来实现日常同步。
加强管理
iSCSI网络中最薄弱的环节也许与iSCSI根本没有关系。几乎每个网络设备都能够通过网络进行远程管理。这种管理流量可以带内传输(与数据流量共享同一网络),也可以带外传输(使用专用的网络)。几乎所有的存储设备都拥有使用以太网和IP来操作的管理端口,包括光纤通道、SAN和iSCSI阵列。几乎无一例外的是,这些管理端口是闯入存储阵列最方便的途径。
除了像Java和HTTPS或者SSL这些比较安全的协议外,许多管理接口还支持过时或者不安全的协议,譬如 SNMP、Telnet和HTTP。攻击者经常利用这些比较旧的协议从事破坏活动,那样他们就能访问机密的配置信息,甚至导致阵列瘫痪。如果在配置系统时,不改动默认的用户名和口令,更是如此。有些系统还有使用厂商服务所需的默认账户,整个地区、甚至一家公司的整条产品线都使用同一账户。这些账户的破坏性特别大,因为它们往往把诊断区域及配置信息的访问权拱手让给别人。
因此,我们完全要像对待数据接口那样对待管理接口,并且把它们放在隔离起来的非路由子网上,并采用防火墙和 VPN,防止非授权访问。遗憾的是,这并不是标准做法。在大多数地方,管理接口连接到了主企业网络,敞开无阻。韦尔镇的Braden在服务器上运行管理应用软件,一个网络接口卡连接SAN,另一个网络接口卡连接局域网,并使用远程桌面进行安全访问。
面对现实
从互联网上攻击你的系统的十几岁黑客只考虑了实际安全漏洞的一小部分。落在内部人员(不管是否不怀好意)手里的数据其机密性、可用性或者完整性受到危及的可能性要大得多。
媒体无数次报道了内部人员偷走重要数据的事件,可能更多的案例还没有报道出来。由于2002年颁布了《萨班斯-奥克斯利法案》、《健康保险可携性及责任性法案》(HIPAA)和《支付卡行业数据安全标准》等法规,防止未授权员工访问数据变得更加重要。遗憾的是,目前没有哪一项IT技术让存储管理人员知道他们所管理的每一部分数据的重要性。实现这种安全就需要IT部门和业务部门之间的联系迈上新的台阶。
不是所有安全事件都是恶意事件。许多通常的安全事件是无意为之,或者是不相关的系统部分相互影响导致而成。譬如说,系统管理员能够让RADIUS服务器停下来,却没有认识到这台服务器在验证存储流量;或者备份管理员可能恢复目录中的所有文件,而不是仅仅恢复请求的那个文件。
要考虑的最后一方面就是,存储系统是IT系统这个夹层蛋糕中比较下面的那部分之一。不管你的存储阵列和网络多安全,一旦某个服务器或者应用的安全受到危及,数据总是容易受到攻击。LeftHand Network公司的Spiers说:“如今人们更侧重于保护服务器安全——如果你可以访问服务器,就可以访问存储系统。”即使再多的加密或者验证措施也防止不了原本就有权进入的程序或用户进行访问。说到底,存储管理员能够做的事情就是确保自己的系统可靠,并且希望别人也是如此。
如果我们把这些问题总结起来,就会概括出来iSCSI专家们一致认同的如下建议,而这些建议是采用这项技术的每个个体必须要做到的:
1.把iSCSI部署在不会路由到数据中心外面的安全、隔离的虚拟局域网(VLAN)或者子网上;
2.把管理接口留在安全网络上;
3.使用基于角色的访问控制,把所有管理活动记入日志;
4.只要iSCSI流量离开安全网络(譬如广域网连接),随时使用加密;
5.采用Diffie-Hellman询问握手验证协议(DH-CHAP)来验证彼此访问的服务器和存储阵列;
6.采用适用于本公司,又不会过于复杂的安全技术——有时候,越简单越好。
更安全的iSCSI
以上介绍了为iSCSI存储网络保驾护航的一些基本信息。而随着技术和法规的发展,如今出现的一些变化会让iSCSI变得更为安全。
硬件加速的iSCSI。厂商们声称,两年内,硬件加速的iSCSI会成为iSCSI启动器和存储阵列的一项常用功能。Siafu Software LLC的总裁兼CEO John Matze说:“如今的CPU能够跟上千兆加密处理速度,但万兆以太网会改变这一切。”他是iSCSI协议的最初起草者之一。Matze预计,加密处理机制会进入到路由器或者存储阵列,提供高达10Gbps的线速吞吐量。
微软公司的iSCSI软件目标。随着微软在入门级iSCSI市场的份额不断扩大,通过它的iSCSI目标软件来实施安全技术会变得更简单。可以使用控制Windows服务器及桌面配置的相同的组策略编辑器来配置该软件。许多iSCSI阵列还无缝集成了 Windows域,进行管理验证。
可信平台模块。服务器架构方面的变化也对iSCSI产生了影响。可信平台模块(TPM)是一种特殊芯片,可以安装到PC或者服务器的主机上,用来验证计算机而不是用户。为此,TPM保存了主机系统特有的信息,譬如加密密钥、数字证书和密码。TPM尽量减少了计算机上的数据受到物理窃取或者外部攻击的危及这种风险。预计TPM芯片的应用范围会扩大到磁盘驱动器和存储系统。虽然不是说有了TPM就不需要任何当前的加密或者验证技术,但它使得保存在存储系统上的数据更加安全。
法规会促使人们更关注安全。人们之所以关注IP领域的数据安全,主要是由于政府法规。对企业而言,同样关注的一个问题是可能要进行诉讼。最常被提到的法规之一就是2002年颁布的《萨班斯-奥克斯利法案》,该法案规定某些财务数据要有跟踪审查记录,以便追根溯源。不过该法案只是冰山一角。1999年颁布的《金融服务现代化法案》和《健康保险可携性及责任性法案》(HIPAA)也要求公司保护个人数据。另外,支付卡行业(PCI)的数据安全标准对信用卡处理公司提出了严格要求。受到任何这些法规影响的公司都要认真考虑加密技术,并且评估各自的存储网络是否容易发生数据失窃。