Zoning und LUN-Security

Gefahrenquelle Speichernetze

Eine speziell für SANs mögliche Security- Maßnahme ist das Zoning. Zoning bietet über die FC-Switches eine ähnliche Funktionalität wie die virtuellen LANs (VLANs) im LAN-Switch. Sie definiert voneinander abgegrenzte Teilnehmergruppen, die auf Basis von physikalischen Port-Nummern (Hard- Zoning) oder aufgrund der Adressinformationen im Datenfeld (Soft-Zoning) gebildet werden. So lässt es sich verhindern, dass Server einer Zone auf Speichersysteme einer anderen Zone zugreifen. Zoning ist eigentlich nicht als Sicherheitsmaßnahme geplant, sondern sollte ursprünglich verhindern, dass Betriebssysteme fremde Plattenbereiche im SAN als ihre eigenen kennzeichnen und sie mit einem neuen Initialisierungsmuster überschreiben. Die strikte Trennung verhinderte versehentliche Datenzerstörungen.

Logical Unit Number unterstütz Zoning
Unterstützt wird Zoning oftmals durch die LUN-Security der Disk-Arrays. Eine LUN (Logical Unit Number) ist eine logische Platteneinheit in einem intelligenten Festplatten- Subsystem. Unter LUN-Security fallen die Begriffe LUN-Binding und LUN-Masking. Beide Verfahren sollen verhindern, dass unberechtigte Teilnehmer im SAN Zugriff auf die LUNs erhalten. LUN-Binding erlaubt die Adressierung der LUNs nur über bestimmte Netzeingänge des Plattensystems. LUNMasking definiert darüber hinaus noch Zugriffstabellen, in denen die World-Wide- Name-Adressen der zugriffsberechtigten Server hinterlegt sein müssen. Ein großes Security-Risiko sind die vielen Zugangspunkte für das Management der Speicher- und Netzwerk-Komponenten. Bei den Kontrollpfaden für das SAN-Management unterscheidet man zwei verschiedene Technologien: Out-of-Band-Verfahren mittels SNMP über LAN-Verbindungen oder In- Band-Konzepte über das operative FC-Netzwerk selbst. Grundsätzlich wird das Outof- Band-Verfahren alswesentlich unsicherer angesehen. Denn über IP-Wissen verfügen mehr Nutzer und können damit über die teilweise noch sehr unsicheren SNMP-Protokolle Zutritt erlangen. Eine weitere Schwachstelle liegt im größeren Konfigurationsaufwand und der Gefahr von unbeabsichtigten Fehlern, die Angreifer ausnutzen können. Letztendlich ist die Absicherung von SANs eine sehr anspruchsvolle Aufgabe für den Systemverwalter. Unterstützung bekommt er von der Industrievereinigung SNIA (www.snia.org), die ein Modell für die Klassifizierung von SAN-Bedrohungen erarbeitet hat. Die SNIA-Gruppe SSIF (Storage Security Industry Forum;www.snia.org/ssif) vereinigt Hersteller, die Sicherheitsfunktionen im Bereich Storage Networking anbieten und unterstützt deren Lösungen.