Storage Area Networks (SANs) schützen

Sicherheit in Speichernetzen

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Viele Security-Funktionen, die in anderen IT-Bereichen schon längst Standard sind, existieren für SANs immer noch nicht.
Viele Security-Funktionen, die in anderen IT-Bereichen schon längst Standard sind, existieren für SANs immer noch nicht. (Bild: gemeinfrei / Pixabay)

Auf die in Speichernetzen abgelegten Daten können in der Regel eine große Zahl von Anwendern und Endgeräten zugreifen. Deswegen sind umfassende Maßnahmen für deren Absicherung erforderlich. So müssen gilt es Vorkehrungen gegen Datenmanipulationen zu treffen und dafür sorgen, dass nur Berechtigte auf die gespeicherten Informationen zugreifen dürfen.

Es gibt viele unterschiedliche Möglichkeiten, um in einem Unternehmensnetz Daten zu teilen. Das beginnt bei einfachen Netzwerk-Shares auf den Servern, geht über spezielle NAS-Systeme und reicht bis hin zu Cloud-Speichern. In diesem Beitrag fokussieren wir uns auf das Absichern so genannter Storage Area Networks (SANs), also von Speichernetzen.

SANs gelten im Unternehmen als zentraler Storage-Pool. Sie setzen sich aus verschiedenen, miteinander vernetzten, Speichergeräten zusammen, die im Betrieb Informationen mit unterschiedlichen Endgeräten und IT-Netzen austauschen. Dabei gibt es in der Praxis zweierlei SAN-Varianten. Zunächst einmal sind in diesem Zusammenhang Installationen zu nennen, die über eigene Protokolle, wie beispielsweise Fibre Channel und über eigene Hardware-Komponenten, also Adapterkarten und SAN-Switches, miteinander kommunizieren. Sie arbeiten also völlig unabhängig von der "normalen" IT-Netzwerkinfrastruktur auf Ethernet-Basis. In der Regel werden diese Netze übrigens auch von speziellen Administratoren gewartet und betreut, die getrennt von der "normalen" IT-Abteilung arbeiten.

SANs über Ethernet

Auf der anderen Seite existieren SANs, die – beispielsweise über das iSCSI-Protokoll – vorhandene Ethernet-Verbindungen nutzen. Diese müssen nicht zwangsläufig getrennt von allen übrigen Netzwerkkomponenten arbeiten und sind deshalb im Zweifelsfall auch angreifbarer.

Dabei hat der Einsatz solcher SANs manchmal durchaus auch Vorteile, denn es macht das Anbinden externer Niederlassungen über das Internet einfacher, ermöglicht den Aufbau preisgünstiger Speicherverbindungen und erhöht die Flexibilität.

Gleichzeitig öffnet dieses Vorgehen bei fehlenden Sicherheitsmechanismen aber auch Angreifern Tür und Tor, da sie über lokales Netz und Internet Zugriff auf die Speicherdaten erhalten. Außerdem lässt sich in solchen Umgebungen auch die Leistung der Speichernetze durch DoS-Angriffe und ähnliches beeinträchtigen.

Für beide SAN-Varianten existieren eine Vielzahl an Sicherheitsfunktionen, auf die wir jetzt einmal genauer eingehen. In diesem Zusammenhang spielt es eine wichtige Rolle zu wissen, dass die meisten Sicherungsmechanismen sowohl für iSCSI- als auch für Fibre-Channel-Komponenten verfügbar sind. Die weit verbreitete Meinung, dedizierte SANs seien sowieso sicher und die darin verbauten Komponenten hätten demzufolge viel weniger Security-Features als Speicherlösungen aus dem Ethernet-Bereich, ist falsch. Der Umfang der Sicherheitsfunktionen gilt bei allen Lösungen als vergleichbar, es stimmt aber, dass die einzelnen Features in Fibre-Channel-Netzen viel seltener zum Einsatz kommen. Georg Mey, Senior Manager Solution Architect EMEA bei NetApp sagte uns bei einem Gespräch über Speichersicherheit dazu: "Es gibt im Fibre-Channel-Bereich sehr mächtige Sicherheitsfunktionen, diese werden aber in der Praxis kaum genutzt."

Sicherheit für Speichernetze

Beim Absichern von Speichernetzen denken sich viele, es würde reichen, die SAN-Endgeräte vor unerwünschten Zugriffen zu schützen, um auch die Datensicherheit im SAN zu garantieren. Diese Ansicht ist aber ebenfalls falsch, schließlich stehen die Speicherkomponenten im Netz zur Verfügung und lassen sich bei richtiger Adressierung ohne weitere Sicherheitsvorkehrungen von allen möglichen Endgeräten aus ansprechen. Zudem sind sie Angriffen durch Ransomware, Trojaner, Würmer und DoS-Attacken genauso ausgesetzt, wie andere Netzwerkkomponenten, jedenfalls in Ethernet-Netzen, die mit anderen Diensten geteilt werden.

Um die Sicherheit in SANs zu gewährleisten, kommen deshalb viele unterschiedliche Technologien zum Einsatz. In diesem Zusammenhang sind zunächst einmal verschiedene Benutzerrollen zu nennen. Diese ermöglichen es den zuständigen Mitarbeitern, die SAN-Komponenten so zu konfigurieren, dass die User immer nur die Aufgaben durchführen können, die sie zum Erledigen ihrer Tätigkeiten auch wirklich brauchen.

Beschränkung der Verwaltungszugriffe

Um sicher zu stellen, dass nur die Administratoren überhaupt Zugriff auf die Geräte erhalten, die für das SAN-Management verantwortlich sind, müssen zudem leistungsfähige Funktionen für die Authentifizierung, die Autorisierung und das Accounting zur Verfügung stehen. „Die meisten SAN-Lösungen setzen in diesem Zusammenhang auf Radius und TACACS+. Damit lässt sich eine zentrale Verwaltung der Benutzerkonten über alle Geräte hinweg realisieren“, erklärte uns Torsten Harengel, Operations Director Security Germany bei Cisco, während eines weiteren Gesprächs über SAN-Sicherheit.

VSANs

Eine weitere wichtige Sicherheitsfunktion: virtuelle SANs. Diese sorgen – analog zu VLANs – dafür, dass die einzelnen Speicherbereiche im SAN nicht von allen Rechnern im Netz aus ansprechbar sind. Dazu werden bestimmte Switch-Ports zu VSANs zusammengefasst, die dann so erscheinen, als würden sie zu getrennten Switches gehören.

Zoning und LUN-Masking

Ein anderes Security-Feature im SAN-Umfeld ist das Zoning. Normalerweise sind Hosts oder Speicherkontroller, die in einem Fabric arbeiten, dazu in der Lage, mit jedem anderen Node im selben Fabric zu kommunizieren. Die Zoning-Funktion sorgt nun dafür, dass diese Kommunikation auf diejenigen Komponenten eingeschränkt wird, die sich in der gleichen – zuvor definierten – Zone befinden. Auf diese Weise lassen sich die Komponenten also voneinander isolieren. Die Konfiguration des Zonings erfolgt auf Switch-Ebene und lässt sich auch innerhalb eines VSANs durchführen.

Mit Zoning lassen sich aber keine LUNs (Logical Unit Numbers) hinter einem Port maskieren. Bei einer LUN handelt es sich um ein logisches Speichergerät, auf das ein Host zugreifen kann. Es erscheint auf dem Host so wie eine lokale Festplatte, zum Beispiel als „/dev/sde“. Da das Zoning nicht dazu in der Lage ist, LUNs zu maskieren, tritt das Problem auf, dass es keine Hilfe darstellt, wenn es darum geht, den Zugriff auf bestimmte Partitionen eines RAID-Arrays zu beschränken.

In diesem Zusammenhang ist nun das LUN-Masking zu erwähnen. Dabei wird der Zugriff auf bestimme logische Speichergeräte begrenzt. So lässt sich sicherstellen, dass immer nur diejenigen den zugewiesenen Speicher nutzen können, die das auch sollen. Die Konfiguration des LUN-Maskings erfolgt auf Ebene des Speicherkontrollers oder Host Bus Adapters.

Port Security und Fabric Binding

Ein weiteres wichtiges Feature ist die Port-Sicherheit. Mit Hilfe des Port-Security-Features binden die Verantwortlichen bestimmte World-Wide Names (WWNs) an bestimmte Switch Ports. Anschließend haben nur noch diese Zugriff auf den jeweiligen Port.

Das Fabric Binding wiederum sorgt in einem VSAN dafür, dass Inter-Switch-Links (ISLs) nur zwischen bestimmten Switches in der Fabric-Konfiguration ermöglicht werden. Auf diese Weise lassen sich nicht autorisierte Switches aus dem Netz fernhalten.

Weitere Sicherheitsfunktionen

Ebenfalls von Bedeutung: Das Fibre Channel Common Transport-Protokoll. Dieses FC-CT bietet den zuständigen Mitarbeitern über das Query-Management-Feature die Option, das Netzwerk so zu konfigurieren, dass nur Speicheradministratoren oder Netzwerkadministratoren Anfragen an einen Switch senden können. Auf diese Weise lassen sich Informationen über den Aufbau des SANs, die beteiligten Komponenten, welche Zonen es gibt und ähnliches, absichern.

Die Zertifikatsverwaltung, die Verwendung findet, um die sichere Kommunikation über das Netz zu realisieren, läuft in der Regel über PKI ab. PKI unterstützt dabei die Arbeit mit IPSec, IKE und SSH.

SSH kommt in vielen Fällen zum Einsatz, um den sicheren Verwaltungszugriff auf die Komponenten über eine Konsolen-basiertes Management-Werkzeug zu ermöglichen, während IPSec die Datenübertragungen verschlüsselt. Dazu später mehr.

Sicherheit mit dem Fibre Channel Security Protocol

Um die Herausforderungen anzugehen, die an die Sicherheitskonfiguration in unternehmensweiten Umgebungen auftreten, stehen Features wie FC-SP und DHCHAP zur Verfügung. FC-SP, das Fibre Channel Security Protocol, wurde ursprünglich von Cisco entwickelt, stellt aber in der Zwischenzeit ein offenes Protokoll dar. Es bietet Authentifizierungsmöglichkeiten zwischen den Switches sowie zwischen Switch und Host. „Mit FC-SP ist es möglich, den Fibre-Channel-Verkehr auf Frame-Basis abzusichern und so selbst bei Übertragungen über nicht vertrauenswürdige Verbindungen Snooping und Hijacking zu unterbinden“, so Torsten Harengel von Cisco weiter.

Bei DHCHAP handelt es sich um ein FC-SP-Protocol, das sie Authentifizierung zwischen Switches und anderen Geräten abwickelt. Es besteht aus dem CHAP-Protocol (Challenge Handshake Authentication Protocol) in Verbindung mit dem Diffie-Hellman-Schlüsselaustausch.

Verschlüsselung

Was die Datenverschlüsselung angeht, so müssen die Speicheradministratoren in Umgebungen, in denen das erforderlich ist, nicht nur dafür sorgen, dass die Daten während des Transports gesichert werden, sondern auch dann, wenn sie auf den Speichermedien liegen. Für die Sicherung im Transport gibt es SAN-Switches, die eine IPSec-Encryption anbieten, über die sich die Datenübertragungen wie in einem VPN schützen lassen.

Die Verschlüsselung muss sich wie gesagt aber auch auf Disk-Arrays, Tape Drives (die zum Backup Verwendung finden) und Virtuelle Tape Libraries (VLTs) erstrecken. NetApp bietet für seine Speicherkomponenten sowohl Hard- als auch Software-basierte Verschlüsselungsoptionen an. Die Hardware-Verschlüsselung kommt dabei üblicherweise zum Einsatz, wenn es darum geht, ein ganzes Speichersystem zu verschlüsseln, die Software-Verschlüsselung findet Verwendung, wenn nur bestimmte Datenbereiche gesichert werden sollen.

NAS-Systeme werden attackiert

Kaspersky stellt aktuellen Malware-Report vor

NAS-Systeme werden attackiert

06.01.20 - Für Cyberkriminelle ist der Storage-Bereich seit jeher ein beliebtes Ziel. Selbst beim Betrieb von NAS-Systemen ist mittlerweile Vorsicht geboten, wie der aktuelle Quartalsbericht des Sicherheitsdienstleisters Kaspersky offenbart. Dort kommt es immer häufiger zu einer „neuen Art von Ransomware-Angriff.“ lesen

Fazit

Es stehen sehr viele Sicherheitsmechanismen bereit, die sich nutzen lassen, um Daten in Speichernetzen zu schützen. Dennoch ist es aber immer noch so, dass viele Sicherheitsfunktionen, die in anderen Bereichen Standard sind, für SANs nicht existieren. So können beispielsweise Active-Directory-Server für die NAS-Authentifizierung zum Einsatz kommen, das geht bei SAN-Komponenten nicht.

Manch andere Sicherheitsfunktion spielt bei bestimmten Anwendern eine große Rolle, bei den meisten aber überhaupt keine. So wies uns beispielsweise Georg Mey von NetApp darauf hin, dass bisher nur wenige Kunden eine Multi-Faktor-Authentifizierung nutzen.

Während unseres Gesprächs erzählte uns Herr Mey außerdem, wie die Absicherung von Speichernetzen in der Praxis abläuft: „Man findet normalerweise etwas Bestehendes vor, in das man seine neuen Komponenten sicher einbinden muss.“ Nur selten sind die IT-Mitarbeiter folglich dazu in der Lage, eine Speicherumgebung komplett neu zu gestalten. Sollte das doch einmal der Fall sein, so gilt es zunächst die Frage zu klären, ob es sinnvoll ist, die Daten in einem dedizierten SAN zu belassen und den Zugriff darauf zu beschränken oder doch IP-Storage zu verwenden.

Der zweite Ansatz lässt sich sicher preisgünstiger realisieren, bringt aber auch einen größeren Sicherungsaufwand mit. In der Praxis ergibt es folglich Sinn, immer die Technologie zu nehmen, die sich besser für das jeweilige Aufgabengebiet eignet. In diesem Zusammenhang ist es noch wichtig daran zu denken, dass auch in reinen Fibre-Channel-Netzen, also getrennt arbeitenden SANs oft Datenspiegelungen zu entfernten Sites stattfinden, die dafür sorgen sollen, dass die Informationen im Katastrophenfall nicht verloren gehen. Diese Datenspiegelungen laufen dann normalerweise doch über IP-Netzwerke ab und müssen dementsprechend gesichert werden.

Im Zusammenhang mit der Datensicherheit ist es übrigens noch wichtig zu erwähnen, dass die zuständigen Mitarbeiter zusätzlich dafür sorgen müssen, dass Datenmanipulationen nicht unerkannt bleiben. Das gleiche gilt auch für Konfigurationsänderungen. Nur so lässt sich die Compliance garantieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46488144 / Storage)