Gefahrenquelle Speichernetze
Datensicherheit von SANs

BetriebssystemIT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeOpen SourceSicherheitSoftwareWorkspace

Mit den zunehmend populären Speichernetzen öffnet sich eine neue Sicherheitslücke in der Firmen-IT. Die gesicherten Informationen können direkt angezapft, zerstört, manipuliert oder missbraucht werden. Gegen diese Sicherheitsrisiken gibt es bewährte und neue Methoden.

Massenspeicher

Gefahrenquelle Speichernetze

Bei professionellen Massenspeichern lösen Storage Area Networks (SAN) zunehmend direkt am Server angeschlossene Speichersysteme ab. Kern des SAN-Konzeptes ist die Trennung von Serverund Speicherfunktionen, Storagesysteme werden dabei als gleichberechtigte Komponenten in der IT etabliert. Das lokale Netz bleibt bei einem SAN von den Zugriffen auf die Speichersysteme unberührt. In der Regel werden SANs mit Hilfe von Fibre-Channel-Switches (FC) aufgebaut, die Server und Speicher miteinander verbinden. Sie erreichen damit einen sehr hohen Datendurchsatz. Daneben findet auch das Übertragungsverfahren iSCSI verstärkt Beachtung. Besonders in kleineren Unternehmen gewinnt TCP/IP als Trägerprotokoll für Speicherdaten über weite Verbindungen an Bedeutung. Mit FCIP (Fibre Channel over IP) oder iFCP (Internet Fibre Channel Protocol) stehen heute auch Möglichkeiten zur Verfügung, um Server und Speichersysteme über sehr große Entfernungen zu verbinden. Speichernetzen gehört klar die Zukunft, einem »Storage-Internet« steht prinzipiell nichts mehr im Wege. Doch auf der Schattenseite stehen erhöhte Sicherheitsrisiken. Die Gefahr ist groß, dass die in den Datenspeichern liegenden Unternehmensinformationen direkt angezapft, zerstört, manipuliert oder missbräuchlich verwendet werden. Für SANs ist es deshalb ebenso unabdingbar wie für Server und andere IT-Systeme, Schutzmaßnahmen zu ergreifen.


Security Framework

Gefahrenquelle Speichernetze

Grundsätzlich unterscheidet sich die Sicherheit in SANs nicht von Security-Techniken in anderen Netzen. Jahrzehntelange Erfahrungen aus dem LAN- und WAN-Bereich sind eine gute Basis. Zum Teil setzt die Speicherindustrie auf die gleichen Sicherheitsprotokolle wie IPsec, SSL, TLS, SSH, PKI und ähnliche. Grundsätzlich beginnt Sicherheit bei der sauberen Organisation des Speichernetzes. Die SNIA (Storage Networking Industry Association) sieht die wichtigsten Bestandteile eines Security Frameworks in Authentifizierung, Autorisierung, Accounting/ Auditing, Datenintegrität sowie Vertraulichkeit. Die Authentifizierung prüft, ob es sich um einen bekannten, zugelassenen Administrator oder User handelt. Hier lassen sich Techniken wie Passwortschutz, Zertifikate und biometrische Überprüfungen nutzen. Die Autorisierung geht noch einen Schritt weiter. Neben der Überprüfung der gültigen Berechtigung werden verschiedene Rechte vergeben. So darf beispielsweise der eine Administrator die Zonen des Switches umkonfigurieren, während ein anderer nur bestimmte Reports drucken kann. Accounting und Auditing zeichnen alle historischen Management-Aktivitäten auf und werten sie aus. Dies dient hauptsächlich dem lückenlosen Nachweis aller Zugriffe auf die Speicherkomponenten im SAN. Die Datenintegrität beinhaltet den Nachweis, dass Daten unverfälscht übertragen und abgespeichert werden. Die Vertraulichkeit wird durch Verschlüsselungsverfahren wie DES, Triple-DES, AES oder Blowfish garantiert.


Security-Protokolle für SANs

Gefahrenquelle Speichernetze

Ergänzt werden diese allgemeinen Standards durch das FC-spezifische Security-Protokoll FC-SP, das vom Standardisierungsgremium ANSI/T11.3 (www.t11.org) 2004 verabschiedet wurde. Es nutzt das Diffie-Hellman Challenge Handshake Authentication Protocol (DH-CHAP). Optional kann FCAP (Fibre Channel Authentication Protocol) eingesetzt werden. Führende Switch-Hersteller bieten entsprechende Funktionen an oder arbeiten an ihrer Implementierung. Für IP-Block-Storage-Protokolle hat der IETF-Sicherheitsstandard die Verwendung von ESP (Encapsulating Security Payload) vorgeschrieben. Für Fibre Channel wird an einer ähnlichen Lösung gearbeitet. Ein IP-Link zwischen zwei SANs kann mit dem Sicherheitsprotokoll IPsec abgesichert werden. Problematisch sind die hohe Übertragungsgeschwindigkeit der Daten und die Anforderungen an eine geringe Verzögerung. Für das sichere Management der SAN-Geräte unter Verwendung des IP-Protokolls stehen ebenfalls kryptografische Funktionen im Mittelpunkt. Die Nutzerauthentisierung schützt vor Missbrauch der Managementanwendung. Die unterschiedlichen Komponenten des Managementsystems (Client, Server, Agent) müssen sich ebenfalls gegenseitig authentisieren, zum Beispiel via SSL-Verschlüsselung. Das Managementprotokoll SNMP sollte in der Version 3 verwendet und Telnet durch SSH ersetzt werden.


Zoning und LUN-Security

Gefahrenquelle Speichernetze

Eine speziell für SANs mögliche Security- Maßnahme ist das Zoning. Zoning bietet über die FC-Switches eine ähnliche Funktionalität wie die virtuellen LANs (VLANs) im LAN-Switch. Sie definiert voneinander abgegrenzte Teilnehmergruppen, die auf Basis von physikalischen Port-Nummern (Hard- Zoning) oder aufgrund der Adressinformationen im Datenfeld (Soft-Zoning) gebildet werden. So lässt es sich verhindern, dass Server einer Zone auf Speichersysteme einer anderen Zone zugreifen. Zoning ist eigentlich nicht als Sicherheitsmaßnahme geplant, sondern sollte ursprünglich verhindern, dass Betriebssysteme fremde Plattenbereiche im SAN als ihre eigenen kennzeichnen und sie mit einem neuen Initialisierungsmuster überschreiben. Die strikte Trennung verhinderte versehentliche Datenzerstörungen.

Logical Unit Number unterstütz Zoning

Unterstützt wird Zoning oftmals durch die LUN-Security der Disk-Arrays. Eine LUN (Logical Unit Number) ist eine logische Platteneinheit in einem intelligenten Festplatten- Subsystem. Unter LUN-Security fallen die Begriffe LUN-Binding und LUN-Masking. Beide Verfahren sollen verhindern, dass unberechtigte Teilnehmer im SAN Zugriff auf die LUNs erhalten. LUN-Binding erlaubt die Adressierung der LUNs nur über bestimmte Netzeingänge des Plattensystems. LUNMasking definiert darüber hinaus noch Zugriffstabellen, in denen die World-Wide- Name-Adressen der zugriffsberechtigten Server hinterlegt sein müssen. Ein großes Security-Risiko sind die vielen Zugangspunkte für das Management der Speicher- und Netzwerk-Komponenten. Bei den Kontrollpfaden für das SAN-Management unterscheidet man zwei verschiedene Technologien: Out-of-Band-Verfahren mittels SNMP über LAN-Verbindungen oder In- Band-Konzepte über das operative FC-Netzwerk selbst. Grundsätzlich wird das Outof- Band-Verfahren alswesentlich unsicherer angesehen. Denn über IP-Wissen verfügen mehr Nutzer und können damit über die teilweise noch sehr unsicheren SNMP-Protokolle Zutritt erlangen. Eine weitere Schwachstelle liegt im größeren Konfigurationsaufwand und der Gefahr von unbeabsichtigten Fehlern, die Angreifer ausnutzen können. Letztendlich ist die Absicherung von SANs eine sehr anspruchsvolle Aufgabe für den Systemverwalter. Unterstützung bekommt er von der Industrievereinigung SNIA (www.snia.org), die ein Modell für die Klassifizierung von SAN-Bedrohungen erarbeitet hat. Die SNIA-Gruppe SSIF (Storage Security Industry Forum;www.snia.org/ssif) vereinigt Hersteller, die Sicherheitsfunktionen im Bereich Storage Networking anbieten und unterstützt deren Lösungen.


SANs und NAS ? die Unterschiede

Gefahrenquelle Speichernetze

Neben SANs haben sich Network Attached Storage (NAS) als Speichernetze etabliert. SAN ist eine Netzwerk-Technologie, die den Anschluss von Massenspeichergeräten an ein gemeinsam genutztes Netzwerk unterstützt. SAN-Lösungen arbeiten nicht als Server, sondern verarbeiten Block-I/O-Protokolle im Auftrag eines anderen Systems. Ein NAS arbeitet hingegen als Server in einer Client/Server-Architektur. Anders als SANs werden NAS-Systeme direkt über Ethernet an das bestehende lokale Netzwerk angeschlossen und nutzen die gleichen P
rotokolle. Dadurch können NASLösungen schnell Speicherplatz zur Verfügung stellen, ohne die bestehende Client/ Server-Architektur zu verändern. Gegenüber Applikationen im Netz operiert ein NAS wie ein Hochgeschwindigkeitsspeicher für spezielle Daten und Anwendungen. Für die angeschlossenen Clients handelt es sich schlicht um eine Festplatte mit großer Kapazität. Ein auf der Fibre-Channel-Technologie basierendes SAN ist die ideale Lösung für große Datenvolumina, da es den Transfer sehr umfangreicher Datenmengen auf separate Storage-Netzwerke ermöglicht. Ein SAN empfiehlt sich aus diesem Grund vor allem für Server-orientierte IT-Umgebungen, die höchste Skalierbarkeit, Sicherheit und Flexibilität fordern. NAS ist eine Alternative für alle, die ihre Speicherressourcen effizient, preisgünstig und unkompliziert optimieren wollen. Das gilt besonders für kleinere und mittlere Betriebe. Zudem sind NAS-Installationen sehr gut in heterogenen Betriebssystem- Umgebungen einsetzbar.