Speicher vor unbefugtem Zugriff schützen

31.03.2006
Von Stefan Ehmann 
Die Speicherindustrie hat die Gefahren für SANs qualifiziert und gibt Empfehlungen zur Abwehr.

Lange Zeit war der Speicher zumeist direkt einem Rechnersystem zugeordnet und profitierte zugleich von den physischen Schutzmaßnahmen eines Rechenzentrums. In Zeiten der Speichernetze und der systemübergreifenden Zusammenarbeit brauchen dagegen auch Speicher eine umfassende Sicherheitsstrategie. Insbesondere die wachsende IP-Durchdringung bringt neue Angriffspunkte hervor - sei es durch das Out-Band-Management, sei es durch IP-basierender Speichernetze wie iSCSI oder den für WAN-Anbindung genutzten IP-Link eines Fibre Channel (FC)-SAN.

Hier lesen Sie …

Gefahren für ein Speichernetz

Bedrohung Beschreibung

Diebstahl von Rechten Root-Zugriff oder Aneignung der Administratorenrolle

Katastrophe, Feuer etc. unbeabsichtigte Änderungen an Daten, Speicher oder Netzwerkressourcen

Rechtemissbrauch Privilegierte Anwender nutzen ihre Rechte bewusst oder unbewusst für unerlaubte Dinge

Datenmanipulation Böswillige Veränderung der Daten durch externe oder interne Personen

Anwendungsmanipulation Änderung an der Software durch Malware oder nicht korrektes Patch-Management

Hardwarediebstahl Diebstahl von Speicherhardware (Platten, Server etc.)

Medienklau Diebstahl physischer Speichermedien wie Bänder etc.

Empfehlungen für sicheren SAN-Betrieb

1. Etabliere ein sicheres Speicher-Management.

2. Identifiziere und bewerte sämtliche Schnittstellen im SAN und Zugangsnetz.

3. Unterteile das Netz in Risikoklassen.

4. Überwache und kontrolliere den physischen Zugriff auf Ressourcen.

5. Vermeide Fehler bei bekannten Schwachstellen.

6. Etabliere unternehmensweite Richtlinien und Regeln für mehr Sicherheit.

7. Schütze ausgelagerte Daten.

8. Prüfe ständig auf Schwachstellen.

9. Sorge für eine angemessene Serviceverfügbarkeit.

10. Zeichne kontinuierlich Aktionen und Ereignisse auf.

Die Gefahren, denen ein SAN ausgesetzt ist, sind entsprechend vielfältig und vielschichtig (siehe Tabelle "Gefahren für ein SAN"). Sowohl Server (der Eigner und Nutzer der Daten) und SAN-Systeme als auch Transportwege und -medien sowie Management-Anwendungen bieten sich als Opfer für Attacken an. Bekannte Angriffsmethoden wie Connection Hijacking (Übernahme der TCP/IP-Verbindung), DoS (Denial of Service) oder Sniffing (Mitschneiden des Datenverkehrs) sind nun auch im FC-SAN-Betrieb möglich.

SAN werden leichter knackbar

Angriffe auf ein FC-SAN erfordern mehr Know-how als gegen ein IP-Netzwerk. Durch den zunehmenden Einsatz von IP-basierenden Speichernetzen wird diese Schwelle deutlich gesenkt. Klassische Hacker-Tools, wie sie tausendfach im Internet zu finden sind, können hier zum Einsatz kommen. Zu den Gefahren zählen der Passwort-Diebstahl bei Routern und Switches sowie das Identitäts-Spoofing, bei dem der Angreifer mit Hilfe der Adressfälschung Zugriff auf die SAN-Infrastruktur erhalten will. Eine weitere Gefahr speziell für ein FC-SAN geht von "physischen" Angriffen aus. Das unbemerkte Einschleusen nicht autorisierter Switches kann das komplette Speichernetz zum Stillstand bringen und wird zumeist noch durch ungenau ausgeführte Konfigurationen und Verkabelung der physischen Komponenten begünstigt.

Sicherheitspolitik erstellen

Angesichts des vielschichtigen Bedrohungspotenzials ist es hilfreich, die unterschiedlichen Aspekte der Speichersicherheit einzeln zu betrachten. Nach Empfehlung der SNIA (Storage Networking Industry Association) beziehungsweise des SSIF (SNIA Security Industry Forum) zählen folgende Punkte zu einer belastbaren Sicherheitspolitik:

• SSS (Storage System Security) - Schutz der Betriebssysteme und Anwendungen der Speichersysteme wie auch der Integration mit der IT-Infrastruktur;

• SRM (Storage Resource Management) - die sichere Bereitstellung, Überwachung, Kontrolle und Zuordnung der Speicherressourcen;

• DIF (Data In-Flight) - Schutz der Vertrauenswürdigkeit, Integrität und Verfügbarkeit von Daten (inklusive Management-Informationen) während der Übertragung im Speichernetz, LAN oder WAN und

• DAR (Data At-Rest) - Schutz der Vertrauenswürdigkeit, Integrität und Verfügbarkeit der auf den Servern, Speicher-Arrays, NAS-Systemen und Bandbibliotheken gelagerten Daten.

Ergänzend hat die SNIA einen zehn Punkte umfassenden Maßnahmenkatalog (siehe Tabelle "Empfehlungen für den sicheren SAN-Betrieb") entwickelt, der sich durchgängig der verschiedenen organisatorischen und technischen Blickwinkel der drei großen As - Autorisierung, Authentifizierung und Auditing - annimmt.

Der wichtigste Anknüpfungspunkt für den Aufbau des sicheren SAN-Betriebs stellt die Einführung einer zentralen Administration dar, die dem für jeden Netzbetrieb empfehlenswerten Motto "Weniger ist mehr" beziehungsweise "Jeder bekommt nur die Rechte eingeräumt, die für seine Aufgaben erforderlich sind", folgt. Dieses Prinzip mündet in die Empfehlung, der Management-Software ein leistungsstarkes Identitäts- und Zugriffs-Management zur Seite zu stellen. Ziel ist es, die voreingestellten Passwörter durch eine durchdachte Passwort-Verwaltung inklusive Single-Sign-on-Funktion zu ersetzen.

Die Autorisierung durch eine rollenbezogene Zugriffskontrolle, die Berechtigungen bis auf Ressourcenebene differenziert, führt zu einer zusätzlichen Verbesserung. Anstelle des Einräumens sämtlicher Freiheiten (root und dergleichen) erhält ein Administrator hier allein auf seine Arbeit zugeschnittene Zugriffsberechtigungen - etwa Konfigurationsrechte in Zone A oder "Erstellen Backup-Report Zone B". Zusätzlich lässt sich das Schutzniveau in der Verwaltung heben, wenn der administrative Datenverkehr ein eigens eingerichtetes, per Firewall abgeschottetes Subnetz nutzt.

Verschlüsselung des User-Names

Das so von außen integrierte Sicherheitsniveau auf Nutzerebene muss sich natürlich im Inneren des Management-Systems fortsetzen. Mit anderen Worten: Die Kommunikation zwischen Client (die eigentliche Management-Anwendung) und Management-Objekt sollte verschlüsselt und mit wechselseitiger Authentifizierung erfolgen. Obwohl die SNIA die Basis-Authentifizierung gemäß HTTP 1.1. (RFC 2617) vorschreibt, ist es wenig ratsam, User-Name und Passwort im Klartext über das Netz zu transportieren. Stehen an diesem Punkt Alternativen zur Verfügung - und sei es allein HTTP 1.1. Digest Authentication -, sollten diese in jedem Fall aufgegriffen werden.

Zentral authentifiziert

Die jüngsten SNIA-Standards schreiben zudem für die sichere Kommunikation zwischen Client und Server nun die Verschlüsselungsverfahren HTTP over SSL 3.0 (SMI-S 1.02) und HTTP over TLS 1.0 (SMI-S 1.1) vor. Da alle SMI-S-Komponenten eines SAN die Zertifikate sicher verwalten müssen, gibt es Sinn, zur Vereinfachung eine sichere zentrale Authentifizierungsinstanz zu etablieren. Beispielsweise kann ein Radius-Server (Remote Authentication Dial-In User Service) die Benutzer/Passwortprüfung übernehmen.

Die Aufgabe der Autorisierung und Authentifizierung in der SAN-Infrastruktur selbst wird mit den aus dem LAN- und WAN-Bereich hinlänglich bekannten Protokolltechniken angegangen. Gestützt werden sie in der SAN-Infrastruktur durch Segmentierung (Zoning) und LUN-Masking (logische Zuordnung von Speicherkapazitäten), die in Kombination eine erste, recht brauchbare Schutzlinie zur Zugangskontrolle darstellen.

Bei Fragen der Datenintegrität stützt man sich im Bereich der IP-Block-Speicherprotokolle auf den Einsatz von ESP (Encapsulating Security Payload). Sollen zwei SANs über den IP-Link verbunden werden, bietet sich IPsec zur Absicherung des Pfades an. Zudem ist es sinnvoll, die gespeicherten Daten selbst zu verschlüsseln. Zu guter Letzt ist es trotz der beschriebenen Schutzmaßnahmen schon allein aus Nachweisgründen zwingend erforderlich, sämtliche Aktivitäten im SAN zu überwachen, mitzuschreiben und auszuwerten.

Filter nicht vergessen

Die eingangs beschriebenen Gefahren lassen sich mit den angeführten Techniken beheben oder zumindest reduzieren. Authentifizierung und Zugangskontrolllisten unterbinden beispielsweise das Spoofing. Empfehlenswert ist es zudem, auf dem Trägersystem der Management-Applikation Filtermechanismen zu installieren, um den Schutz gegen DoS-Attacken zu erhöhen. Des Weiteren macht die Verschlüsselung Daten für einen Dieb wertlos.

All das kann aber nur dann einigermaßen vollständig funktionieren, wenn organisatorische Maßnahmen für ein Zusammenspiel aller Schutztechniken sorgen. Ein irrtümlich fehlerhaft konfigurierter Switch oder eine unzureichende End-to-End-Authentifizierung aufgrund fehlender Protokollunterstützung bei beteiligten Systemen kann sonst schnell zur offenen Flanke einer ansonsten gut gesicherten Infrastruktur werden.

Management-Umgebung stärken

Aus diesem Grund ist es unerlässlich, dass eine Management-Umgebung Authentifizierung, Autorisierung und Auditing kompromisslos unterstützt. Veränderungen im Netz oder an Zonen müssen erkannt und die Einhaltung der Sicherheitsrichtlinien muss erzwungen werden. Zugleich sollte sich die Administrationsumgebung nahtlos in ein Management der unternehmensweiten IT integrieren lassen. Denn letztlich ist ein SAN nichts anderes als ein normales Netzwerk, für das die von dort bekannten Probleme und Verwaltungstechniken gelten. (kk)