作為存儲協(xié)議的互聯(lián)網(wǎng)小型計算機接口（iSCSI）以其管理的簡單性著稱。如果一個管理員知道TCP/IP協(xié)議以及有自尊心的管理員所不知道的內(nèi)容，那么他們就擁有了成功管理iSCSI連接所需的知識。

　　iSCSI還得益于其硬件選擇。在大多數(shù)情況下，周圍同樣的以太電纜和網(wǎng)絡(luò)設(shè)備可以用來順利傳送iSCSI流量。

　　由于所有這些都適用于它，把服務(wù)器連接到存儲系統(tǒng)的iSCSI協(xié)議似乎是跨IT環(huán)境的首要選擇。但是它確實有一個缺點，這一點在匆忙加速部署新服務(wù)器時經(jīng)常被忽視。

　　這個缺點是iSCSI保護這些連接的選項。不像連接從不離開服務(wù)器機架的直接附加式存儲，也不像光纖通道的完全獨立和單次使用的連接基礎(chǔ)架構(gòu)，iSCSI的在已有網(wǎng)絡(luò)上使用它的價值掩蓋了很多安全問題，這些問題并不能顯而易見地解決。

　　但是保護iSCSI網(wǎng)絡(luò)連接的解決方案確實存在。特別有趣的是，這些解決方案可以在各自之上進行分層來創(chuàng)造安全數(shù)據(jù)所需的任何深度。當管理員考慮把iSCSI暴露在他們的環(huán)境中時，他們應(yīng)該仔細考慮這一點。

　　第一層：分離的訪問控制列表（ACL）網(wǎng)絡(luò)。iSCSI針對千里眼的第一層防護不會在iSCSI協(xié)議自身的內(nèi)部發(fā)生。相反，創(chuàng)建來支持iSCSI的架構(gòu)應(yīng)該以這樣的方式，即把iSCSI流量與其它傳統(tǒng)網(wǎng)絡(luò)分開。

　　出于安全需要以及為了確保保障性能，隔離可以是物理性的，即通過建立通過分離的網(wǎng)絡(luò)設(shè)備的路徑來實現(xiàn)。它也可以是邏輯的，即通過使用網(wǎng)絡(luò)層的VLAN和訪問控制列表（ACL）來實現(xiàn)。配置第三層（基于IP）網(wǎng)絡(luò)設(shè)備上的ACL可以確保適當?shù)牧髁柯酚伞Ｋ簿哂衅帘尾辉撛谌蚍秶辉L問的iSCSI LUN的效果。iSCSI通過默認的TCP端口3260運行，它引入了這樣一個概念：第四層（基于端口）的訪問控制列表也可以提供額外的安全性。

　　第二層：挑戰(zhàn)握手認證協(xié)議（CHAP）驗證。雖然ACL也許能確保iSCSI流量準確地轉(zhuǎn)到正確的主機，但是它并沒有為存儲器驗證服務(wù)器。這個過程通過這個協(xié)議的挑戰(zhàn)握手認證協(xié)議支持來處理，它使用了兩個可能的配置之一。第一個是單向的CHAP身份驗證，存儲器上的iSCSI目標驗證服務(wù)器的啟動程序。存儲器上設(shè)置了單向CHAP身份驗證的秘密，本質(zhì)上它是iSCSI密碼。任何正在進入的服務(wù)器啟動程序必須知道這個密碼才能發(fā)起會話。

　　第二個稍微好一點的選擇是雙向CHAP身份驗證，在這種情況下iSCSI目標和啟動程序彼此進行身份驗證。在這個配置中使用了分離的秘密，連接的各方都有一個。每一方都必須知道另一方的秘密才能啟動連接。

　　第三層：遠程身份驗證撥入用戶服務(wù)（RADIUS）驗證。RADIUS，或者稱為遠程身份驗證撥入用戶服務(wù)，長久以來與電話和調(diào)制解調(diào)器聯(lián)系在一起。這個服務(wù)也已經(jīng)演變成驗證其它協(xié)議的一個標準。iSCSI的啟動程序和目標不是彼此驗證，而是通過RADIUS服務(wù)器來驗證。

　　通過第三方服務(wù)的集中式驗證改善了安全性管理。使用CHAP驗證配置密碼需要跨越多臺服務(wù)器以及存儲器連接來輸入它們的字符串。密碼數(shù)據(jù)的分布引入了犯錯誤的機會。僅僅記錄許多密碼會暴露漏洞。RADIUS服務(wù)器的集中式驗證降低了投入，這就減少了這些管理風險。

　　第四層：互聯(lián)網(wǎng)協(xié)議安全驗證。不幸的是，CHAP驗證自身并不是一個非常強大的保護連接安全的機制。據(jù)報道，CHAP會受到離線字典攻擊，一個持久的攻擊者可以通過強力手段最終猜到密碼。正是由于這個原因，在創(chuàng)建CHAP密碼時推薦使用隨機的字母和數(shù)字串。實際上RADIUS自身也僅僅是一個管理CHAP密碼的服務(wù)，這暗示著它的實施并不會增加太多超過秘密總合的安全性。

　　這些因素表明真正的安全連接身份驗證需要一個不同的方法，一個不會受制于CHAP漏洞的方法。IPSec可以滿足這些更強的身份驗證需求。IPSec工作在IP數(shù)據(jù)包層，賦予了它TCP/IP協(xié)議棧的全部功能。IPSec身份驗證可以通過使用預(yù)共享密鑰（類似于CHAP）而存在，但是它也支持類似于Kerberos和基于證書的身份驗證的更強大的框架。

　　IPSec的最大的局限性在于存儲設(shè)備的支持上。盡管CHAP身份驗證與iSCSI連接更加密切相關(guān)，但是IPSec的功能可能不是存儲器操作系統(tǒng)的功能集的一部分。請查閱制造商的文檔來獲取關(guān)于存儲器硬件的支持的相關(guān)信息。

　　第五層：互聯(lián)網(wǎng)協(xié)議安全加密。這一點的所有安全層都集中它們的精力來確保兩個設(shè)備可以進行通信。這就是身份驗證過程。這一點對保護存儲器數(shù)據(jù)沒有給予任何關(guān)注，因為它是通過網(wǎng)絡(luò)流動。解決這個問題需要加密技術(shù)，這是IPSec支持的另一項活動。IPSec加密代表了這五層的最后部分，因為只有在服務(wù)器啟動程序已經(jīng)被存儲設(shè)備的目標驗證后它才發(fā)生。產(chǎn)生的流量在源端進行加密，然后傳送成功之后進行解密。

　　雖然加密流量確實提供了最高級別的安全性，但是這樣做也帶來了性能上的成本。加密和解密活動僅僅是需要更多的處理過程，這本身就會影響整體傳輸速度。因此，目前的最佳做法建議通過IPSec加密流量僅限于不信任的網(wǎng)絡(luò)，或者用在需要極度安全的情況。

　　iSCSI確實是一個把服務(wù)器路由到存儲器的很好的協(xié)議。對于那些熟悉TCP/IP的基本面的人來講，iSCSI易于使用、互連簡單以及需要一個較短的學習曲線，它為IT提供了一個一流的服務(wù)。然而，要謹防其經(jīng)常被遺忘的缺點：由于缺乏正確的安全層，iSCSI可能會使存儲器流量以容易利用的方式暴露在外。