SCSI(Small Computer System Interface)自 1986 年標準化以來,成為伺服器儲存連接的核心技術。從實體排線到通訊協定,SCSI 定義了電腦與周邊設備溝通的完整規範,在企業級儲存與資安管理中仍具關鍵地位。
SCSI 技術架構與演進
SCSI 採用主從式架構,由 Initiator(發起端)發送命令,Target(目標端)執行回應。早期並列 SCSI 支援最多 16 個裝置,傳輸速率從 5 MB/s 演進至 Ultra-640 SCSI 的 640 MB/s。現代環境已普遍轉向序列化衍生標準:SAS(Serial Attached SCSI)延續 SCSI 命令集,提供 12 Gb/s 頻寬;iSCSI 則將 SCSI 封裝於 TCP/IP,實現跨網路儲存存取。SCSI 命令集(CDB,Command Descriptor Block)保持向下相容,確保舊有裝置在新架構中仍可運作。
資安管理實務:實體存取與媒體安全
SCSI 裝置的資安風險集中於兩個面向。實體存取控制方面,未授權連接 SCSI/SAS 裝置可直接讀寫磁碟資料,機房門禁與機櫃鎖控是第一道防線。儲存媒體安全方面,SCSI 標準支援 SECURITY PROTOCOL OUT 命令,可對硬碟執行加密抹除(Cryptographic Erase);報廢磁碟應執行符合 NIST SP 800-88 的安全清除程序,防止資料殘留洩漏。iSCSI 部署時,需強制啟用 CHAP 認證與 IPsec 加密,避免儲存流量遭中間人攔截。
# Linux 下查詢 SCSI/SAS 裝置資訊與安全抹除狀態
lsscsi --transport # 列出所有 SCSI 裝置與傳輸協定
sg_sanitize --sanact=4 /dev/sda # 執行 Cryptographic Erase(需裝置支援)
💡 重點整理
- SCSI 命令集(CDB)是 SAS、iSCSI 等現代標準的共同基礎,確保跨世代相容性。
- SAS 取代並列 SCSI 成為企業儲存主流,提供雙埠冗餘與高達 12 Gb/s 頻寬。
- 報廢 SCSI 裝置應執行 Cryptographic Erase,並依循 NIST SP 800-88 清除規範。
- iSCSI 環境必須啟用 CHAP 認證與 IPsec,防止儲存流量遭未授權存取。
SCSI 技術橫跨數十年仍是企業儲存的核心命令語言。掌握其架構演進,並落實實體存取管控與媒體安全清除,是伺服器環境資安管理不可或缺的基礎能力。
📚 參考文獻
- INCITS T10 Committee — SCSI Primary Commands (SPC-6) 官方規範,www.t10.org
- NIST SP 800-88 Rev. 1 — Guidelines for Media Sanitization,csrc.nist.gov
- Linux
sg3_utils工具文件 — SCSI 裝
留言
張貼留言