Die Diskussion um Bedrohungspotenziale in der IT fordert häufig Widerspruch heraus. Kommentare wie "sehr unwahrscheinlich" oder "unrealistisch" und "für uns stellen sich solche Probleme nicht" sind nicht selten. Insbesondere bei der Frage der Storage Security ist das Problembewusstsein heute gering. Mit immer mehr vernetzten Datenspeichern steigt aber die Notwendigkeit, auch diese Netze zu schützen. Die Frage ist nur wie?
Problematisch erscheint hier die Lücke zwischen dem allgemeinen IT-Wissen und den "best practices" im Bereich Storage und Security und den geeigneten Technologien, die hierfür zur Anwendung kommen könnten. Ein Großteil dieser Wissenslücke ist historisch begründet: Die meisten IT-Manager gehen davon aus, dass ihr Speichernetz dediziert geschlossen und damit sicher ist. Dies ist jedoch ein Trugschluss.
SANs ins Sicherheitskonzept integrieren
Heutige Speichernetze auf Basis von Fibre Channel (FC) und iSCSI verfügen lediglich über unvollständige Sicherheitsmechanismen und entsprechen nur selten der unternehmensweiten IT-Security-Policy. In FC-SANs werden Verfahren wie das Zoning und LUN (Logical Unit Number)-Masking eingesetzt, um funktionale und sicherheitsrelevante Anforderungen zu erfüllen. Für iSCSI-SANs kommt das bekannte IPsec zur Anwendung. Es beinhaltet unter anderem die Authentifizierung der Originalverbindungen und die Verschlüsselung von Daten während der Übertragung. Obwohl alle diese Mechanismen in die richtige Richtung gehen, stellen sie nur eine Grundlage dar, auf der erweiterte Sicherheitsmechanismen aufgesetzt werden müssen, um den heutigen Anforderungen an die IT-Security zu entsprechen.
Zoning und LUN-Masking reichen nicht aus
Zum besseren Verständnis sollen die genannten Verfahren für Fibre Channel nachfolgend kurz erläutert werden:
- Zoning zählt im Wesentlichen zum Konfigurations-Management, das eine Segmentierung von Elementen im Netz, etwa Speichersysteme, Switches und Host Bus Adapter (HBA), erlaubt. Zoning kann auf zwei unterschiedlichen Wegen betrieben werden. Bei Hard Zoning (auch Port Zoning genannt) erfolgt die Identifikation auf physikalischer Ebene. Diese Form ist sehr sicher, da sie die Kommunikationsbeziehungen zwischen Systemen auf der Hardwareebene festlegt. Aus Sicht des Konfigurations- und Change-Managements ist dieses Verfahren jedoch sehr inflexibel. Deshalb wird oft Soft Zoning - auch World Wide Name (WWN) Zoning genannt - verwendet. Dabei erfolgt die Identifikation auf logischer Ebene durch die WWN. Diese Form ist nicht so sicher wie das Hard Zoning, da die Kommunikationsbeziehungen über den Name-Server der Switches kontrolliert werden und die WWN relativ einfach zu manipulieren ist (WWN Spoofing).
- LUN-Masking: Storage-Systeme stellen ihre Ressourcen im Speichernetzwerk als LUNs dar. Mittels LUN-Masking werden die Kapazitäten eines Speichersystems dem entsprechenden Server zugeordnet. Das LUN-Masking kann vom Server, Switch oder Speichersystem ausgeführt werden, je nach Systemumgebung und Präferenz. Die Kombination von Zoning und LUN-Masking bietet eine relativ gute Zugangskontrolle. Aus Sicherheitsüberlegungen ist das Hard Zoning dem Soft Zoning vorzuziehen, das aber wegen des flexibleren Change-Managements häufig verwendet wird.
Allerdings reicht die Kombination von Zoning und LUN-Masking in FC-SANs sowie die Verwendung von IPsec in iSCSI-Netzen in keiner Weise aus. Im Rahmen der Diskussion um Data-Lifecycle-Management nimmt der Wert der Daten, der bislang aus Sicht der Speichersicherheit weitgehend ignoriert wird, eine zentrale Rolle ein. Historisch ist die IT-Security zum Schutz der Unternehmensdaten im Wesentlichen auf das Kommunikationsnetz (LAN/WAN) ausgerichtet und endet hinter der Firewall oder dem Anwendungs-Server. Das Speichernetz ist aber der Ort, an dem alle Daten des Unternehmens vorgehalten werden. Dort liegen sie im Zugriff oder sind zur Sicherung gespeichert. Dies ist ein gravierender Unterschied zum LAN! Das bedeutet, dem Wert der Daten in einem Speichernetz muss eine wesentlich höhere Bedeutung beigemessen werden.
Storage Security bedeutet nicht zwingend, dass alle Daten oder Elemente in einem Speichernetz abzusichern sind. Vielmehr geht es darum, die wichtigen Komponenten der Infrastruktur und die kritischen Anwendungen und Datenbestände auf Speicher-Arrays und Bändern so abzusichern, dass sie gegen Missbrauch und Datenkorruption geschützt sind und ein möglicher Datendiebstahl keine Folgeschäden für das betroffene Unternehmen hat.
Der Wechsel von einem Direct-Attached-Storage-(DAS-) Konzept hin zu vernetztem Speicher und das stetige Wachstum der Speicherumgebungen komplizieren die Sicherheitslage zunehmend. In einem Speichernetz gibt es plötzlich jede Menge Verbindungen - physikalischer und logischer Natur. Neue Protokolle und Technologien wie iSCSI und FC-IP, die den Fibre Channel ergänzen, steigern die Komplexität noch weiter.
Sicherheitsrisiken
Sicherheitsrisiken entstehen jedoch nicht nur durch zunehmend vernetzte Datenspeicher, sondern auch durch die vermehrte Replikation von Daten - auch über größere Distanzen hinweg. Als Auslöser für die wachsende Dezentralisierung in der Datenhaltung sind die diversen Auflagen des Gesetzgebers und branchenspezifischer Organisationen zum Datenschutz zu nennen, die eine verbesserte Katastrophenvorsorge und ein effektives Disaster Recovery vorschreiben. Nicht zuletzt haben auch Konzepte für das Data- und Information-Lifcycle-Management (DLM und ILM) eine zusätzliche Verteilung von Daten (Data Movement) und die Speicherung auf unterschiedlichen Medien und Systemen zur Folge und fordern ein stringentes Sicherheitskonzept. Schließlich muss auch auf das zunehmende Angebot und die Akzeptanz von Storage Services hingewiesen werden. Im Rahmen von Managed Storage Services wird die Sicherheit für den Kunden und den Anbieter zu einem Muss, wenn auch aus unterschiedlichen Interessenlagen.
Die Dezentralisierung der Datenhaltung, also die Verteilung auf mehrere Rechenzentren, ist notwendig, auch wenn sie die Verwundbarkeit erhöht. Die Verantwortlichen in den Unternehmen müssen sich damit abfinden, dass es nicht ausreicht, alleine das Kommunikationsnetz zu schützen, sondern dass die IT-Sicherheit auch das Speichernetz einschließen muss. Storage Security ist als Bestandteil der unternehmensweiten Strategie für Datenschutz und Disaster Recovery zu verstehen.
Daten müssen zu jeder Zeit wirkungsvoll geschützt werden, unabhängig davon, in welchem Zustand sie sich befinden. Unterschieden werden Daten im Ruhezustand (Data-at-Rest) und in der Übertragungsphase (Data-in-Flight). Während Data-at-Rest die gespeicherten Daten auf Festplatten und Bändern beschreibt, bezieht sich Data-in-Flight auf den Transfer der Daten innerhalb des Speichernetzwerks. Auch die Schnittstellen für das Storage-Management stellen Risiken dar. Viele Switches und Arrays sind "Inseln" und müssen als solche individuell administriert werden. Hierfür sind mehrere Passwörter und Zugangspunkte notwendig. Sie sind verwundbar und brauchen entsprechenden Schutz.
In den Speichersubsystemen sind vor allem Datenintegrität, Vertraulichkeit und Verfügbarkeit gefährdet. Bezüglich Speicherbändern und anderen Speichermedien wird die Bedrohung oft unterschätzt, obwohl gerade hier ein großes Risiko besteht. Dies gilt speziell, wenn die Daten in entfernt gelegenen Standorten gespeichert oder dorthin ausgelagert werden.
Daten auch bei Transfer schützen
Bei Servern stellt die Zugangskontrolle das Hauptrisiko dar. Bedroht sind Data-at-Rest und Data-in-Flight, auch wenn Zoning und LUN-Masking zur Segmentierung und für die Zugangskontrolle verwendet werden. Im SAN (Fabric) bergen vor allem die Zugangskontrolle innerhalb des Speichernetzes und der Schutz der Daten in der Übertragungsphase (Data-in-Flight) Gefahren. Werden Daten standortübergreifend transferiert (Replikation, Spiegelung) ist eine Bedrohung im kleinen oder großen Netz (LAN, MAN oder WAN) gegeben. Auch beim Speicher-Management gibt es Sicherheitslücken. So können die Zugangskontrolle und Datenintegrität gefährdet sein, wenn die Management-Werkzeuge keinen ausreichenden Sicherheitsstandard erfüllen.
Aufbauend auf den Basisverfahren, die mit Fibre Channel und iSCSI für die Storage Security zur Verfügung stehen, sind wirkungsvolle Ergänzungen notwendig. Unternehmen müssen Prozesse und Strategien etablieren, die eine effektive Speichersicherheit garantieren und die existierenden und künftigen Speicherumgebungen berücksichtigen. Storage Security verlangt nach einem selektiven und abgestuften Ansatz, der sich am Wert der zu sichernden Daten orientiert. Ein geeignetes Konzept beinhaltet eine mehrschichtige Security Policy, die primär auf unternehmenskritische Daten ausgerichtet ist und Daten mit abgeschwächten Sicherheitsanforderungen berücksichtigt.
Erst seit kurzer Zeit bietet die Industrie spezifische Produkte für die Sicherheit in Speichernetzen an. Bis jetzt reduziert sich deshalb die Storage Security meist auf das Zoning und LUN-Masking sowie den Passwortschutz im Speicher-Management. Ein integriertes Storage-Security-Konzept, das sich auf das Speichernetz, die Storage-Systeme (Content) und das Storage-Management erstreckt, ist nicht vorhanden. Für eine langfristige und konsistente Storage Security Policy ist ein integrierter Ansatz notwendig, damit Daten, unabhängig davon, ob sie sich auf einem Datenträger oder in der Übertragung im Netz befinden, während ihres gesamten Lebenszyklus geschützt sind.
Neue Produkte schließen nun die Sicherheitslücke. Sie ermöglichen den Aufbau einer integrierten, mehrstufigen Storage-Security-Architektur, welche die Anforderungen für Data-at-Rest und Data-in-Flight berücksichtigt. Es handelt sich hierbei um zweierlei Produktkategorien: Sicherheitsprogramme und - Appliances. Für die Security im FC-SAN wird die Software in Form von zusätzlichen Lizenzen in der Fabric implementiert. Der Funktionsumfang sollte mindestens die Verschlüsselung, die Zugangskontrolle für die Management-Schnittstelle, Switch-zu-Switch-Authentifikation und -Autorisierung sowie die Zugangskontrolle auf Device-Level (Port) beinhalten.
Storage-Security-Appliances sollten für die Data-at-Rest-Sicherheit über Funktionen wie Datenverschlüsselung, Zugangsschutz, Firewall, Logging und Auditing sowei Key-Management verfügen. Diese kompakten Einheiten erreichen eine sehr hohe Durchsatzrate (Wire Speed) und werden vor den Storage Devices in den Datenpfad integriert.
Für die Umsetzung einer Storage-Security-Lösung ist es empfehlenswert, einen Partner auszuwählen, der über generelles, herstellerübergreifendes Speicher- und Sicherheits-Know-how verfügt, spezielle Produktkenntnisse besitzt sowie Integrationsdienstleistungen anbietet. Unabdingbar ist die Integration der Speicher- in die unternehmensweite IT-Sicherheitspolitik. An dieser Stelle sei noch auf die Standardisierungsaktivitäten im Bereich Storage Security verwiesen. Derzeit sind drei Arbeitsgruppen und Gremien parallel tätig. Die IETF (Internet Engineering Task Force) ist für iSCSI zuständig und beschäftigt sich mit der Vertraulichkeit und Node Authentification (IPsec und IKE) sowie der Endgeräte Authentifizierung (CHAP).
Standards in Sicht
Das ANSI/T11.3 (American National Standards Institut), ist für FC-relevante Standards verantwortlich und befasst sich mit dem Fibre Channel Security Protokoll (FC-SP). Derzeit werden eine Reihe von Protokollen definiert, die sich auf die Authentifizierung von FC-Einheiten, Frame-Integrität und Vertraulichkeit sowie Protokolle für die Definition und Verteilung von Policies innerhalb von Fabrics beziehen. Schließlich noch die Technical Work Group (TWG) der Storage Networking Industry Association (SNIA), die sich mit den Management-Schnittstellen und Daten in Speichern beschäftigen. Die SNIA zielt darauf ab, für die Storage Security bereits bewährte Technologien zu verwenden. Noch in diesem Jahr ist mit der Verfügbarkeit von ersten Produkten zu rechnen, die die genannten Standards unterstützen. (kk)
*Dieter Fiegert ist Business Development Manager Storage & Networking Solutions bei der Damovo Deutschland GmbH & Co KG in Neu-Isenburg
Hier lesen Sie ...
- dass Speichernetze akut gefährdet sind.
- warum sich die Sicherheitspolitik der Unternehmen auch auf das Netzdesign, die Speicher-Management-Strategien und die Konsolidierung von Speichern erstrecken muss.
- wieso gesetzliche Verpflichtungen aber auch technische Veränderungen neue Sicherheitslösungen erfordern.
- dass Storage Security als Bestandteil der unternehmensweiten IT-Sicherheitspolitik eingeführt werden sollte.
Weiterführende Links
SNIA SSF Best Practices Guide:
www.snia.org/ssif/home
SNIA Homepage:
www.snia.org
SNIA Dictionary of Storage Networking Terminology:
www.snia.org/dictionary