SAN security als achilleshiel



Vergelijkbare documenten
m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Plugwise binnen de zakelijke omgeving

VPN Remote Dial In User. DrayTek Smart VPN Client

Ontsluiten iprova via Internet Voorbeeld methoden

4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

MSSL Dienstbeschrijving

Forecast XL Technology

Automatische online en lokale backup en recovery van bedrijfsdata

VPN LAN-to-LAN IPSec Protocol

VPN LAN-to-LAN IPSec Protocol

VPN LAN-to-LAN IPSec. Vigor 1000, 2130 en 2750 serie

Automated computing-model geen toekomstmuziek meer

VPN LAN-to-LAN PPTP Protocol

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

e-token Authenticatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

VPN LAN-to-LAN IPSec Protocol

Leza biedt gebruikers de mogelijkheid om pc s, laptops en servers te back-uppen en back-ups te herstellen.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

VPN Remote Dial In User. DrayTek Smart VPN Client

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie

Implementatiemodellen online werken

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

VPN Remote Dial In User. DrayTek Smart VPN Client

Backup bestaat niet meer

DrayTek Sm art VPN Client. PPTP / I PSec / L2TP

SD-WAN, de nieuwe IT- Infrastructuur. Een functionele en technische uitleg waarom SD-WAN zo populair is.

Security web services

Pensioenfonds PGGM breidt beveiliging uit met Windows Server 2008

Gigaset pro VLAN configuratie

Quickstart ewon Cosy 131

Targets. Wie zou er iets tegen ons hebben? We zijn toch geen bank? Wat kunnen ze doen met onze gegevens?

VPN Remote Dial In User. Windows VPN Client

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

Peelland ICT Online Back-up

DigiD SSL. Versie Datum 16 augustus 2010 Status Definitief

Vigor 2850 serie Dual PPPoA/PVC - RoutIT

Installatie Remote Backup

Firewallpolicy VICnet/SPITS

Windows XP & Windows Vista

Kiezen voor een eigen Dark Fiber. 10 Redenen waarom eigen Dark Fiber verstandig is

Veilig en. Waarom en via een beveiligde verbinding? U vertrouwt de verbinding met de server van InterNLnet niet

Dienstbeschrijving MSSL Licenties

Remote Toegang Policy VICnet/SPITS

Enterprise SSO Manager (E-SSOM) Security Model

Technicolor TG670: draadloze configuratie

IO virtualisatie I/O voor netwerken

Revisie geschiedenis. [XXTER & KNX via IP]

Gratis bescherming tegen zero-days exploits

Onverwachte voordelen van Server Virtualisatie

Van Small Business Server naar Cloud Small Business Services. Uw vertrouwde Small Business Server in de cloud

Transport Layer Security. Presentatie Security Tom Rijnbeek

Viktor van den Berg. Xpert Training Group VMware Authorized Training Center Citrix Authorized Learning Center Microsoft CPLS Eigen datacenter

Michiel Snoep Remote Access / SSL. 14 april 2005 GvIB, De Kuip Rotterdam

NAS 224 Externe toegang Handmatige configuratie

LAN-to-LAN VPN. IPSec Protocol

The bad guys. Motivatie. Info. Overtuiging. Winst

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

Cloud Geintegreerde Backup & Storage met Microsoft Azure en Storsimple. Maarten Goet Bert Wolters

Technote. EnGenius Senao EOM Mesh Layer 2 configuratie Transparant netwerk

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

VPN Remote Dial In User. Windows VPN Client

Productmeeting EqualLogic

Ethernet SAN. De toenemende vraag naar shared storage

IPv6 in de praktijk. Teun Vink dsdsds. Tuesday, January 20, 2009

Dell SonicWALL product guide

b-logicx handleiding INHOUDSOPGAVE VPN verbinding voor Windows XP UG_VPN.pdf

Dienstbeschrijving KPN IP-VPN. Een dienst in KPN ÉÉN

Checklist informatieveiligheid. 12 januari versie 1.1

Koppelen Centix Datacollecter aan RS-232 device d.m.v. de W&T 58631

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

Switch aanmelden in VigorACS 2

Werken zonder zorgen met uw ICT bij u op locatie

RUCKUS UNLEASHED GATEWAY

SpeedTouch 570 Standaard 128 WEP-beveiliging

ESET Anti-Ransomware Setup

Installatiehandleiding

Vigor 2860 serie Multi PVC/EVC - RoutIT

gedeeld om dit zoveel wordt mogelijk door alle te aangesloten beperken. computers, noemt men dit wel een shared WEP-key.

DE KRACHT VAN EENVOUD. Business Suite

ISSX, Experts in IT Security. Wat is een penetratietest?

Disaster Recovery. VMware Cloud on AWS

Dynamic DNS Wat is DNS? Wat is Dynamic DNS? Hoe krijgt u een domeinnaam? Welke DNS providers zijn er?

LAN segment. Virtual local area network. Twee LAN segmenten. Evolutie

MKG Whitepapers augustus 2015

Internet of Things (IoT)

HET HOE EN WAT VAN ONLINE DIENSTEN DOOR: STEVEN ADEMA EN ANNEJENT HOEKSTRA

Encryptie deel III; Windows 2000 EFS

Eddy Piedfort BACKUPS

Communicatienetwerken

Health Check Voorbeeldrapportage

BENQ_ESG103QG_DU.book Page i Tuesday, July 30, :05 PM. Inhoudsopgave

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: KB nummer:

IPv6 in de praktijk. Teun Vink dsdsds. Tuesday, January 20, 2009

INHOUDSOPGAVE IMUIS INSTALLEREN 2 WINDOWS 2. WINDOWS SERVER 2008 r2 3 UITGAANDE VERBINDINGEN 4 INSTALLATIE IMUISONLINE.MSI 4 SSL CERTIFICAAT 4

High Level Design Netwerk

DATAVEILIGHEID VOOR BELASTINGADVIES- EN ACCOUNTANTSKANTOREN

Transcriptie:

SAN Versleuteling en poort-geassocieerde zoning bieden soelaas SAN security als achilleshiel 8 SAN s zijn ontworpen met als basisdoelstelling: het bieden van quality of service, dat wil zeggen, een snelle en betrouwbare toegang tot grote data storage volumes bij een consistent prestatieniveau. FC-gebaseerde SAN s zijn echter niet ontworpen op basis van een goede beveiligingsstructuur en bezitten van huis uit niet echt gedegen beveiligingssystemen. DOOR BRAM DONS Dat kan in toekomst, tenzij men extra maatregelen neemt, tot verschillende beveiligingsproblemen leiden. Gezien het belang en de aard van de opgeslagen gegevens is er goede reden om aan te nemen dat opslagnetwerken de komende tijd een belangrijk doel voor professionele hackers gaan worden. Opslagnetwerken zullen, net zoals nu al bij IP-netwerken, op verschillende manieren worden bedreigd. Daarvoor zijn in principe dezelfde methodes van toepassing die we al bij IP-netwerken kennen, zoals: spoofing, denial of service, ongeautoriseerde toegang, interne aanvallen, diefstal en moedwillige verminking van gegevens. Ondernemingen die SAN s koppelen aan IPnetwerken stellen, zonder verder aandacht aan te besteden aan beveiliging, hun opslagnetwerken bloot aan deze gevaren. Bedreigingen, of deze nu van binnen of buiten de firewall komen, hebben niet alleen betrekking op de opslagsystemen maar ook op de onderlinge verbindingen tussen hosts, management services, sub-systemen, én tenslotte, het IT-beheerpersoneel zelf. Bedreigde gebieden Wat zijn de specifieke gevaren en bedreigde gebieden waar SAN s aan worden blootgesteld? Binnen opslagnetwerken zijn er, onafhankelijk van het toegepaste netwerk-protocol, drie bedreigde zones: systemen en verbindingen, storage fabric, subsystemen en media (zie afbeelding 1). Alle drie genoemde zones staan in principe bloot aan dezelfde gevaren, waaronder slecht beheer van private keys, niet adequate gebruikers-authenticatie en -autorisatie, toegang tot onversleutelde data op kwetsbare plekken. Menselijke fouten kunnen nóg eens extra zwakke plekken in de beveiligingsstructuur introduceren. De systemen en verbindingen ( zone 1 in afbeelding 1) omvatten de computersystemen (waaronder applicaties en beheerservers) en verbindingselementen (gateways) naar opslagsystemen. Ongeoorloofde toegang tot een beheer- of applicatie-server stelt het opslagnetwerk direct bloot aan ongeautoriseerde toegang tot data en lokt aanvallen van denial-ofservice uit. De voornaamste oorzaak daarvan zijn slecht beheerde configuraties, ongebruikte services, onwetendheid bij beheerders van het gebruik van defaultinstellingen of deze klakkeloos toepassen. Tot voor kort werd Fibre Channel toegepast voor relatief korte afstanden binnen de beschermde lokale data center. Nieuwe toepassingen, waaronder remote backup, replicatie en disaster recovery,

gaan echter in de toekomst SAN s steeds vaker verbinden over lange afstanden, voornamelijk via IP-netwerken. Dat betekent, dat ook het fysieke transportsysteem van een opslagnetwerk steeds vaker zal worden bloot gesteld aan alle hiervoor genoemde potentiële gevaren die van IP-netwerken kennen. Bijna alle opslagcomponenten ondersteunen wel out-of-band management en introduceren daarmee tegelijkertijd een extra onveilige toegangslaag. Bovendien bieden de nieuwe op IP-gebaseerde iscsi/fcip/ifcp-technologieën extra toegangsmogelijkheden tot lokale en remote opslagnetwerken. Slecht geconfigureerde toegangs- en beheerfuncties zijn ook maar al te vaak kwetsbare plekken die de mogelijkheid bieden tot ongeoorloofde toegang. Door van deze openingen in de beveiligingsstructuur gebruik te maken, kunnen hackers FC- of IP-verbindingen spoofen, om daarmee gegevens of processen te verstoren, verminken of ongeoorloofd data op te vragen. Zone 2 Storage Fabric Zone 1 Systems and Connections Application and Storage Servers Gateways Afbeelding 1 Bedreigde zones van het SAN. Management Systems Storage Media Virtualized Storage Third Party Service Bureau Arrays Zone 3 Subsystems and Media Tapes 9 Op dit moment ondersteunt FCP-datatransmissie geen native tunneling of virtual private network (VPN) services, zodat de binnen FC-omgevingen residente data- en routing-informatie in het geheel niet beschermd is. Een ander bedreigde zone is de storage fabric zelf ( zone 2 ), met inbegrip van alle hubs, routers en applicaties voor het beheer van de diverse opslagsystemen. Net zoals bij de meeste opslag-devices, hebben leveranciers weinig of geen beveiligingsvoorzieningen ingebouwd om de ongeoorloofde toegang tot devices of toegang tot beheerapplicaties te voorkomen. Vaak maakt men daarbij nog gewoon gebruik van een onbeveiligde out-of-band management-verbinding via Telnet of web browser, daarbij voorbijgaand aan het feit dat er toch al geruime tijd veilige uitvoeringen van beide services bestaan (respectievelijk SSH en SSL). Tenslotte is de mate waarin een fabric gevaar loopt voor een deel afhankelijk van de afstand tussen de IT-omgeving en het fysieke opslagsysteem, en de frequentie waarmee de instellingen van een fabric of netwerk regelmatig worden gewijzigd. Potentiële gevaren voor de SAN fabric Met behulp van een gekaapte World Wide Name (WWN) is een hacker makkelijk in staat om zich ongeoorloofd toegang tot een SAN te verschaffen; een vergelijkbaar probleem doet zich voor bij IP-gebaseerde HET EERSTE DAT EEN OPSLAGBEHEERDER DAN OOK MOET DOEN IS DE WIJZIGING VAN ALLE DEFAULT SWITCH-INSTELLINGEN SAN s, waar via een gespoofd IP-adres toegang tot het netwerk is te verkrijgen. In beide gevallen worden de getransporteerde data voor de hacker toegankelijk via de gekraakte node, die is verbonden met het opslagnetwerk. Leveranciers van opslagsystemen propageren de zoning-methode om dit risico te verminderen. Opslagbeheerders kunnen dan zoning toepassen waarmee specifiek opslagverkeer via bepaalde switch-poorten kan worden geleid. Een veel gebruikte methode is soft zoning, waar met behulp van de fabric switch Name Service de nodes voor een bepaalde zone gespecificeerd worden. Dit gebeurt op basis van het poortnummer of WWN. Opgemerkt dient te worden dat oudere switches, waarvan het merendeel nog in bedrijf is, in hoofdzaak hard zoning op poorten ondersteunen. Poortgebaseerde zoning is afhankelijk van een adequate fysieke kabelbeveiliging. Dit betekent in de praktijk dat alleen daartoe geautoriseerde IT-beheerders fysieke toegang zou mogen hebben tot de SAN fabric. Een algemeen probleem bij toepassing van zoning is dat alle opgeslagen data op zichtbare opslagbronnen binnen een zone bloot staan aan het gevaar te worden onderschept, gecorrumpeerd of misbruikt. Om een beter begrip te krijgen van de vaak nog onbekende gevaren van LUN Masking en zoning, worden deze veel toegepaste SAN-technologieën verder uitgediept. Beveiliging met LUN Masking Twee primaire mechanismen, LUN Masking en zoning, worden toegepast om SAN s te partitioneren en vormen de basis van de huidige SAN-beveiligingstechnieken. Ze dienen in eerste instantie om storage initiators en -targets in een logisch toegangsdomain in te delen. Deze methode is (ongeacht de beveiliging)

10 nodig voor de toepassing van algemene opslagfuncties en data consistency. LUN masking is een methode waarbij wordt bepaald welke opslag-devices voor een host zichtbaar zijn en kan op serverniveau toegepast en per host bestuurd worden via een HBA en bijbehorende driver. LUN masking wordt doorgaans door middel van intelligente switches geïmplementeerd, maar het kan ook worden geïmplementeerd op het opslagdevice zelf waarbij de configuratie-software bepaalt welke host welke LUN s mogen zien. Toepassing van masking is vooral binnen een heterogene omgeving met Windows- en Unix-systemen een must. Echter, LUN masking kent belangrijke tekortkomingen. Bij het verbinden van een device aan een switch, publiceert het niet alleen zijn LUN maar ook zijn WWN. Omdat er in de FC-specificaties geen mechanismen voor authenticatie bestaan, is het voor een gebruiker betrekkelijk eenvoudig om de WWN op de HBA te veranderen. Dat biedt de mogelijkheid tot een aanval van spoofing op de aangesloten WWN-gebaseerde toegangssystemen. De meeste HBA s bieden eenvoudig de mogelijkheid om de WWN-waarde van de HBA-driver op de server te veranderen waardoor, zonder tussenkomst van een of andere strong authentication beveiliging, LUN Masking betrekkelijk eenvoudig ongewild kan worden gewijzigd. Verder kan in grote enterprise-omgevingen de schaalbaarheid van LUN Masking te kort schieten. Doordat deze leverancierspecifiek is, bestaat het gevaar dat een misconfiguratie kan leiden tot ondermijning van de beveiliging. LUN Masking maakt een onderdeel uit van een opslag-device en niet van de data. Zodra data worden verplaatst naar andere devices, verdwijnen de door LUN Masking opgeworpen toegangsrestricties. Bovendien lost het niet adequaat een ander facet van het opslagbeveiligingsprobleem op: opslagbeheerders hebben rechtstreeks toegang tot alle in klare tekst opgeslagen data. Beveiliging met Zoning SAN zoning is conceptueel gezien vergelijkbaar met Virtual LAN (VLAN) van Ethernetswitches: ze bieden beide de mogelijkheid om nodes in aparte virtuele communicatiedomeinen onder te brengen. Door middel van zoning kunnen de voor initiators toegankelijke storage targets op twee manieren worden beperkt: hardwarematig afgedwongen routingbeperkingen, hard zoning genaamd, of door middel van een adresbeperking met de Simple Name Server (SNS), de zogenaamde soft zoning. De SNS-voorziening biedt zicht op alle WWN s binnen de geconfigureerde zone, waardoor alleen de deelnemers van een zone kunnen vragen wie de andere deelnemers binnen de zone zijn en wat hun World Wide Name (WWN) is. Een WWN is het equivalent van het MAC-adres in de IP-omgeving en is ook een uniek 64-bit adres, dat door de fabrikant van een FC-device wordt uitgegeven. Echter, SNS kan niet verbieden dat entity s die lid zijn van een bepaalde zone, communiceren met de andere leden binnen dezelfde zone. Dat betekent dat ieder lid de WWN van een andere deelnemer kan opvragen, of daar op een andere (ongeoorloofde) manier achter kan komen. Daarmee kan hij de verkregen WWN misbruiken om met alle devices binnen de zone te communiceren. Op die manier verschaft de hacker zich ongeoorloofde toegang tot alle opslag-devices binnen de betreffende zone. Een ander probleem is dat een target- of initiator-device poorten binnen de fabric mag wijzigen, zonder dat daar restricties vanuit de zone-configuratie worden opgelegd (zolang de WWN-naar-fabricpoort-adressering maar in de SNS wordt aangepast). Deze logische toewijzing biedt een device de mogelijkheid om van de ene switch-poort naar de andere te verhuizen, zonder wijziging van het zone- lidmaatschap. De meeste leveranciers hebben in hun switches gelukkig wel een voorziening opgenomen om dat te kunnen voorkomen. Er bestaat wel de mogelijkheid om een bepaalde WWN te koppelen aan een specifieke poort, zodat bij het inloggen van een andere WWN de toegang wordt geblokkeerd. Dit is echter een inflexibele en statische oplossing, wat de meeste gebruikers zal ontmoedigen om dit in de praktijk toe te passen. Sommige leveranciers maken bij de identificatie van een token gebruik. Dat is echter weer een proprietary-oplossing, waardoor deze vorm van SAN-beveiliging beperkt blijft tot een bepaald merk switches. Hard zoning Hard zoning definieert zones op basis van switch-poorten, waarbij de initiator alleen kan communiceren met target devices in dezelfde zone. Als een verbinding met een device van de ene poort naar de andere wordt verplaatst, dan bevinden ze zich hoogstwaarschijnlijk niet meer in dezelfde zone. Op dat moment moet de switch-instelling worden gewijzigd. Hard zoning wordt ook afgedwongen : is men geen lid van de zone, dan is het niet toegestaan om met de leden van die zone te communiceren, zelfs al kent men het WWN van een van leden binnen de zone. Poort-gebaseerde zoning is daarom veiliger, maar wel minder flexibel dan soft zoning. Is men geen lid van een zone, dan moet men voor de toegang tot een andere zone de FC-kabel fysiek afkoppelen en deze aansluiten op de juiste switchpoort die deel uitmaakt van de gewenste zone; het is het FC-equivalent van de manier waarop de vaste SCSI-verbindingen werken. Deze handeling zal in veel gevallen onmiddellijk opvallen (zowel fysiek als via meldingen van SAN beheer-tools), dit in tegenstelling tot een spoofed WWN dat vrijwel onopgemerkt kan blijven. Kortom, in het algemeen biedt zoning een summiere basisbeveiliging, daarbij komt dat het schaalbaarheid of beschikbaarheid van een fabric op geen enkele wijze verbetert. Zoning biedt ook geen enkele voorziening om een bepaald data pad en flow te selecteren, binnen een opslagnetwerk dat van zoned devices gebruik maakt. Zoning is een gedistribueerde service en is niet ontworpen voor het gedeeltelijk beheer van de verschillende beheergroepen en omdat het een gedistribueerde service is, kan de zoning-database door ieder lid van de switch fabric worden aangepast, met alle daaraan verbonden veiligheidsrisico s. Gevaren voor subsystemen en media De derde en laatste gevarenzone is het gebied waarin zich opslag-devices, subsystemen en media bevinden ( zone 3 ). Er is een potentiële bedreiging voor alle opgeslagen data die continu aanwezig zijn. Hierdoor wordt vaak data in rust als een meer serieus risico gezien dan data die in beweging zijn. Tenzij data door de applicatie worden versleuteld, zijn opgeslagen data kwetsbaar. In veel gevallen worden applicaties gebruikt met data-protectie/versleuteling tussen client en server, maar helaas niet tot aan het backend-opslagsysteem. Tape-media worden binnen de enterpriseomgeving beschouwd als de meest betrouwbare methode voor backup/ recovery van de opslag. Alhoewel ondernemingen allerlei voorzieningen hebben geïmplementeerd die de toegang beperken (in combinatie met een degelijke beheerinfrastructuur), kunnen deze maatregelen de tape-media zelf niet beschermen; draagbare opslagmedia, waaronder tapes en optische schijven, zijn altijd al een makkelijk doelwit voor diefstal.

11 Advertentie IBM

12 Ongeautoriseerde gebruikers kunnen eenvoudig een tape lezen, vertrouwelijke informatie zien en in sommige gevallen zelfs een compleet nieuw systeem herbouwen. Om die reden wordt virtualisatie van tape-systemen steeds vaker toegepast en niet alleen vanwege de hogere recoverysnelheid en eenvoudiger beheer. Maar ook hier geldt weer, er zijn extra maatregels nodig voor de bescherming van en toegang tot data. Basis technische beveiligingsmaatregelen Zoals reeds geschreven, ten eerste is het gebruik van poort-geassocieerde zoning te prefereren boven dat van WWN s. Ten tweede, het LAN vormt een kwetsbare plaats die toegang biedt tot het SAN. Beheer-interfaces voor FC-switches, -disk array, NAS-filers en andere opslag-devices hebben namelijk allemaal een gemeenschappelijk toegangspunt: de interfaces kunnen allemaal via out-of-band management direct met een LAN worden verbonden. Een hacker die de gebruikersnaam en wachtwoord van een beheerserver kent, verschaft zich via het LAN gelijk toegang tot het SAN. Een niet-versleuteld wachtwoord is betrekkelijk eenvoudig op een LAN te onderscheppen en de default wachtwoorden van switches/ routers zijn makkelijk te raden (veel door opslagleveranciers gebruikte populaire combinaties zijn: root/password, admin/password of public/private ). Het eerste dat een opslagbeheerder dan ook moet doen na de installatie, is de wijziging van alle default switch-instellingen. Veel beheer-interfaces maken nog gebruik van plain text protocollen, zoals Telnet of HTTP. Het is noodzakelijk dat men gebruik maakt van SSH of HTTPS. Nog beter is het om voor het outof-band beheernetwerk een aparte LAN te gebruiken, dat volkomen gescheiden is van het bedrijfsnetwerk. Een andere mogelijkheid is om een extra beveiligingslaag aan te brengen door de managementinterfaces op een aparte non-routable LAN te plaatsen, bijvoorbeeld de plaatsing van een multihomed Linux-systeem tussen het beheer- en het bedrijfsnetwerk (die kan zorg dragen voor de versleuteling van wachtwoorden met behulp van SSH). Tenslotte kan men kiezen voor uitsluitend In-band Management. Met behulp van het IP over Fibre Channel (IFCP) protocol is een Ethernet-verbinding op het FC-netwerk te emuleren. Door alle switches en HBA s voor IFCP te configureren is het FC-netwerk via in-band management te beheren en is er (op één systeem na) geen verbinding met een LAN meer nodig. Binnen het SAN is daarvoor wel minimaal één FC-switch nodig waartoe een (remote) beheerstation via een statisch IP-adres toegang tot heeft. Voordeel is dat het aantal toegangspunten tot een SAN tot één plaats gereduceerd kan worden, wat het risico tot ongeoorloofde toegang verminderd. Nadeel is de single point of failure, omdat er slechts één toegangspad op dat moment beschikbaar is (als de nood aan de man komt, kan men natuurlijk alsnog terugvallen op out-of-band management). Een ander belangrijker nadeel is dat in-band in het algemeen minder instellingsmogelijkheden voor fabric-devices biedt dan out-of-band. Data in rust en data in beweging Tegenwoordig maken de meeste ondernemingen en organisaties bij de toegangspoorten van het netwerk gebruik van een combinatie die bestaat uit routers, firewalls, content filtering en Intrusion Detection systems (IDS). Daarmee hoopt de IT-omgeving zich te beschermen tegen de dreigende gevaren van het internet. Vaak wanen ondernemingen zich veilig achter een firewall, maar een firewall is alleen werkzaam op een laaggelegen netwerkniveau en biedt geen enkele bescherming tegen aanvallen op de daarboven gelegen applicatielaag. Alhoewel de genoemde componenten deel uitmaken van een algehele beveiligingsarchitectuur, zijn ze in eerste instantie bedoeld om het gevaar buiten de deur te houden. Is een hacker eenmaal binnen, dan is het gevaar groot dat hij zich via een server toegang kan verschaffen tot opslagsystemen en de daarop aanwezige data. Analyseert men de activiteiten van hackers in de laatste twintig jaar, dan valt daaruit op te maken dat data, opgeslagen in backend servers en databases, het meest kwetsbaar zijn wanneer ze eenmaal in rust zijn; data bevinden zich meer dan 90 procent van het bestaan in rust. Om een idee te krijgen waar de zwakke punten in de keten gebruiker netwerk opslagsysteem liggen, volgt een analyse van op welke plaatsen er maatregelen kunnen worden genomen om het inbraakgevaar zo klein mogelijk te maken, als eerste met data die in beweging zijn. Een web client maakt via een internetverbinding contact met een web server waarbij vertrouwelijke gegevens, meestal via het beveiligde Secure Sockets Layer (SSL) protocol, worden verzonden; het SSL-protocol wordt door bijna alle web servers ondersteund en op de browser als HTTPS URL-adres weergegeven (het kleine lock icoontje dat men normaliter rechts onderaan de web-pagina ziet). Doch SSL is primair bedoeld om data in beweging te beschermen, het voegt geen enkele beveiligingswaarde toe aan data in rust. Naast SSL kan men nog van Virtual Private Networks (VPNs) technologie gebruik maken voor een veilige point-to-point-verbinding. Beide technieken zijn weliswaar essentieel voor het maken van een veilige IP-verbinding, maar ze bieden SAN s geen enkele extra beveiliging. Zodra de via het IP-netwerk verzonden data de eindbestemming hebben bereikt, doorgaans een web server die zich binnen het lokale netwerk van de IT-omgeving bevindt, worden de data ontsleuteld en als plain-text verder via het LAN naar applicatie-servers en databases verstuurd. De veilige verbinding eindigt dus al binnen de IT-onderneming, gelijk achter de firewall. Dit is dan ook de plaats in de transactieketen waarop data het meest kwetsbaar zijn, omdat hackers op die plaats, waartoe ze via misschien andere toegangspunten al toegang tot het lokale netwerk hebben verkregen, hun kans afwachten. De vraag is op welke wijze data in rust kunnen worden beschermd en voor lange duur veilig opgeslagen. Bescherming van data op het opslagsysteem Afhankelijk van de opslagfunctie, het gewenste beveiligingsniveau van de opgeslagen data en de te vertrouwen zones lang het opslagpad, kan versleuteling van data op verschillende niveaus worden toegepast. Een mogelijke oplossing is om data binnen SAN s te beschermen. Een praktische methode daarvoor is de installatie van speciale versleutelingssoftware op elke server, die in verbinding staat met het opslagsysteem. Andere methodes zijn: versleuteling door de applicatie of op het opslag-device zelf. Op deze manier wordt vertrouwelijke informatie versleuteld en onleesbaar voor een hacker. Versleuteling op het opslagdevice of door de applicatie is echter sterk leverancierafhankelijk, dus lijkt de neutrale methode (met name in een heterogene omgeving) via de installatie van software op elke server een beter alternatief. Op het eerste gezicht lijkt dit wel een effectieve en aantrekkelijke methode maar kent toch enkele zwakke punten.

Primary Fabric SAN Replicated Storage Subsystem Remote Fabric SAN Selective Data Protection Secure Policy Management 1 Fabric Attached Servers 2 Storage Subsystem Gateway/Router 3 IP or FCP Routing Gateway/Router Media Server 4 5 Virtualized Storage 13 Tape Subsystem Afbeelding 2 Toepassing storage security appliances. Uiteraard vormen sleutels de basis van beveiligingsoplossingen. Als een hacker, in- of extern, toegang krijgt tot de private keys, dan gaat de gehele netwerkbeveiliging natuurlijk in een keer verloren. Des te opmerkelijker is het dat beveiligingssleutels maar al te vaak op een onveilige applicatie-server bewaard. Daarnaast maken applicaties van sleutels gebruik die binnen het server-geheugen worden bewaard en vormen daarmee dus een ander potentieel gevaar. Dat betekent dat, als een hacker er eenmaal in slaagt de hand te weten leggen op de sleutels, hij niet meer handmatig de versleutelde data-velden hoeft te ontcijferen. De hacker hoeft maar één sleutel te bemachtigen waarmee hij een bepaalde server kan ontgrendelen en zich daarmee rechtstreeks toegang kan verschaffen tot alle vertrouwelijke informatie op de met de server verbonden opslagsystemen. Een ander nadeel is dat iedere keer dat de software de versleutelingsfunctie uitvoert, dit een aanzienlijke belasting voor de server met zich mee brengt. Deze belasting kan de server-prestaties en applicatie-responstijd behoorlijk doen afnemen, wat vooral in een transactiegevoelige server-omgeving een rol kan spelen. Daarnaast leidt het onderhoud en de installatie van speciale versleutelingssoftware tot een complexer en lastiger te beheren systeem. Nieuw is de manier van versleuteling via een op hardwaregebaseerde zogenaamde in-line storage security appliance, die alle hiervoor genoemde nadelen niet lijkt te hebben. Een storage security appliance biedt een centrale plaats voor versleuteling van data. De appliance wordt in serie ( in-line ) met de verbinding opgenomen en werkt transparant voor de applicatie, opslagsubsysteem en switch/router. Zodra getransporteerde data de appliance bereiken, wordt de data-payload versleuteld en via een secure tunnel (waarin de appliance of een ander device het eindpunt is) doorgestuurd. De appliance kan op verschillende manieren worden toegepast en kan, afhankelijk van de organisatiestructuur, op verschillende en meerdere plaatsen worden geïmplementeerd, waaronder: - Tussen de applicatie verbonden opslagservers en de fabric (1, zie afbeelding 2); - Tussen de fabric (2); - Vóór of na de gateway-verbindingen (3); - Vóór het opslag- en virtualisatie systeem (respectievelijk 4 en 5 in afbeelding 2). De appliance kan op effectieve wijze bestaande beveiligingsvoorzieningen, zoals poort zoning, complementeren door bijvoorbeeld de appliance te koppelen aan poorten die van een bepaalde zone uitmaken, waarbinnen applicatie-specifieke of vertrouwelijke opslagdata worden getransporteerd. Vanwege de hoge investeringen en de toch nog redelijk nieuwe technologie worden Security s nog op beperkte schaal, voornamelijk binnen grote enterprise-omgevingen, toegepast. Er is een aantal start-up firma s die appliances ontwikkelen, waaronder: Decru, Vormetric, Protegrity, Ingrian Networks, NeoScale Systems en Kasten Chase. BRAM DONS IS ONAFHANKELIJK IT-ANALIST.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback