+设为首页 +添加到收藏夹
曾几何时,通讯安全保障技术与存储产品没有任何关系。如果谁提及存储通道的通讯安全,定会遭到耻笑。也对,你见过有哪个黑客是从scsi连接攻破系统的?
internet如此凶险,iscsi所面临的安全考验可想而知。 【相关文章:希捷、惠普携手展示业界首款SAS储存方案】
但是说到iscsi,情况就完全不一样了。iscsi的连接通道是以太网,这可是黑客们自家的大院。谁要是进来,就必须得考虑安全问题。这比进建筑工地要带安全帽还重要,因为在internet上被黑客盯上的概率,比在建筑工地被板砖拍到头上的概率大多了。不信您可以试试,在建筑工地里待上三天也等不到一块从天而降的板砖。但是把windows的安全保护去掉连到internet上,保证你三小时之内就收集到数种“宝贵”的后门程序。如果比较“幸运”,说不定您的用户口令已经被改过n次,通讯录被复制m回了。 【扩展阅读:日立公司与LSI公司联手开发SAS产品】
一、无安全保护 【扩展信息:SAS(串行连接SCSI)将进入ROC行】
幸好ietf与snia的ip存储工作组对此早有防范,在制订iscsi标准之初就充分考虑了通讯的安全问题。按照snia ip存储工作组的说法,针对iscsi技术的保护可以分为五个级别。
且慢扔西红柿,听我说完嘛!
最简单的iscsi实现方式,就是没有任何加密与认证机制的连接。这种方式仅提供了“scsi指令在tcp/ip协议上传输”这样一个最基本的功能,连接到网络上的任何一台主机都可以毫无阻碍的连接到iscsi存储设备。
这种方式显然对任何危险都没有防范能力。但是,这种方式也有一个显然的优势,那就是性能。没有了认证与加密,自然也就省去了很多额外开销。如果您非常需要您的iscsi磁盘阵列以全速工作,这种方式无疑是最好的选择。刘翔要是带着安全帽、穿上防弹衣去参加奥运会,肯定也拿不了第一名
当然,选择这种方式的时候,用来连接iscsi磁盘阵列的网络交换机最好是与外界隔离的。这样安全问题就不那么突出了。不带安全帽,就离建筑工地远点呗,最好待在自己家里。板砖破窗而入的事件虽然也有可能发生,但毕竟比在建筑工地周围安全多了。
二、iscsi initiator与target通讯认证
这种方式是在iscsi通讯的两端做文章。initiator就是主机端,target是磁盘阵列端。... 下一页
