Ocena bezpieczeństwa sieci SAN.

Transkrypt

1 Ocena bezpieczeństwa sieci SAN. Wojciech Bury, Tomasz Zygmuntowicz NASK Wstęp Decydując się na wdrożenie sieci SAN musimy pamiętać, że wiążą się z tym nie tylko oczywiste korzyści w postaci wzrostu zasobów dyskowych, wzrostu wydajności i efektywności wykorzystania aplikacji i zasobów. Sieć SAN w firmie to także miejsce, które gromadzi krytyczne dane i krytyczne aplikacje, zarówno dla firmy, jak i często dla jej klientów. Konieczna jest zatem próba odpowiedzenia sobie na kilka ważnych pytań, niezależnie od tego czy jest to planowane wdrożenie nowej sieci czy mamy już taką sieć SAN od lat i dotąd nic złego się nie działo : - Czy można włamać się do moich zasobów w sieci SAN? - Czy ktoś może zakłócić działanie sieci SAN, działanie aplikacji korzystających z SAN? - Jak sprawdzić bezpieczeństwo mojej sieci SAN? - Kiedy i jak wykonać audyt bezpieczeństwa sieci SAN? - Jak wykorzystać istniejące mechanizmy sieci SAN do jej zabezpieczenia? - Jak wykorzystać istniejącą infrastrukturę teleinformatyczną firmy, aby zabezpieczyć sieć SAN? Architektury pamięci masowych Wyróżniamy 3 architektury pamięci masowej: - DAS (Direct Attached Storage) - NAS (Network Attached Storage) - SAN (Storage Area Network) Najbardziej popularną architekturą na rynku pamięci masowej jest technologia DAS polegającą na bezpośrednim dołączeniu pamięci masowej (dysku twardego) do konkretnego komputera, ale to rozwiązanie ma jedną główną wadę: brak możliwości efektywnego zarządzania zasobami, co oczywiście pociąga za sobą mnóstwo innych ograniczeń głównie związanych z bezpieczeństwem przechowywanych danych. Oczywiście do zalet należy niewątpliwie cena takiego rozwiązania i powszechność stosowania, ale to co

2 idealnie sprawdza się na przykład w stacjach roboczych, nie koniecznie jest najlepsze do profesjonalnych zastosowań np. w serwerach. Kolejną architekturą jest technologia NAS polegająca na podłączeniu pamięci masowej bezpośrednio do sieci Ethernet. Architektura NAS posiada tę zaletę, iż z usług stacji NAS może korzystać wielu klientów jednocześnie, oraz to że wykorzystujemy architekturę Ethernet. Do wad takiego rozwiązania należy niewątpliwie zawodność infrastruktury IP i niewystarczająca wydajność. Obecnie najbardziej zaawansowanym rozwiązaniem służącym do bezpiecznego przechowywania i zarządzania danymi są sieci Storage Area Network (SAN), które korzystają z protokołu FC o przepustowości 2Gbit/s i 4Gbit/s. Kluczowym elementem sieci SAN są macierze dyskowe (czyli pamięć masowa), z których korzystają poszczególne serwery za pośrednictwem przełączników FC (Rys.1). Rys. 1 Do głównych zalet sieci SAN wykorzystujących macierze dyskowe należą przede wszystkim: - zapewnienie najwyższego poziomu bezpieczeństwa danych, na co składa się miedzy innymi mechanizm ochrony RAID w ramach jednej macierzy i replikacja danych do ośrodka zapasowego na zdalną macierz, - centralizacja i uproszczenie zarządzania pamięcią masową, - zwiększenie utylizacji pamięci masowej, - zapewnienie możliwości retencji danych, - zapewnienie odpowiedniej wydajności dla systemów.

3 Oczywiście rozwiązanie takie ma również swoją wadę w postaci ceny, gdyż, aby zbudować sieć SAN nie wystarczy kupić tylko macierz dyskową, ale potrzeba również zainwestować w odpowiednie przełączniki FC, karty HBA (Host Bus Adapter) minimum jedna do każdego serwera dołączanego do sieci SAN, i oczywiście w całą infrastrukturę światłowodową. Podsumowując, przewaga sieci SAN nad innymi architekturami pamięci masowej polega na tym, iż ma ona do dyspozycji wydzieloną dedykowaną sieć, którą można elastycznie rozbudowywać, zarządzać, stosować określone rozwiązania redundantne, a wszystko to sprawia, że dostępność takich sieci sięga 100%. Mechanizmy zapewniające bezpieczeństwo w sieciach SAN Zoning Jednym z podstawowych pojęć z zakresu sieci SAN jest tzw. strefa (ang. zone). Zoning jest mechanizmem, który służy do definiowania które urządzenia w sieci Fabric mają prawo komunikować się ze sobą. Mechanizm ten jest implementowany na przełącznikach FC. Definiowanie stref może odbywać się na podstawie różnych parametrów: - numerów WWN urządzeń podłączonych do przełącznika ten sposób jest elastyczny gdyż strefa jest odporna na przepięcia urządzeń na inne porty w przełączniku. Niestety pozwala na nieautoryzowany dostęp do strefy, poprzez zmianę numeru WWN urządzenia. Ta metoda zwana jest soft zoning. - definiowanie portów na przełączniku które mogą się ze sobą komunikować metoda mniej elastyczna, gdyż w przypadku zmiany portu na przełączniku wymagana jest rekonfiguracja przełącznika. Z punktu widzenia bezpieczeństwa jest to metoda lepsza gdyż nie pozwala na nieautoryzowany dostęp do strefy poprzez zmianę numeru WWN urządzenia (ang. spoofing). ten mechanizm zwany jest hard zoning. Port security i LUN masking - macierze dyskowe, w celu zapewnienia separacji dostępu do udostępnianych zasobów dyskowych przez systemy komputerowe, implementuja mechanizm zwany maskowaniem numerów LUN (ang. LUN masking). Mechanizm ten pokazuje danemu serwerowi tylko te wolumeny (LUNs), które zostały mu przypisane. Reszta wolumenów przeznaczonych dla innych serwerów jest niewidoczna dla tego systemu komputerowego. Maskowanie numerów LUN działa w oparciu o numery WWN kart HBA podłączonych systemów komputerowych. Mechanizm ten może być również implementowany w przełącznikach bądź samych kartach, jednak umieszczenie LUN masking w miejscu innym niż na macierzy daje większe możliwości obejścia kontroli dostępu. Jeżeli LUN masking jest implementowany na macierzy, jedyną metodą na obejście tego mechanizmu jest zmiana numeru WWN na serwerze, czyli podszycie się pod inny system komputerowy. Aby domknąć tę ostatnią furtkę,

4 przez którą może dojść do nadużyć, na przełączniku musi istnieć mechanizm kontrolujący dostęp do sieci SAN przez dany port. Najczęściej mechanizm ten zwany jest port security i wiąże on fizyczny port na przełączniku z numerem WWN, który ma dostęp przez ten port do sieci SAN. Połączenie mechanizmów port security i LUN masking eliminuje logiczne ścieżki nieautoryzowanego dostępu do zasobów dyskowych przez systemy komputerowe w sieci SAN. Niektóre macierze, oprócz mechanizmu LUN masking, pozwalają na udostępnienie danych wolumenów na danym porcie fizycznym macierzy. Ten mechanizm kontroli dostępu daje wyższy poziom bezpieczeństwa, ponieważ nie jest narażony na ewentualne błędy w implementacji LUN masking. Ze względu na zazwyczaj dużą ilość systemów komputerowych podłączonych do macierzy oraz ograniczoną ilość portów w przypadku wielu macierzy, mechanizm ten ma ograniczone zastosowanie. Warto natomiast go wykorzystać do podzielenia zasobów dyskowych na kilka logicznych części i udostępnienie ich na różnych portach fizycznych macierzy. VSAN Virtual SAN Wirtualna sieć SAN jest to technologia opracowana przez firmę CISCO (obecnie w fazie standaryzacji), mająca na celu wprowadzenie większego bezpieczeństwa oraz stabilności do sieci SAN. VSAN zapewnia izolację urządzeń podłączonych do tej samej sieci Fabric, poprzez stworzenie wirtualnej sieci SAN, która posiada wszystkie elementy pełnosprawnej, niezależnej sieci. Sieci VSAN oferują: - izolację ruchu ruch protokołu FC w ramach jednego VSAN jest zupełnie odseparowany od innych VSAN; jedyną możliwością przepływu informacji z jednego VSAN do innego jest możliwość użycia mechanizmu routingu pomiędzy sieciami VSAN, który wymaga odrębnej konfiguracji; - zwiększenie niezawodności wszystkie usługi potrzebne do działania pojedynczej sieci SAN są uruchomione niezależnie dla każdego VSAN, dzięki czemu problemy w jednym VSAN nie wpływają na działanie innego VSAN; - zwiększenie skalowalności stworzenie wielu logicznych sieci SAN w ramach jednej fizycznej infrastruktury daje większą skalowalność. Elementy wpływające na poziom bezpieczeństwa sieci SAN. Bezpieczeństwo sieci SAN to tak naprawdę bezpieczeństwo danych i ciągłość działania aplikacji. Dane podlegające ochronie to firmowe dane krytyczne i /lub dane klienta. Powinny mieć one zapewnioną integralność (nienaruszalność), poufność (tylko wyznaczone osoby mają dostęp i na określonych zasadach), dostępność (ciągłość pracy aplikacji, ciągłość pracy na danych) i zarządzanie (łatwość i elastyczność zarządzania danymi oraz ich audyt i monitoring).

5 Zagrożenia mogą pochodzić z wewnątrz firmy lub z zewnątrz. Zagrożenia wewnętrzne bardzo poważne, nadal jednak zwykle są ignorowane. Sprowadzają się one głównie do nieuprawnionego użycia narzędzi zarządzających lub serwera czy switcha będącego w sieci SAN. Tak uzyskany dostęp umożliwia kradzież danych, a także ich usunięcie i modyfikację. Zagrożenia zewnętrzne, często dotychczas bagatelizowane ze względu na umieszczenie sieci SAN głęboko wewnątrz sieci lokalnej. Przy obecnym rozwoju łączy WAN i Internetowych i wykorzystaniu centrów zapasowych nie powinniśmy zapominać, że dla sieci bezpieczeństwa SAN sytuacja uległa zmianie. Przy potencjalnej sytuacji uzyskania dostępu przez napastnika z zewnątrz do serwera lub switcha w sieci SAN, ewentualnie uzyskanie dostępu do danych na styku sieci SAN i WAN/Internet, dostęp za ich pośrednictwem do danych lub możliwość przerwania ciągłości działania aplikacji jest bardzo prawdopodobna. Dla usystematyzowania i pewnego rodzaju klasyfikacji możemy wyróżnić podstawowe strefy zagrożeń: Systemy działające w sieci SAN. Wliczamy tutaj zarówno systemy operacyjne serwerów korzystających z zasobów sieci jak i aplikacje, które pracując na tych systemach umożliwiają pracę użytkownikom i klientom. System operacyjny lub aplikacja, jeśli nie jest odpowiednio zabezpieczona, może być doskonałym miejscem dostępu do zasobów sieci storage owej. Na szczególne niebezpieczeństwo narażone są serwery webowe. Konieczność używania oprogramowania bezpiecznego, zaktualizowanego i odpowiednio skonfigurowanego wymagana jest także dla systemów i aplikacji zarządzających (gdzie często także jest możliwość dostępu np. poprzez aplikacje www lub dostęp zdalny do serwera zarządzającego). Kolejna strefa obejmuje urządzenia łączące (bramki itp.), przejściowe pomiędzy różnymi mediami. Są to switche FC, routery, firewalle i koncentratory VPN. Zagrożenie może być tutaj głównie spowodowane błędną konfiguracją, pozostawieniem ustawień standardowych np. hasła, czy pozostawieniem włączonych niepotrzebnych usług. Etap transportu danych i medium komunikacyjne to trzecia strefa. Jej słabe zabezpieczenia umożliwia m.in. wpięcie się do switcha FC lub IP i przekierowanie ruchu. Możliwość takich działań wzrasta szczególnie podczas korzystania z mechanizmów zdalnego backupu, udostępniania danych przez webserwer czy replikacji do ośrodka zapasowego. Ilość krytycznych miejsc, które mogą być niezabezpieczone i posłużyć potencjalnemu napastnikowi, rośnie wtedy znacząco. Pozostają jeszcze media przenośne, na których przechowywane są dane. Zarówno taśmy podczas przewozu do centrum zapasowego czy sejfu jak i dyski

6 wynoszone przez serwis w ramach obsługi awarii stanowią duże zagrożenie dla poufności danych. Poza zdefiniowanymi strefami istnieje wiele dodatkowych elementów wpływających na wzrost zagrożenia. Są to złe założenia projektowe, zła konfiguracja, nieużywane usługi, pozostawienie ustawień domyślnych sieci SAN. Dodatkowe technologie (zdalny backup, centrum zapasowe itp.) pomagają zapewnić ciągłość pracy, ale jednocześnie rośnie liczba miejsc zagrożonych atakiem, które należy sprawdzić i o które trzeba zadbać. Liczba osób, wewnętrznych administratorów, suportu, dyżurnych itp. mających dostęp do systemów zarządzania, organizacja transportu danych i fizycznego transportu nośników, zdalny dostęp do urządzeń zarządzających i do danych, współdzielenie zasobów przez firmę i klienta, lub między klientami i niezaszyfrowane krytyczne dane na nośnikach są potencjalnie narażone na próby ataku i nieautoryzowany dostęp. Dochodzi tu także zapewnienie bezpieczeństwa podczas transportu danych, czy to drogą sieciową czy fizycznym przemieszczaniem nośników, na każdym etapie drogi. Błędne założenia projektowe przy wyborze rozwiązania dostosowanego do potrzeb, funkcji i środowiska teleinformatycznego, błędy przy wdrożeniu, brak odpowiednich tekstów i audytu, brak elastyczności i możliwości rozbudowy kosztem oszczędności mają wpływ na bezpieczeństwo danych i ciągłość / wydajność pracy aplikacji. Błędna konfiguracja SAN, czyli niewykorzystanie lub niewłaściwe ustawienie mechanizmów zabezpieczeń SAN (VSAN, LUN masking, zoning). Pozostawienie dozwolonych, a nieużywanych usług. Liczba i kompetencje osób mających dostęp do systemu zarządzania i innych urządzeń w sieci SAN. Najbardziej istotne grupy z dostępem to administratorzy systemu SAN i systemów włączonych w sieć storage ową, suport związany z serwisem urządzeń i obsługą oprogramowania (zdalny dostęp serwisowy), dyżurni w przypadku pracy na 3 zmiany. Dodatkowe osoby mogą być związane z dostępem na podstawie polityki obrotu nośnikami. Nowe technologie i nowe możliwości wykorzystania sieci SAN do backupu zdalnego, do obsługi centrum zapasowego narażają dane na niebezpieczeństwo związane z transportem poza LANem czy też przez Internet. Dla potencjalnego atakującego pojawiają się możliwości przechwycenia czystego tekstu korzystając ze słabości urządzeń brzegowych pomiędzy SAN/WAN lub SAN/Internet. Audyt bezpieczeństwa sieci SAN.

7 Najlepszy sposób sprawdzenia bezpieczeństwa sieci SAN w sposób uporządkowany i systematyczny to audyt. Jest to niezbędny element każdego systemu, każdego wdrożenia, nie tylko dla sieci SAN. Dla sieci SAN jest on natomiast niepopularny i rzadko stosowany. Bezpieczeństwo w firmie zaczyna się od dokładnego opisania i oceny środowiska. Należy jednoznacznie wskazać punkty dostępowe do informacji, ryzyka na jakie możemy sobie pozwolić i koszty utraty krytycznych informacji. Technologia sama nie rozwiąże całościowego problemu bezpieczeństwa. To współpraca ludzi, praktyki, zasad, procedur i technologii jest w stanie pomóc firmie w zwiększeniu bezpieczeństwa. Pierwsze są procedury i ogólne zasady bezpieczeństwa. Potem dodajemy technologię (zawsze uwzględniając jej koszt w stosunku do wartości chronionych przez nią danych), która nie może jednak zabić wydajności i komfortu pracy, a ma być skuteczna przed atakiem zarówno z zewnątrz jak i z wewnątrz firmy. Kolej na autentykację i autoryzację. Kto ma dostęp i do czego bardzo istotne informacje i ograniczenia. Monitorowanie i zapis działań użytkowników to krok następny. Niezbędny, aby zapewnić danym integralność (nienaruszalność) i poufność. Wszystkie te elementy traktowane jako całość środowiska mogą nam pokazać rzeczywisty poziom bezpieczeństwa danego systemu. Bezpieczeństwo sieci SAN, ze względu na charakter tej sieci stanowi złożony problem i staje się wraz ze wzrostem popularności i rosnącymi zastosowaniami, coraz większym wyzwaniem dla projektantów i administratorów jeśli chodzi o bezpieczeństwo. Zapewnienie bezpieczeństwa kojarzy się nam często przede wszystkim z dużymi kosztami i ograniczeniami w komfortowej pracy. Dlatego w audycie konieczna jest realna i dostosowana do środowiska ocena poziomu bezpieczeństwa, ocena zagrożeń i możliwych ataków. Audyt pozwala na identyfikację słabych punktów i opracowanie sposobu ich zabezpieczenia. Od audytora wymaga się doświadczenia i znajomości nie tylko sieci SAN, która nie ma dużo natywnych mechanizmów bezpieczeństwa, ale także znajomości zdolności oceny pozostałych elementów środowiska informatycznego. Przy sugerowaniu rozwiązania zabezpieczającego ceniona jest niezależność (brak powiązania audytora z jednym producentem) - dzięki temu nie narażamy się na propozycję jedynie słusznego rozwiązania. Dodatkowo taka firma zwykle posiada znajomość przekrojową rynku, czyli znajomość wielu różnych technologii i rozwiązań. Sieci SAN kosztują dużo. Ich zabezpieczenie powinno być jak najtańsze i jak najefektywniejsze. Sposoby zabezpieczania sieci SAN.

8 Na kompleksową ochronę naszych zasobów zgromadzonych w sieci SAN składają się trzy grupy zabezpieczeń. Zabezpieczenia bazujące na technologiach i mechanizmach bezpieczeństwa stosowanych w całym środowisku teleinformatycznym w firmie, czyli fizyczna kontrola dostępu, autentykacja i autoryzacja, szyfrowanie danych. Technologie te należy wdrożyć także w stosunku do systemu, który tworzy sieć SAN i uaktualnić politykę bezpieczeństwa o obsługę tego systemu i jego interakcji z już istniejącymi. Zabezpieczenia bazujące na zasadach ogólnych, mających zastosowanie dla każdego systemu, czyli prawidłowe założenia projektowe i wdrożenie, konfigurację, testy, monitoring i audyty. Ostatnie to zabezpieczenia bazujące na natywnych mechanizmach dostępnych w sieciach SAN (LUN masking, Port zoning, VSAN). Pod warunkiem właściwego wykorzystania zapewniają one duży stopień bezpieczeństwa na poziomie sieci SAN. Ochrona wielowarstwowa opiera się na połączeniu prawidłowego działania wszystkich trzech grup wymienionych wcześniej (bezpieczeństwo ogólne systemu, mechanizmy bezpieczeństwa stosowane w całej firmie i mechanizmy typowe dla SAN). Dopiero współdziałanie tych trzech elementów pozwoli osiągnięcie właściwego poziomu bezpieczeństwa sieci. Należy uwzględnić tutaj także media przenośne, czyli taśmy, które szczególnie podczas transportu, są narażone na kradzież i odczytanie danych. Odpowiednia technologia stosowana do backupu i procesu zapisu danych (szyfrowanie lub możliwość odczytania taśmy tylko na serwerze z odpowiednią bazą danych znającą taśmę) pomaga uniknąć tego zagrożenia. Istnieją też nietypowe, wyspecjalizowane sposoby zabezpieczania sieci SAN. Pierwszy z nich to izolacja sieci SAN, przeznaczony dla sieci storage owych w szczególnych przypadkach np. sieć SAN do przetwarzania danych szczególnego przeznaczenia, sieć zamknięta z bardzo ograniczonym dostępem, bez łączności z LAN, WAN, Internet, nie świadcząca usług na zewnątrz firmy. Z takich sposobów zabezpieczania korzystają głównie instytucje państwowe i finansowe. Ostatnio coraz większa grupę stanowią rozwiązania dedykowane, powstałe zwykle we współpracy producenta urządzeń wykorzystywanych w sieciach SAN (np. switche FC, macierze dyskowe) i producenta oprogramowania obsługującego systemy pracujące w sieciach SAN. W związku ze ilości sieci SAN i wzrostem świadomości odnośnie bezpieczeństwa w tych sieciach liczba takich rozwiązań i ich funkcjonalność rośnie szybko i prawdopodobnie będzie rosła jeszcze bardziej w najbliższej przyszłości. Także producenci specjalizujący się w rozwiązaniach bezpieczeństwa rozpoczęli prace na objęciem swoimi systemami także sieci SAN. Za przekłady może posłużyć współpraca Brocade i Microsoft przy autoryzacji użytkowników i kontroli dostępu do zasobów poprzez integracja dostępu na switchach FC z Active Directory i wykorzystanie mechanizmów Windows. Kilku

9 producentów zaprezentowało rozwiązania pozwalające na autentykację użytkownika i jednocześnie szyfrowanie danych przechowywanych w sieci SAN. Są to np. NetHawks czy Neoscale Systems. Pojawia się też dużo rozwiązań skupiających się wyłącznie na szyfrowaniu danych z jak największą wydajnością np. rozwiązanie firmy Decru, co przy dużej ilości przetwarzanych danych może stać się ogromnym wyzwaniem właśnie dla wydajności pracy w SAN. Korzyści z dobrze zabezpieczonej sieci SAN. Pożądany poziom bezpieczeństwa danych to nie jedyna korzyść, którą otrzymujemy z dobrze zabezpieczonej sieci SAN. Zmniejszamy ryzyko narażenia wrażliwych danych naszych i klientów na potencjalny atak jest największym plusem. Uzyskujemy także ochronę danych na mediach przenośnych podczas transportu. To, szyfrowanie danych i ochrona urządzeń na styku sieci SAN z Internetem pozwala na bezpieczne korzystanie z rozwiązań centrum zapasowego i zdalnego backupu co z kolei zwiększa ciągłość pracy krytycznych aplikacji. Pozwala na bezpieczne uruchamianie aplikacji webowych dla klientów i użytkowników firmowych. Możliwa staje się efektywna rozbudowa sieci SAN i wykorzystanie jej możliwości poprzez integrację z nowymi systemami w firmie. W związku z precyzyjnym zdefiniowaniem dostępu do danych wzrasta rzeczywista wydajność i maksymalizacja wykorzystania zasobów. I ostatnia korzyść z posiadania zabezpieczonej sieci SAN to ochrona danych zgodnie z regulacjami korporacyjnymi, biznesowymi i prawnymi (rządowymi). Pamiętajmy o audycie. W potrzebie większych powierzchni dyskowych, większej wydajności i dostępności aplikacji oraz zapewnienia ciągłości pracy dla krytycznych aplikacji biznesowych firmy idą w kierunku sieci SAN. Poza osiągnięciem wymienionych korzyści przesiadka na technologię SAN, stwarza nowe wyzwania dotyczące bezpieczeństwa danych i aplikacji w nowym środowisku. Wraz z procesem popularyzacji sieci SAN i coraz szerszego zakresu ich wykorzystania stały się one elementem powszechnym w wielu firmach, elementem, który przechowuje najważniejsze dane firmowe i odpowiada za działanie najważniejszych firmowych aplikacji. Większa dostępność i centralizacja danych wymaga silniejszej kontroli środowiska przechowującego dane i zapewniającego tę dostępność. Ciesząc się większymi możliwości nowego środowiska nie można zapominać o jego krytyczności i specyfice i koniecznie trzeba uwzględnić jego audyt, a następnie wprowadzenie pewnych zmian i inwestycje zabezpieczające nasz najwrażliwsze firmowe dane. Sieci SAN zostały zaprojektowane po to aby zapewnić odpowiednią ilość pojemności dyskowej oraz wysoką wydajność. Ułatwiają zarządzanie dużą

10 ilością danych i ich backupem. Stwarzają także możliwości odpowiedniego zabezpieczenia się przed utratą danych i pomagają w odtworzeniu środowiska informatycznego po awarii. Uwzględnione przy ich tworzeniu mechanizmy zapewniające bezpieczeństwo danych, kontrole dostępu czy ich integralność często nie są wystarczające ze względu na szczególny charakter takich systemów. Sprawdzenie poziomu bezpieczeństwa naszej sieci jest pierwszym krokiem do rzetelnej oceny tego środowiska i pozwala przedsięwziąć odpowiednie kroki w przypadku wykazania istniejących luk.