Информационное общество

Проблемы безопасности систем хранения данных (SAN)

Безопасность SAN. Проблемы безопасности SAN

Целостность и безопасность данных

Управление SAN

Протокол безопасности

Доступ в SAN
Доступ к системам хранения
Протоколы SAN
IP сеть хранения
Целостность и конфиденциальность данных

san1

Управление SAN: угрозы

Нарушение процесса коммутации

Результат: Коммутатор не может реагировать на события в сети

Нарушение стабильности сети

Результат: Отказ сервиса, незапланированный простой

Нарушение целостности и Out-of-band конфиденциальности управление

Результат: Повреждение LUN, повреждание данных, кража или потеря данных

san2

Управление SAN: безопасность

Authentication, Authorization, Account SAN Management Security Infrastructure ing (AAA) всех действий
RADIUS/TACACS+ Сеть Управления IP-over-FC, резервное соединение
Syslog
SNMP Traps
CallHome (SMTP) RADIUS
Ролевое управление контролем доступа Out-of-band Управление
Безопасный транспорт для TACACS+ по сети Ethernet управления
SSH
SNMPv3
SSL/TLS SNMP
Контроль доступа интерфейсов управления NTP

Cisco Fabric Manager MDS 9000 NX-OS CLI SNMPv3 SSH/SFTP

Согласованность политик безопасности коммутаторов сети хранения

san3

Доступ к SAN: угрозы

Повреждение данных приложений

Результат: Незапланированный простой, потеря данных

Нарушение целостности LUN

Результат: Подключение Доступ к системам

Незапланированный серверов хранения простой, потеря данных

Снижение производительности приложений

Результат: Незапланированный простой, низкая производительность

san4

Безопасность Fibre Channel

Зонирование FC обеспечивает разделение между системами хранения
Режим порта предотвращает формирование ISL на edge портах
Port Security помогает защищаться от подмены WWN
Виртуальные SAN (VSAN) обеспечивают разделение между виртуальными сетями
FC Security Protocol (FC-SP) финальный шаг для безопасности FC

san5

Доступ к SAN: зонирование FC

Зоны состоят из одного или более элементов
Элементы зоны могут быть:

- Port WWN устройства (индивидуально для интерфейса)
- Node WWN устройства (глобально для устройства)
- Port WWN порта коммутатора
- Коммутатор + Интерфейс
- Символическое Имя (iSCSI)
- Один или более элементов могут определяться псевдонимами (Alias)
- WWN + LUN

Зоны обеспечивают разделение групп хостов и систем хранения в SAN

Некоторые операционные системы пытаются записать метку на все обнаруженные диски, вызывая потерю или порчу данных

Зонирование обеспечивает разделение, но не имеет какой–либо аутентификации

Обход зонирования путем имперсонации устройства (WWN spoofing) возможно и достаточно просто

Soft Zoning

Сеть ограничивает информацию элементам, не входящим в зону

На программном уровне

Устройство входит в сеть и опрашивает сервер имен, какие устройства доступны; и получит информацию только о тех устройствах, которые входят в те же зоны

Hard Zoning Сеть не передает трафик элементам, не входящим в зону

На аппаратном уровне, для каждого фрейма

Стандарт не определяет проверять ли входящие или исходящие фреймы

Протокол Fibre Channel: угрозы Rogue Switch

Нарушение стабильности сети

Результат: Незапланированный простой, нестабильность сети

Нарушение безопасности данных

Результат: Незапланированный Целостность управляющего простой, потеря данных протокола

Снижение производительности приложений

Результат: Незапланированный простой, низкая производительность

Протокол Fibre Channel:безопасность Fabric Protocol Security

san6

Очень важно защитить управляющие протоколы сети для обеспечения стабильности сети

Первый шаг – Cisco RBAC для безопасности доступа к настройке управляющих протоколов

Port-security для защиты ISL портов

FC-SP для аутентификации switch-to-switch следующий критичный шаг для блокировки вредоносных ISL

Настройка plug-n-play протокола сети удобна — однако статическая настройка более безопасна

Статический управляющий коммутатор

Статические domain ID

Статические FCIDs

RCF-reject, особенно для соединений на большие расстояния

RSCN-suppression

VSAN для разделения и управления отдельными сетями и увеличения устойчивости сетей

Безопасность уровня доступа: Port Security

Port Security — Разрешает доступ в сеть в зависимости от атрибутов устройства

Используется для контроля подключения к коммутатору— неудача приводит к ошибке входа на уровне соединения

Предотвращает подделку S_ID в фрейме FC

Поддерживает безопасность device-to-switch и switch-to-switch

Использует многочисленные атрибуты для конфигурации

pWWN—port WWN подключенного устройства

nWWN—node WWN подключенного устройтва

fWWN—fabric WWN порта коммутатора

sWWN—WWN коммутатора

Port_ID—идентификатор порта коммутатора (fc1/2)

Режим Auto-learning упрощает начальную настройку

Fabric Binding — Разрешает подключение к сети только коммутаторов, указанных в списке разрешенных

Проверяются sWWN и Domain_ID при подключении коммутатора и активации новой базы fabric binding

Безопасность уровня доступа: Виртуальные SAN (VSAN)

Виртуальные SAN (VSAN) помогают достичь более высокую безопасность и стабильность в сетях FC, обеспечивая изоляцию устройств, подключенных к одной физической сети
VSAN можно использовать для создания множества логических Сетей Хранения на единой физической инфраструктуре

san7

Аутентификация в SAN

 Аутентификация устройств по протоколам Fibre Channel Authentication Protocol (FCAP) или Fibre Channel Password Authentication Protocol (FCPAP)

 Аутентификация портов коммутатора по протоколу Switch Link Authentication Protocol (SLAP) Для блокирования «чужих» устройств

 Набор протоколов Fiber Channel – Security Protocol (FC- SP) для аутентификации, обмена ключами, шифрования между устройствами Fibre Channel

 Адаптированные к FC протоколы ESP и Diffie-Hellman (DH- CHAP) для решения задач, аналогичных FC-SP RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и SCSI (iSCSI, iFCP, FCIP)

 RFC3723 – адаптация IPSec и IKE к сетям Fibre Channel и SCSI (iSCSI, iFCP, FCIP)

Безопасности уровня доступа

san8