Datensicherheit in NAS-Umgebungen

04.02.2005
Von Dieter Fiegert
Zum Schutz sensibler Daten reichen Access Control Lists (ACLs) und Firewalls nicht aus. Storage Security Appliances können bestehende Sicherheitsmaßnahmen ergänzen.

Lange Zeit kaum beachtet, entwickelt sich für IT-Abteilungen in Unternehmen, öffentlichen Institutionen und Behörden die Speichersicherheit zum kritischen Faktor. Zunehmend verlangen Kunden und Anwender Garantien dafür, dass ihre sensiblen Daten vor nicht autorisiertem Zugriff geschützt sind. Das ist besonders wichtig, wenn es sich um personenbezogene Informationen handelt, wie sie etwa bei Versicherungen, Banken und Behörden sowie im Gesundheitswesen anfallen. Aber auch für andere Branchen gilt es, Daten etwa aus der Personalabteilung oder der Produktentwicklung vor unerlaubtem Zugriff zu schützen.

Kontrolllisten können manipuliert werden

Bestehende Methoden für den Zugriffsschutz im File-Service beziehungsweise in NAS-Umgebungen basieren heute in der Regel auf Access Control Lists (ACLs). Die ACLs sind jedoch leicht zu umgehen. So können System- und Netzadministratoren oder auch unbefugte Personen (im Unternehmen oder extern), die sich Administrationsrechte illegal beschafft haben, die ACLs verändern und einfach auf sensible Datenbestände zugreifen. Auch durch unaufwändige Manipulation des "User Switch" können die Zugangsrechte über User ID und Group ID verändert und so schnelle "Erfolge" für nicht autorisierte Benutzer erzielt werde.

Abhilfe schafft hier nur eine strengere Zugangskontrolle. Es ist notwendig, eine zusätzliche Sicherheitsebene einzuziehen. Eine Möglichkeit, die Sicherheit gespeicherter Daten zu erhöhen, ist der Einsatz von Storage Security Appliances. Sie werden in Unix- und Windows-Umgebungen als transparenter Proxy zwischen Clients und Storage gestellt und verbessern die Zugangskontrolle.

Ergänzung für Firewall-Systeme

Sie werden mit dem Active Directory Service synchronisiert, so dass Befugte beim Zugriff automatisch auf die entsprechenden Speicherplätze geleitet werden. Diese Appliances sollten aber nicht von den Netzadministratoren sondern idealerweise von den Sicherheitsbeauftragten im Unternehmen nach dem Vier-Augen-Prinzip verwaltet werden. Dabei haben Storage Security Appliances ergänzenden Charakter, ihre Funktion wird also keinesfalls von Security-Bausteinen wie Firewalls, Intrusion-Detection-Systemen und dergleichen bereits abgedeckt.

Bei der Auswahl einer geeigneten Storage Security Appliance sollte neben den spezifischen Sicherheitsfunktionen besonderer Wert auf das Management gelegt werden. Da Security-Konzepte sehr stark von Prozessen und der organisatorischen Handhabung leben, ist eine zentrale Administration wünschenswert.

Anbindung an Verzeichnissysteme

Die Funktionen der Appliance muss eine Zugangskontrolle durch beliebige Kombinationen etwa der User-ID, User-Gruppen, IP-Adressen und des Directory erzwingen. Dabei sollten sich die Benutzer und Benutzergruppen transparent vom Directory Server, beispielsweise Network Information Services (NIS), das Lightweight Directory Access Protocol (LDAP) oder Active Directory, importieren oder direkt auf der Appliance anlegen lassen. Wichtig ist zudem, dass alle bekannten Versionen von Unix- und Windows-Clients unter den Protokollen NFS und CIFS unterstützt werden. Besonders im Unix-Umfeld können flexible und fein abstufbare Zugangskontrolllisten (ACLs) der Appliance von Vorteil sein und zu einer wesentlichen Verbesserung gegenüber den Möglichkeiten des NIS-Directory führen.

Immer wenn es darum geht, die Daten unterschiedlicher Anwender, aus diversen Abteilungen oder verschiedenen Unternehmen auf einem Speichersystem zu halten, kommt die Frage der logischen Trennung und des Datenschutzes auf. Hier bietet das System "Data Fort E510" des US-amerikanischen Herstellers Decru Inc. mit Sitz in Redwood City im Bundesstaat Kalifornien eine Lösung. Das System verwendet "Cryptainer", um voneinander getrennte Speicherbereiche zu schaffen, und wendet für diese eine individuelle Zugangskontrolle an. So lassen sich Daten in Klartext abspeichern oder mittels "Wire Speed" mit 256-Bit-Verschlüsselung gemäß des Advanced Encryption Standards (AES) sichern.

Datenverschlüsselung mit 256-Bit-Verfahren

Durch die verschlüsselte Speicherung der Daten lassen sich alle "Hintertüren" abschließen und sicherstellen, dass sich sämtliche Anwender über die Storage Security Appliance authentifizieren müssen, um einen Zugang zu Daten zu erhalten. Von der Firma Neoscale gibt es mit "Cryptostor" ein ähnliches Produkt.

Dieser Anbieter aus Milpitas, Kalifornien, verspricht unter anderem, dass sein Produkt "Cryptostor FC" Datenpakete zu untersuchen und dabei die voreingestellten Zugriffskontrollrichtlinien zu überprüfen vermag. Das Gerät ist für den Einbau in einen 19-Zoll-Schrank vorgesehen und verfügt über zwei Fibre-Channel-Ports mit einer Datenrate von 2 Gigabit/s. Wie das Decru-System verschlüsselt Cryptostor Informationen mit 256 Bit nach AES. Unlängst hatte Neoscale mit Decru gleichgezogen und ebenfalls eine Lösung für Bandspeicher vorgestellt. Als Verkaufsargument für solche Produkte nennen die Hersteller die Praxis vieler Unternehmen, wichtige Informationen auf Backup-Datenbändern zu speichern, ohne das diese vor unberechtigtem Zugriff geschützt sind. Die von den Lieferanten implementierten Sicherheitsfunktionen für Tape-Systeme ähneln denen für Speicherprodukte.

Verwaltung über Web-Frontend oder Kommandozeile

Damit für den Anwender die gewohnten Arbeitsabläufe erhalten und Umstellungen vermieden werden, sollte eine Storage Security Appliance transparent und ohne zusätzlichen Aufwand in die bestehende Storage-Infrastruktur integriert werden können. Für den System- und Netzwerkadministrator entfallen dann Softwareinstallationen auf den Clients und Servern.

Für den täglichen Betrieb stellt sich die Frage nach den Management-Funktionen der Appliance. Je nach Vorliebe ist entweder eine einfach zu handhabende Web-basierende Schnittstelle oder für den Spezialisten ein Command Line Interface (CLI) zu favorisieren. Letzteres bietet den Vorteil, dass es das Scripting von regelmäßigen Management-Befehlen ermöglicht. Für die Integration in ein zentrales Management-Framework sollte das Monitoring mittels SNMP erfolgen. Darüber hinaus lässt sich über Log-Informationen, die über das Standardprotokoll Syslog gesammelt werden, die Verwaltung der Appliance erleichtern. (kk)