JAK SPRAWDZIĆ BEZPIECZEŃSTWO SIECI SAN Wojciech Bury, Tomasz Zygmuntowicz - NASK
O CZYM POWIEMY Architektury pamięci masowych Funkcjonalność i zalety sieci SAN Mechanizmy zapewniające bezpieczeństwo w sieciach SAN Potencjalne zagrożenia w sieciach SAN Audyt sieci SAN
Pytania, które często zadajemy w związku z wdrożeniem sieci SAN? Czy w ogóle można włamać się do moich zasobów w sieci SAN? Czy ktoś może zakłócić działanie sieci SAN? Jak wykorzystać istniejącą infrastrukturę, aby zabezpieczyć sieć SAN? Czy powinienem poddać audytowi bezpieczeństwo mojej sieci SAN? Kiedy wykonać audyt bezpieczeństwa sieci SAN? Jak wybrać odpowiedniego audytora?
ARCHITEKTURY PAMIĘCI MASOWYCH
DAS Direct Attached Storage NAS Network Attached Storage SAN Storage Area Network
DAS Zalety: środowisko w pełni rozproszone odporne na awarie Host A Host C Wady: SCSI SCSI środowisko w pełni rozproszone utrudnione zarządzanie, administrowanie, nadzór, rozwój etc. mała wydajność mała funkcjonalność (zmiana wielkości wolumenów, przebudowa wolumenów) ograniczone możliwości rozbudowy niskie wykorzystanie zasobów rozproszone zarządzanie
NAS Uwaga! NAS działa na poziomie systemu plików, DAS i SAN - na poziomie bloków Client Client Sotrege Operating System File System CIFS/NFS/ HTTP Zalety: wykorzystanie infrastruktury IP zaimplementowane zaawansowane mechanizmy współdzielenia (działanie w warstwie systemu plików) NAS Wady: Server Ethernet Minicomputer zawodność infrastruktury IP niewystarczająca wydajność problemy z bezpieczeństwem (IP/Ethernet jest narażony na bardzo wiele zagrożeń)
SAN Wady: PDA centralizacja (awaryjność) Zalety: Fiber Channel Storage Network Mainframe Server(s) Minicompute rs Ethernet Production Network Laptop Workstation centralizacja (zarządzanie) funkcjonalność i elastyczność (RAID, zmiana wielkości wolumenów przenoszenia na inny RAID, replikacje etc.) wydajność skalowalność wykorzystanie zasobów dyskowych (thin provisioning)
SAN Centrum Podstawowe Centrum Zapasowe
Najważniejsze funkcjonalności Elastyczne zarządzanie pamięcią masową: dynamiczna zmiana wielkości wolumenu dynamiczna zmiana poziomu RAID Tworzenie migawek (pełnych i przyrostowych) Wirtualna pamięć dyskowa Replikacja
Dlaczego warto uruchomić sieć SAN? Zapewnienie najwyższego poziomu bezpieczeństwa danych dla krytycznych systemów mechanizmy ochrony RAID w ramach jednej macierzy replikacja do ośrodka zapasowego na zdalną macierz Centralizacja i uproszczenie zarządzania pamięcią masową Zwiększenie utylizacji pamięci masowej Zapewnienie możliwości retencji danych Zapewnienie odpowiedniej wydajności dla krytycznych systemów
Mechanizmy zapewniające bezpieczeństwo w sieciach SAN: SAN Zoning LUN Masking VSAN FCSP Redundancja
SAN Zoning
FC Switch Host A Storage Storage Storage Storage Zone 1 Host B Zone 2 Host C Storage Zone 3 Storage Security John Chirillo, Scott Blau
Strefa (Zone) Strefę tworzą porty serwerów oraz porty urządzeń storage owych które mogą komunikować się ze sobą poprzez połączenia port-to-port, natomiast nie mogą łączyć się z portami urządzeń z innych stref (dany port może należeć do wielu stref). Członkowie stref (Zone Members) Członkowie stref są identyfikowani poprzez numer portu lub nazwę WWN (World Wide Name 64 bitowy numer, który jednoznacznie identyfikuje członka strefy).
Hard Zoning Członkowie strefy są definiowani poprzez fizyczne przypisanie portu na switchu (sposób mniej elastyczny, ale bardziej bezpieczny). Soft Zoning Członkowie strefy są definiowani poprzez numery WWN (sposób bardziej elastyczny, ale mniej bezpieczny).
LUN Masking
LUN Logical Unit Number; numery LUN służą do adresowania wolumenów w ramach jednego urządzenia SCSI (target-macierz) System operacyjny widzi poszczególne LUN-y jako oddzielne dyski LUN Masking Mechanizm stosowany przez macierze do ograniczania widoczności wolumenów przez serwery, hosty na podstawie numerów WWN.
FC Switch Host A Host C LUN 1 LUN 2 LUN 3 LUN 4 Host B Host D Storage
VSAN
VSAN Virtual Storage Area Network * ) Dzielenie sieci SAN na wiele wirtualnych partycji Każda wirtualna partycja zachowuje się jak oddzielna, w pełni niezależna sieć SAN: posiada własne instancje NS, demona protokołu routingu(fspf) i innych usług sieci SAN problemy z jedną partycją nie wpływają na działanie pozostałych VSAN-ów *) Technologia Cisco Systems
FC-SP
Fiber Chanel Security Protocol FC-SP zbiór protokołów rozszerzających FC o mechanizmy bezpieczeństwa: uwierzytelnianie urządzeń FC bezpieczne uzgadnianie kluczy szyfrowane połączenia pomiędzy urządzeniami FC FC-SP nie zabezpiecza danych przechowywanych w sieci SAN
Redundancja łączy
Host A Host B Storage Host C Host D FC Switch FC Switch
Zagrożenia
Opis sytuacji: Host B chce uzyskać dostęp do zasobów dyskowych hosta A znajdujących się na macierzy dyskowej. Host A Host B FC FC Switch IP FC IP Storage MGMT na switchu FC jest zastosowany Soft Zoning: intruz musi podmienić numer WWN hosta B na numer WWN hosta A (spoofing). Numer WWN hosta A może być uzyskany od administratora, może zostać odgadnięty lub podsłuchany (snooping). na switchu jest zastosowany Hard Zoning: intruz musi posiadać fizyczny dostęp do switcha FC. Podpięcie hosta B do portu na switchu przeznaczonym dla hosta A umożliwi mu dostęp do zasobów macierzy dyskowej hosta A. na macierzy zastosowany jest LUN Masking: host B uzyska dostęp do danych hosta A po podmianie swojego numeru WWN na numer WNN hosta A.
Opis sytuacji: Dwa switche - jeden dla serwerów korporacyjnych, drugi dla serwerów klientów - są podłączone do dwóch różnych portów macierzy dyskowej. Na switchach zastosowany jest Hard Zoning. W prezentowanej sytuacji intruz może złamać zabezpieczenia na switchu i przejąć nad nim kontrolę, co z kolei prowadzi do uzyskania dostępu zasobów macierzy dyskowej (ale tylko do zasobów przydzielonych serwerom z sieci klienckiej) Sieć korporacyjna Sieć kliencka Zasoby macierzy dyskowej należące Host A Host B Host C Host D do sieci korporacyjnej można uznać MGMT FC IP FC IP FC Switch FC Switch FC IP MGMT za zabezpieczone przed intruzem, gdyż mało prawdopodobnym wydaje się złamanie zabezpieczeń macierzy dyskowej. Storage
Szyfrowanie
Urządzenia szyfrujące dedykowane dla sieci SAN zapewniają: szybkie szyfrowanie danych, kontrolę dostępu, uwierzytelnianie, bezpieczne logowanie oraz monitoring dostępu. Zagrożenie może stanowić możliwość podsłuchania danych - jeszcze bądź już nie zaszyfrowancyh - na drodze serwer-fc Switch urządzenie szyfrujące. MGMT Host FC Switch Urządzenie (de)szyfrujące Storage dane zaszyfrowane Uzyskanie dostępu do zaszyfrowanych danych przez intruza bez znajomości klucza oraz metody szyfrowania jest bezużyteczne w takiej sytuacji jedynym jego celem może być zniszczenie danych.
Host A Host B FC Switch Urządzenie (de)szyfrujące Szyfrowanie danych można zastosować już na poziomie serwera (rozwiązanie software owe) albo na drodze serwer switch FC. Storage dane zaszyfrowane
karta FC Host B FC Switch Urządzenie (de)szyfrujące Host D Szyfrowanie danych na poziome hardware u za pomocą karty FC. Takie rozwiązanie jeszcze nie zostało fizycznie zrealizowane. Storage dane zaszyfrowane
Ocena poziomu bezpieczeństwa sieci SAN
Na poziom bezpieczeństwa sieci SAN wpływają: Krytyczne dane firmowe i dane klienta: - integralność - poufność - dostępność - zarządzanie Wewnętrzne zagrożenia: - nieuprawnione użycie narzędzi zarządzających - kradzież danych - nieuprawnione użycie serwera lub switcha w sieci SAN Zewnętrzne zagrożenia: - dostęp do serwera włączonego w sieć SAN - dostęp do switcha w sieci SAN - dostęp do danych opuszczających sieć SAN do sieci WAN/Internet Strefy zagrożeń sieci SAN Dodatkowe elementy
Główne strefy zagrożeń to: systemy (OS i aplikacje) połączenia (urządzenia łączące i wszelkie bramki pomiędzy różnymi medium transportowymi) etap transportu danych medium komunikujące system zarządzający media przechowujące dane
Inne strefy zagrożeń to: błędne założenia projektowe błędna konfiguracja nieużywane usługi czy ustawienia domyślne liczba osób - wewnętrznych administratorów, pracowników suportu, dyżurnych etc. - mających dostęp do systemów zarządzania technologie zdalne : - zdalny backup -centrum zapasowe (DR)
Audyt
bezpieczeństwo sieci SAN to bardzo złożony problem i zabezpieczenie jej może być bardzo kosztowne trzeba realnie i indywidualnie ocenić poziom bezpieczeństwa i zadedykować odpowiednie rozwiązanie pierwszy element to prawidłowa ocena zagrożeń (threat profile) i możliwych ataków (types of attacks) chcąc efektywnie zabezpieczyć sieć SAN trzeba zacząć od audytu: audyt pozwala dokładnie zidentyfikować słabe punkty audyt pozwala też na opracowanie sposobów zabezpieczenia wykrytych luk.
doświadczenie w zabezpieczaniu i audytowaniu zarówno sieci SAN, jak i pozostałych elementów środowiska informatycznego niezależność brak powiązania ze strategicznym vendorem Wydałem już bardzo dużo na sieć SAN, a dodatkowo muszę wydać na jej zabezpieczenie audyt powinien dać odpowiedź na pytanie, jak najefektywniej i najtaniej zabezpieczyć sieć SAN (np. korzystając z już istniejącej infrastruktury bezpieczeństwa i wypracowanych procedur)
Podsumowanie
Bazujące na zasadach stosowanych dla każdego systemu: - odpowiednia konfiguracja -testy - monitoring zdarzeń - audyty (początkowy i okresowe) Bazujące na mechanizmach bezpieczeństwa stosowanych w całym środowisku informatycznym: - fizyczna kontrola dostępu - autoryzacja i autentykacja użytkownika - szyfrowanie danych (na dyskach, na mediach przenośnych i podczas transport Bazujące na zabezpieczeniach wbudowanych w sieci SAN: - LUN Level Masking - Hardware Port-Level Zoning Na szczególną uwagę jako pierwsza linia ataku zasługuje: - ochrona dostępu do medium transportowego i wszystkich styków z siecią - ochrona systemu zarządzania
Ochrona wielowarstwowa Izolacja sieci SAN od pozostałych sieci LAN/WAN w kontekście szczególnych wymagań bezpieczeństwa Dedykowane rozwiązania producentów hardware u i software u
Zmniejszenie ryzyka modyfikacji, kradzieży, usunięcia czy podejrzenia danych Zwiększenie możliwości rozbudowy sieci SAN i integracji z nowymi systemami w firmie Zwiększenie prywatności danych zgodnie z regulacjami korporacyjnymi, biznesowymi i prawnymi Maksymalizacja wykorzystania zasobów przez zdefiniowanie minimalnych wymaganych dostępów i wirtualizację Umożliwienia bezpiecznego korzystania z centrum zapasowego; zapewnienie ciągłości pracy aplikacji Wyeliminowanie nieupoważnionego lub przypadkowego dostępu do danych przechowywanych na mediach przenośnych
Wraz z procesem popularyzacji sieci SAN i coraz szerszego zakresu ich wykorzystania stały się one elementem powszechnym w wielu firmach - elementem, który przechowuje najważniejsze dane firmowe i odpowiada za działanie najważniejszych firmowych aplikacji Większa dostępność i centralizacja danych wymaga silniejszej kontroli środowiska przechowującego dane i zapewniającego tę dostępność Ciesząc się większymi możliwościami nowego środowiska nie można zapominać o jego krytyczności i specyfice; trzeba uwzględnić przeprowadzenie audytu i wdrożyć zalecenia dotyczące zabezpieczenia naszych najwrażliwszych firmowych danych
www.nask.pl kontakt@nask.pl Infolinia: 0 801 80 80 30