Do iSCSI ủược thiết kế ủể cú thể triển khai trờn mạng diện rộng như Internet nờn cỏc giải phỏp về an ninh cho iSCSI là hết sức quan trọng. Cỏc giải phỏp về an ninh cho iSCSI SAN bao gồm [1]:
* Discovery Domains (DDSs): phương phỏp này dựa một phần vào dịch vụ
iSNS. iSNS cung cấp những tiện nghi ủể ủăng ký, phỏt hiện, quản lý thiết bị
lưu trữ (IP Storage) và quản lý những thay ủổi về trạng thỏi. DDSs tạo ra miền và cho phộp những thiết bị (ủược xỏc nhận bởi iSNS) trong cựng một miền cú thể thiết lập ủược phiờn giao dịch. DDSs ủược sử dụng trong IP SAN tương
ủương với dịch vụ Zoning của kờnh FC SAN.
* LUN Masking: phương phỏp này dựa trờn việc ẩn giấu cỏc LUNs. Bỡnh thường khi bờn nguồn thiết lập một phiờn làm việc với bờn ủớch, bờn nguồn sẽ
gửi ủến bờn ủớch lệnh truy vấn về số hiệu LUNs của những ủĩa nú ủịnh ủọc hoặc ghi số liệu. Bờn ủớch sẽ ủỏp lại bằng cỏch gửi danh sỏch số hiệu cỏc LUNs mà nú cú bằng lệnh “Report LUNs” cho bờn nguồn. Như vậy giới hạn danh sỏch cỏc LUNs của bờn ủớch trả về cho bờn nguồn cũng là một phương thức an ninh. Tớnh năng “LUN Masking” khụng bắt buộc phải cú trong cỏc thiết bị lưu trữ iSCSI. Nú chỉ là một lựa chọn trong cỏc phương thức an ninh của IP SAN.
* Danh sỏch ủiều khiển quyền truy cập (Access Control Lists -ACL): Những thiết bị mạng như bộ ủịnh tuyến hay bộ chuyển mạch cú thể cung cấp chớnh sỏch bảo mật ủơn giản thụng qua ACLs. ACL ủơn giản ủược hiểu như một bảng cú chứa danh sỏch ủịa chỉ nào (với tầng 2 là ủịa chỉ MAC và tầng 3 là
ứng dụng cho Tổng Cụng ty Bảo hiểm Việt Nam -
___________________________________________________________________ dụng loại dịch vụ vận chuyển (TCP hay UDP) hay số hiệu cổng TCP ủể giới hạn quyền truy cập.
* Mạng ảo (VLAN): VLAN cú thể ủược ỏp dụng ủể phõn tỏch và thiết lập quyền ưu tiờn cho cỏc luồng dữ liệu luõn chuyển qua thiết bị mạng. Ứng dụng vào IP SAN, VLAN là một giải phỏp ủể bảo mật cũng như ủể phõn vựng (zoning).
* IPSec: IPSec gồm hai cơ chế chớnh: mào ủầu xỏc thực (AH) và ủúng gúi an toàn dữ liệu (ESP). IPSec cung cấp cỏc dịch vụ mó hoỏ, xỏc thực cho dữ liệu truyền tải trờn mạng IP.
IPSec cung cấp hai chế ủộ kết nối là chế ủộ vận tải (Transport Mode) và chế ủộủường hầm (Tunnel Mode). Chếủộ vận tải bắt buộc ỏp dụng cơ chế an ninh
ở tất cả cỏc ủiểm thuộc kết nối cũn chế ủộ ủường hầm chỉ yờu cầu cơ chế an ninh từủiểm ủầu ủến ủiểm cuối của ủường hầm. Transport Mode Tunnel Mode IP Network IP Router
Initiator IP Router Target
Encrypted Data
IP Network Sercurity
Gateway
Initiator SercurityGateway Target
Encrypted Data
Clear Data Clear Data
Hỡnh 26 - Hai chếủộ kết nối của IPSec
IPSec cú thểủược ỏp dụng hết sức linh hoạt trong IP SAN, Nú cú thểủược ỏp dụng trờn toàn mạng SAN hay chỉ trờn những ủoạn mạng cú khả năng rủi ro cao. Nếu sử dụng IPSec thỡ SAN bị giảm hiệu năng do phải vận chuyển thờm thụng tin của khúa khi trao ủổi dữ liệu và làm tăng thời gian trễ khi xỏc nhận, mó húa hoặc giải mó. ðể khắc phục ủiều này, cỏc thiết bị mạng và thiết bị lưu
___________________________________________________________________ trữ cần tớch hợp sẵn IPSec.
Việc thoả thuận kiểu bảo mật giữa hai thiết bị iSCSI ủược thực hiện trong quỏ trỡnh ủăng nhập. Nếu thành cụng, cỏc gúi dữ liệu trao ủổi giữa cỏc thiết bị
iSCSI sẽ ủược ủịnh dạng cho phự hợp với những yờu cầu của tiến trỡnh an ninh. Tiến trỡnh này cú thểủược thực hiện với sự trợ giỳp của mỏy chủ iSNS.