Wie sicher sind Storage Networks?

02.11.2004
Von Dieter Fiegert

LUN-Masking: Storage-Systeme stellen ihre Ressourcen im Speichernetzwerk als LUNs dar. Mittels LUN-Masking werden die Kapazitäten eines Speichersystems dem entsprechenden Server zugeordnet. Das LUN-Masking kann vom Server, Switch oder Speichersystem ausgeführt werden, je nach Systemumgebung und Präferenz. Die Kombination von Zoning und LUN-Masking bietet eine relativ gute Zugangskontrolle. Aus Sicherheitsüberlegungen ist das Hard Zoning dem Soft Zoning vorzuziehen, das aber wegen des flexibleren Change-Managements häufig verwendet wird.

Allerdings reicht die Kombination von Zoning und LUN-Masking in FC-SANs sowie die Verwendung von IPsec in iSCSI-Netzen in keiner Weise aus. Im Rahmen der Diskussion um Data-Lifecycle-Management nimmt der Wert der Daten, der bislang aus Sicht der Speichersicherheit weitgehend ignoriert wird, eine zentrale Rolle ein. Historisch ist die IT-Security zum Schutz der Unternehmensdaten im Wesentlichen auf das Kommunikationsnetz (LAN/WAN) ausgerichtet und endet hinter der Firewall oder dem Anwendungs-Server. Das Speichernetz ist aber der Ort, an dem alle Daten des Unternehmens vorgehalten werden. Dort liegen sie im Zugriff oder sind zur Sicherung gespeichert. Dies ist ein gravierender Unterschied zum LAN! Das bedeutet, dem Wert der Daten in einem Speichernetz muss eine wesentlich höhere Bedeutung beigemessen werden.

Storage Security bedeutet nicht zwingend, dass alle Daten oder Elemente in einem Speichernetz abzusichern sind. Vielmehr geht es darum, die wichtigen Komponenten der Infrastruktur und die kritischen Anwendungen und Datenbestände auf Speicher-Arrays und Bändern so abzusichern, dass sie gegen Missbrauch und Datenkorruption geschützt sind und ein möglicher Datendiebstahl keine Folgeschäden für das betroffene Unternehmen hat.

Die gespeicherten Daten entwickeln sich immer mehr zur wichtigsten Unternehmensressource. Sie gilt es besonders zu schützen - auch in vernetzten Speichern. (Foto: Joachim Wendler)

Der Wechsel von einem Direct-Attached-Storage-(DAS-) Konzept hin zu vernetztem Speicher und das stetige Wachstum der Speicherumgebungen komplizieren die Sicherheitslage zunehmend. In einem Speichernetz gibt es plötzlich jede Menge Verbindungen - physikalischer und logischer Natur. Neue Protokolle und Technologien wie iSCSI und FC-IP, die den Fibre Channel ergänzen, steigern die Komplexität noch weiter.