安全性比拼二
在数据安全范畴的另一面,事实上,不管iSCSI协议对于大多数企业来说是否是一个非常危险的数据传输协议,我们现在都要非常感谢它在数据“识别”机制上给我们留下的宝贵的经验。这种识别机制是一种方法,它可以自动完成iSCSI初始化到识别发现所有的目标虚拟磁盘的配置。
这个自动识别的功能可以让很多疏忽的管理员很简单的、偶然的或者不经意的完成服务器到虚拟磁盘间的绑定,防止一些潜在导致数据错误或者信息遗漏发生。一个iSCSI磁盘存储系统必须具备一个清晰的安全的模式,使得存储管理员可以非常简单并且清楚的对系统和虚拟磁盘间的连接进行应用控制。
我们也考察了一下这些产品对卷设置的是否有很严格的限制,比如iSCSI卷初始化的名字、IP地址或者用户名和密码。我们通过测试发现StoneFly Storage Concentrator表现最好,随后的是Dell PS5000XV 和 Reldata Unified Storage Gateway,他们有着非常清晰并且非常全面数据安全管理,或多或少的让我们感觉他们在数据保护管理方面是非常简单便捷的。
在对这些产品的数据安全管理基本能力检查中,只有Nexsan SATABeast一款产品没有成功。因为它不支持任何种类的数据初始化卷到目标卷的鉴定方法,而其他产品则做着各种各样的努力,或者混乱或者非常艰难的使用这个鉴定方法(CHAP是在iSCSI中非常普遍使用的鉴定协议),我们迟早都会通过这个方法完成所有工作的。
尽管绝大多数的存储系统管理软件好像都需要依靠一个分离的网段而不是数据加密方式实现数据安全管理,确保数据私密,但我们还是考察了一下在每个数据管理台中对加密的操作。 NetApp的 FAS2050具备这个功能,并且在测试中我们也确实能够那样做。Celeros EzSANFiler声称具备IPSec传输加密,但是我们在测试时却不能实现。Reldata的Unified Storage Gateway仅支持手动的密钥共享而不是通过网络的自动密钥交换,这种方法在真实的用户环境中只能算作不及格。
虽然我们没有经过测试,但是我们在StoneFly Storage Concentrator的管理软件中,对磁盘数据的加密方式上发现一个非常有趣的特性。通过StoneFly的执行,加密密钥信息被载入到一个USB的记忆卡中,当系统启动的时候我们需要这个密钥卡的支持。