Безопасност в системите за съхранение на данни

Съвременните решения NAS и SAN позволяват да се консолидира голям обем данни в мащабируеми системи за съхранение.

Същевременно високата степен на консолидация оборачивается опасността от несанкциониран достъп по откритите канали, тъй като всички възли се намират в единна мрежа. Повредата и дори само проникването в един или няколко възела в корпоративната мрежа за съхранение на данни може да доведе до катастрофални последствия за бизнеса.

В началото на 90-те години на миналия век в развитието на изчислителните системи се забелязваше тенденция към децентрализация на ресурсите за целите на пренасочването на приложните задачи от големите машини (мейнфрейми) към отделни сървъри. В архитектурните решения на преден план започнаха да излизат разработки на базата на операционните системи (ОС) Windows, NetWare, а също различни клонове на UNIX.

Интересно е да отбележим, че именно тогава започна обратното движение по прехода от разпределени корпоративни данни на различни носители (книжни документи, магнитни дискове и т.н.) към централизирани хранилища, които днес намериха въплъщение в решения като Network Attached Storage (NAS) и Storage Area Network (SAN).

Това стана възможно преди всичко благодарение на това, че разработчиците на програмно осигуряване успяха да предложат на крайния потребител различни инструменти за обработка на информацията непосредствено на работните станции. Има три етапа в развитието на способите за съхранение на данни по пътя от мейнфреймите към разпределените сървърни решения (вж. фиг1).

При първия етап по време на господството на мейнфреймите голямата част от информацията се е съхранявала в книжен вид, на перфоленти и т.н. С времето (втория етап) необходимостта от удовлетворяване на разнообразните нужди на бизнеса и свързаното с това търсене на оптимални решения застави компаниите да преминат към архитектура с разпределени ресурси, като работната станция се превръща в неголям изчислителен комплекс, а сървърът осигурява само функциите на арбитър.

Обемът на съхранените данни в сървърите и работните станции бе малък и вградените дискове бяха напълно достатъчни. Частично това се обясняваше с това, че немалка част от информацията оставаше на книжни носители. Заедно с бурното внедряване на приложните системи все по-голямо значение придоби въпросът за защитата и съхранението на данни в случай на отказ на системата, а също несанкционираният достъп на потребители до тях.

Всичко това прерасна в сериозен проблем на третия етап от развитието на системите за съхранение — при преобразуване на основната част от информацията в цифров вид и преноса й в централизирани хранилища на базата на архитектурите NAS и SAN. В резултат рискът от несанкциониран достъп до архивираните данни нарасна значително. От една страна, бе постигната основната цел - консолидация на наличните ресурси на ниво единни възли и хранилища на данни, което преди бе възможно само с решения, базирани на мейнфрейми.

От друга, "преводът" на данни в цифров вид и тяхното централизирано съхранение доведоха до това, че непрекъсваемостта на бизнеса започна да зависи от наличието на оперативен достъп до корпоративните данни. Отвореността на разпределената архитектура застави фирмите да погледнат по нов начин на задачата за защита от опасностите от несанкциониран достъп.

Особености на системите за архивиране В последно време все по-често се коментират достойнствата на предлаганите решения от гледна точка надеждност на съхранените данни и все по-рядко за възможните заплахи и рискове, свързани с безопасността на достъпа. В тази статия ще разгледаме три основни архитектури — DAS, NAS и SAN — именно от позицията на възможните опасности, като дадем кратка характеристика на всяка от тях. Корените на архитектурното решение с непосредствено включване на устройство за съхранение (Direct Attached Storage, DAS) са в предишното десетилетие, когато се появиха първите стандартизирани предложения за включване на голям брой дискове към сървъра по единна шина.

Днес може да се твърди, че SCSI шината зае лидерска позиция в подобни решения. При това протоколът SCSI е популярен както сред производителите, така и сред потребителите и стана основа за новите стандарти за решения от ново поколение. Максималната дължина на шината или кабела SCSI достига 25 м, затова устройствата за съхранение на данни или дисковите масиви трябва да се поставят в едно помещение със сървърите.

За преодоляване ограниченията за дължината на кабела все по-често се ползва архитектурата SAN, благодарение на която са възможни мащабируеми решения при запазване на високата надеждност и скорост на предаване на данни. Тя може да се реализира на базата на оптични и медни линии, а също на базата на Ethernet протоколи, TCP/IP и Fibre Channel.

Спецификата на предаване на блокове данни по последователни линии стана причина за появата на стандарт за протокола iSCSI за организиране на мрежи за съхранение върху IP. За тези случаи, когато се налага достъп до съхранените данни на ниво файлове, полезно решение е на базата на мрежовите устройства за съхранение (Network Attached Storage, NAS), в чиято основа са протоколите CIFS/ SMB и NFS за достъп до файлове, записани върху дискови устройства. За протокола за файлов достъп бяха създадени специализирани сървъри с ограничен набор от предлагани услуги.

Впоследствие започнаха да ги наричат мрежови приложения или уреди (Network Appliance). Сред възможните заплахи по отношение на мрежите за съхранение на данни могат да се отделят следните:

• - унищожение;
• - от кражба;
• - несанкционирана промяна;
• - нарушаване на автентичността;
• - замяна;
• - блокиране на достъпа.

Източниците на заплахи са както външни, така и вътрешни. Сама по себе си заплахата е следствие от наличието на уязвимост в конкретните възли от мрежата за съхранение. Възможните уязвимости определят съставните елементи и свойства на архитектурните решения за мрежи за съхранение, а именно:

• - елементи на архитектурата;
• - протоколи за обмен;
• - интерфейси;
• - апаратни платформи;
• - системно програмно обезпечение;
• - условия за експлоатация;
• - териториално разположение на възлите от мрежата за съхранение.

В рамките на тази статия ще се спрем само на типичните уязвимости на решенията NAS и SAN. За да се разбере цялостно проблемът, ще разгледаме нивата на предоставяните услуги, общо 4 на брой:

1. - ниво устройства;
2. - ниво данни;
3. - ниво мрежово взаимодействие;
4. - ниво управление и контрол.

На Фиг. 2 е изобразена степента на заплаха за всяко от тях в рамките на задействаните услуги, предлагани от мрежата за съхранение на данни. Трябва да отбележим, че разглежданата инфраструктура се ограничава само от самата мрежа за съхранение: системи за съхранение, комутатори, сървъри и работни станции. Както се вижда от фигурата, използването на уязвимост на ниво управление и контрол могат да се окажат максимална заплаха за записаната информация, тъй като при несанкциониран достъп злоумишленият потребител получава контрол над всички мрежи за съхранение, включително системи за архивиране, комутиращи устройства, а в редица случаи сървъри за приложения и работни станции, клиенти на мрежата.

Последствията от получаването на подобен достъп могат да бъдат катастрофални: от компрометиране и унищожаване на информацията до пълно разрушаване на архитектурните връзки между крайните възли и системи за съхранение на данни. Очевидно в случай на несанкциониран достъп на ниво крайни устройства степента на заплаха е минимална, тъй като се засяга само част от цялата среда.

Степента на опасност на ниво данни се определя от това, доколко грамотно са били проектирани архитектурата, разположението на устройствата и самите съхранени данни. Анализ на заплахите и организация на защитата в архитектура SAN Както отбелязахме по-рано, архитектурата SAN е предназначена за пренос на блокове от данни между системи за съхранение и крайните възли, които могат да бъдат сървъри за приложения и работни станции.

Ниво устройства. На първо място заплахата от несанкциониран достъп до устройството може да възникне вследствие слаба защита с пароли и недомислена схема за оторизация на потребителите. В този случай несанкционираният достъп с пълни права дава абсолютен контрол върху данните във възела (комутатор или шлюз), а в резултат възниква реална опасност от нарушаване целостността на архитектурата и съхранените данни.

Друга опасност може да възникне вследствие наличието на уязвимост на ниво вградено програмно осигуряване (firmware) в устройството, в което са записани данните, или заради невнимателно боравене с използвания микрокод. В такъв случай зломишлениците получават възможност да ползват даденото устройство за отдалечена атака на другите възли в мрежата за съхранение на данни (сървъри, работни станции, шлюзове, комутатори). Какви методи за защита има? Преди всичко, използване на защитени протоколи за достъп, а също контрол на минималния брой символи в паролите. За оторизация на потребителите трябва да се задейства схема за оторизация с прилагане на списъци за контрол на достъпа (Access Control List, ACL).

В редица случаи е необходимо да се ограничи достъпа до устройството посредством многофакторна идентификация. Съвременните технологии позволяват идентифициране на потребителите минимум по два фактора: първо по име и парола, и второ, с помощта на смарт карти, токъни и средства за биометричен контрол. За осигуряване на надеждна работа на устройствата, работещи в SAN, трябва постоянно да се следи за новите обновявания и "кръпки" за вграденото ПО, което налага периодично отключване на устройствата за профилактика.

От задължителен контрол има нужда вътрешната настройка на оборудването: активираните, но неизползвани услуги трябва да се спрат с последващо изясняване на причините за стартирането им. Като допълнителни средства за определяне на вероятните уязвимости могат да бъдат използвани мрежовите скенери. В този случай администраторът получава възможност да осъществи независим контрол върху работата на услугите на конкретни устройства.

Пускането на системни журнали за всяко устройство трябва да стане правило. Наличието на информация за всички събития, включително потенциалните опити за проникване, позволява бързо разследване и в повечето случаи предупреждаване за неоторизирано обръщение към ресурсите.

Ниво данни. В архитектурата SAN при неоторизиран достъп с администраторски права потребителят получава пълен или частичен контрол върху данни, което води до опасност от блокиране на достъпа, изкривяване или модифициране, а също така унищожаване на данните.

Освен това има голям риск от установяване на контрол върху достъпа до блокове данни на ниво сървъри. Независимо че за архитектурата SAN е характерен блоков достъп до съхранените данни, самите изчислителни възли при активиране на съответните услуги могат да се превърнат в NAS сървъри с предоставяне на достъпа по протоколите CIFS/ SMB, а така също и NFS.

Архитектурата SAN предвижда включване на сървъри и работните станции c единна зона за достъп до устройства за съхранение. Затова изискванията за безопасност при достъпа до данни трябва да се прилагат в равна степен както до сървърите, така и до работните станции. Това изключва използването на сървърите за приложения на несвойствената им роля на NAS възли, чрез които злоумишленик би могъл да получи несанкциониран достъп до конфиденциална информация. Една от защитните мерки е постоянният отчет на потребителите, на които са дадени права за достъп.

Корпоративните данни трябва да се класифицират по важност и да се ограничи тяхната достъпност, разделяйки потребителите на съответни групи, като е полезно да се използва правилото "кой, къде, защо". Като допълнително средство за подсилване на защитата се препоръчва технологията за маскиране LUN с разпределение на данните по раздели в устройствата за съхранение.

Мрежовите протоколи за файлов достъп CIFS/SMB и NFS в редица случаи не осигурява необходимото ниво на защита, затова контролът на услугите, отговарящи за достъп до файловете по мрежата, позволява да се изключат заплахите за неоторизирано включване. Днес актуален става и проблемът с нарушаване достъпността и целостта на съхранените данни в резултат на външни DoS атаки, вируси и червеи.

Основната цел на такива атаки е насочена към блокиране на достъпа и влошаване имиджа на компанията и нейното финансово положение на пазара. Последствията се оказват още по-плачевни, ако в резултат на атаката злоумишлениците успеят да получат достъп до данни. За защита от външни атаки е целесъобразно да се въведе контрол над сървърите, комутаторите и работните станции, които показват необичайно висока активност, да се използват пълните възможности на антивирусната защита на сървърите и работните станции, да се следи за всички обновявания на ОС, вграденото и приложно програмно осигуряване в SAN средата.

Ниво мрежово взаимодействие. Решението на въпросите за сигурността на мрежово ниво при SAN е една от приоритетните задачи, с която се сблъскват разработчиците на архитектурни решения при създаване на изчислителни комплекси с различно ниво на сложност.

При това във всяко решение се налага да се отчита спецификата на конкретната архитектура. Исторически погледнато архитектурата SAN се разви благодарение на внедряването на оптични канали, използващи протокола за предаване на данни Fibre Channel. Основните им предимства бяха (и си остават) високата скорост на предаване, липсата на взаимни смущения между положените кабели и малкото закъснение на сигнала.

Решаване на въпроса за сигурността по отношение на предаваната по каналите информация не бе приоритетно. Едва сега на слабата защитеност на каналите започна да се обръща повече внимание. От гледна точка безопасност на ниво мрежово взаимодействие трябва да отбележим наличието на заплахи от несанкционирано включване към каналите с подмяна на адресите, което важи в еднаква степен за оборудване и канали както в центровете за обработка на данни, така и във филиалите.

Отвореността на архитектурата и взаимната отдалеченост на комутиращото и конвертиращото оборудване устройствата могат да станат обект на атака с последваща загуба на контрол над каналите и получаване на неоторизиран достъп до предаваните данни. Неточно конфигурирано крайно устройство в мрежата за съхранение също е привлекателна мишена за мрежова атака.

В тази връзка трябва да се спрем на способите за защита. В случаи, когато в архитектурата на мрежата е предвиден отдалечен достъп до данни, трябва да се задействат междумрежовите филтри и IDS системи за организиране филтриране на трафика както извън границите, така и вътре в мрежата за съхранение. Като допълнителни мерки за защита се поставят устройства за контрол на трафика в мрежовия сегмент за откриване на DoS атаки.

На етап проверка на архитектурата SAN е важно максимално да се използва разпределението на устройствата между изолираните участъци с помощта на хардуерно зониране (Hard Zoning), като програмното зониране (Soft Zoning) или маскирането LUN са полезно средство за допълнителна защита. Обикновено производителите на комутационно оборудване предвиждат собствени вградени средства и протоколи за предаване на данни, например Cisco Fibre Channel Security Protocol (FC-SP) или Brocade Secure Fabric OS, чието използване позволява да се повиши степента на защитеност.

Задължително правило е организиране на отдалечен мрежов сегмент за контрол и управление на устройствата в SAN мрежите.

Ниво управление на достъпа. Всички средства за управление на достъпа до съхранените данни трябва да удовлетворяват изискванията за безопасност в максимална степен — както за конкретни устройства, така и за архитектурата като цяло, за да се изключи всяко неоторизирано проникване. За целта трябва да се обезпечи постоянен мониторинг на потребителите, имащи права на достъп, и осъществяване на централизиран контрол върху работата на устройствата.

Решаването на задачата за безопасно управление на достъпа се опростява от специализирани програми, които разработват IBM, Veritas, McData и др. За осигуряване на безопасност на ниво записващи устройства, там където това е възможно, се блокира достъпът до възлите по протокола Telnet и той се заменя с по-защитените SSH и HTTPS.

Защитата с пароли трябва да се засили чрез контрол на минималната дължина на думата и въвеждане на принудителна периодична смяна на паролите. Освен това достъпът до възлите SAN трябва да се разграничи посредством задаване на съответна политика, която отчита ролята на всеки потребител и степента на конфиденциалност на записаните данни. За тази цел могат да се използват и списъци за контрол на достъпа ACL.

Както отбелязахме по-рано, трябва да се въведе постоянен контрол върху администраторския достъп до устройствата на разглежданото ниво от мрежата за съхранение. Съществуват и допълнителни възможности, в частност ограничаване на достъпа до ключови комутиращи и конвертиращи устройства SAN за сметка на организиране на отдалечени възли и мрежови сегменти.

Периодичният контрол на системния дневник трябва да стане основно правило. Анализ на заплахите и организиране на защита в архитектурата NAS За разлика от архитектурата SAN достъпът до данните в NAS възлите се осъществява на файлово ниво, като се използват протоколите CIFS/SMB и NFS. При това самият възел функционира като файлов сървър или мрежов масив, а необходимите настройки и конфигуриране са минимални.

Често производителите на сървъри NAS (при достатъчно тясна специализация) реализират повечето настройки преди доставката на сървъра на клиента и впоследствие той ги ползва по подразбиране. Този факт трябва да се отчита при интеграция на NAS сървърите както в локалната мрежа, така и в мрежата за съхранение на данни.

Ниво устройства. На това равнище сървърите NAS работят като файлови сървъри. Все пак освен традиционните канали за достъп до устройствата за съхранение, в това число до външни по отношение на самия сървър NAS, могат да бъдат задействани елементи от архитектурата SAN. По принцип това са твърди дискове, включени към сървъра по оптични линии, използващи протоколите Fibre Channel или FC-AL.

В този случай в дадения сегмент трябва да се разпространят изисквания, аналогични на прилаганите в архитектурата SAN (вж. по-горе). Какви уязвимости са присъщи на даденото ниво? Наличието на настройки по подразбиране, а също ограничените функции по администриране водят до по-голяма вероятност от използване слабостите в схемите за оторизация при недостатъчна паролна защита. Въпреки затвореността на операционната система и включените фабрични настройки, съществува опасност от възможни атаки на неактивираните услуги, DNS, Telnet и т.н.

Преди устройството NAS да бъде включено в мрежата за съхранение на данни, трябва да се направи анализ на настройките по подразбиране и да се спрат непотребните услуги. Впоследствие трябва редовно да се проверява състоянието на активираните услуги и да се изясни причината за пускането им. Прилагането на силна паролна защита с контрол върху дължината на думата и периодичната й замяна позволява изключване на несанкциониран достъп на ниво устройства.

Регулярното обновяване на ОС ще намали възможността някой да се възползва от уязвимите й места.

Ниво данни. Отчитайки, че достъпът до данните в сървърите NAS се осъществява по протоколите CIFS/SMB и NFS, именно те ще бъдат разгледани от гледна точка възможни заплахи. Тези протоколи предвиждат само слаба защита на предаваните пароли, което важи особено за NFS. В тези случаи, когато е възможно, трябва да се откажем от използване на NFS, отключващ съответната услуга.

Когато има изискване за конфиденциалност на предаваните данни, за избягване компрометиране на паролите трябва да се предвидят допълнителни мерки по оторизация на потребителите с прилагане на необходимите софтуерно-хардуерни средства. На етап проверка на архитектурното решение трябва да се въведе строга класификация на съхранените данни в зависимост от степента на тяхната важност и конфиденциалност, макар че не трябва да се забравя за другите ефективни средства за сигурност, в частност за организиране на заделени възли с криптозащита. Някои услуги могат да станат обект на атака от програмни мрежови вируси и червеи, както и от атаки Denial of Services (DoS).

За защита от тях във възлите NAS трябва да се внедри специализирано програмно осигуряване. Където е възможно, трябва напълно да се откажем от схемите с именуване на възлите и да се премине към адресиране с IP средства.

Мрежово ниво. Тъй като в повечето случаи мрежовото ниво в сървърите NAS е организиран на базата на протокола TCP/IP, основната заплаха произхожда от възможните атаки през мрежата: DoS, прихващане на сесии, подмяна на адреси и т.н. Заради отворената архитектура устройствата NAS могат да бъдат включени както вътре в корпоративния мрежов сегмент, така и извън него. Последното се случва доста често при наличие на голям брой поделения в една компания.

Ако трафикът излиза извън пределите на контролирания мрежов сегмент, задължително трябва да бъдат инсталирани междумрежови екрани (Firewall), а също и IDS система. За повишаване степента на сигурност може да се активират виртуални локални мрежи (Virtual Local Area Network, VLAN), с което се обезпечава независимост на трафика вътре във всеки от създадените сегменти и се изключва рискът от подслушване и получаване на несанкциониран контрол над тях. Аналогично на изискванията към мрежовото ниво за устройства SAN, при NAS има смисъл от организиране на отделен сегмент за управление на устройствата, което позволява получаване на независим административен достъп до тях.

Това важи с най-голяма сила за мрежи за съхранение, изградени на базата на Ethernet. Комбинацията от отделен сегмент и допълнителни софтуерно-хардуерни средства позволява на администратора да въведе непрекъснат контрол върху активността в сегментите на мрежата за съхранение на данни и своевременно да реагира на необичайно високо ниво на трафика по всяко време на денонощието, което да подскаже за наличие на атака.

Ниво управление на достъпа. Това е най-вероятната мишена за различни атаки с цел получаване на администраторски достъп до устройствата NAS. Една от най-честите атаки към сървъри NAS е несанкциониран достъп с използване на слаба защита при предаване на пароли по мрежата с помощта на протоколите Telnet и HTTP.

Поддръжката на тези протоколи трябва да се забрани още на етап въвеждане в експлоатация на устройствата NAS. Тяхното приложение се допуска само там където това не води до нарушаване на изискванията за безопасност или има допълнителни средства за защита на паролите от подслушване. В останалите случаи вместо тях се препоръчват защитените протоколи за достъп, в частност SSH или HTTPS. Не е тайна, че за изпълнение на административните задачи (настройка, резервиране на данни и т.н.) няколко потребители нерядко се регистрират на сървъра като един с максимални администраторски права.

Последствията от подобна "демокрация" могат да бъдат плачевни. Важно е да се отбележи, че да се проследят по системните дневници действията на такъв потребител (кой и какво е правил) не е възможно. Затова на етап въвеждане в експлоатация трябва да се наложат правила за разграничаване на потребителите по групи и закачените към тях задачи. Както на всички разглеждани по-горе нива, е важно да се осъществява строг контрол на системните дневници.

Анализ на заплахите и организация на защитата в архитектура DAS

Исторически архитектурата DAS в една или друга степен лежи в основата на засегнатите по-горе решения SAN и NAS, тъй като и двете произлизат от протокола и едноименната шина SCSI. Затова всичко, което бе казано досега от гледна точка сигурност, важи с пълна сила и за DAS.

Изключение може да има само на мрежово ниво: дължината на шината SCSI не надвишава 25 м, затова нейната защитеност в контролираната зона на сървърната стая е достатъчно висока. Заключение Днешните реалности в областта на системите за съхранение на данни са такива, че липсата на дължимото внимание към въпросите за защитата на информацията може да доведе до непредсказуеми последствия. Досега за осигуряване на защитата на данните основно внимание се отделяше на надеждността на тяхното съхранение.

При това значителна част от средствата се влагат в развитие на инфраструктурата за резервиране и архивиране на информацията върху алтернативни носители, организиране на канали за тиражиране на данни в алтернативни офиси и т.н. Тъй като архитектурата става все по-отворена, нейните елементи (сървъри, комутатори и др.) и техните възможни уязвимости стават цели за различен род атаки, които водят до нарушаване целостността на съхранената информация, нейната загуба или компрометиране.

Надяваме се, че засегнатите в статията проблеми ще накарат ръководителите да погледнат по нов начин на задачите, които трябва да се решават на етап проектиране на архитектурните решения при организиране на мрежи за съхранение на данни.

Мнение Владимир Каравелов, ADSYS:

Какво е съотношението на търсените у нас системи с интерфейси ATA, SATA, SCSI, SAS, Fiber Channel, iSCSI? За какви приложения са подходящи?

По мои данни като брой продадени системи водач е SATA с около 80% пазарен дял в момента. За съжаление делът на Fiber Channel е под 1%. iSCSI не се използва засега, тъй като все още е недостатъчно познат. Няма продажби на системи със SAS, защото не се предлагат масово от производителите.

Какви са тенденциите в развитието на RAID технологиите?

Интересно е появяването на RAID 6 в хардуерните RAID контролери. По-интересното и очаквано нещо са системите със SAS, защото те дават възможност за комбиниране на дискове SATA с голям капацитет и SAS дискове с производителност, по-висока от тази на SCSI. Започна и масова продажба на системи с 4Gbit FiberChannel интерфейс.

Какви са предимствата на различните системи за съхранение на данни (NAS, DAS, SAN) по отношение на сигурност, надеждност и администриране?

Най-доброто решение за големи и тежко натоварени приложения е SAN, но тези системи изискват огромни инвестиции в техника и обучение на администриращия персонал. Понякога мениджърите избират системи от по-нисък клас, защото се страхуват от непознати технологии. DAS и NAS са широко разпространени технологии, които имат своите предимства и недостатъци.

При използването им трябва да се вземе предвид конкретната задача, за да може да се избере правилното решение. Не мисля, че българските потребители са готови да ползват платени услуги за съхранение на информацията от външни за тях фирми.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!