Grundlagen: Sicherheit im Speichernetz
Netzwerk- und SAN-Security gehören zusammen
Weil viele Speichernetze den abgeschirmten Bereich des Rechenzentrums verlassen und immer mehr Speicherdaten per IP über LAN- und WAN-Verbindungen laufen, gewinnt SAN-Security an Gewicht. Gefragt ist ein ganzheitlicher Ansatz, der sich im Netz durchgängig implementieren lässt.
Hartnäckig hält sich der Mythos, Daten im Storage Area Network (SAN) seien per se sicherer als im lokalen Netz (LAN) oder WAN. Zwar sorgen Wurmbefall, Trojaner-Angriffe oder Denial-of-Service-Attacken (DoS) auf Speichernetze seltener für Schlagzeilen, doch dürfte das eher an der noch vergleichsweise geringen Verbreitung von Speichernetzen liegen.
Tatsache ist, dass jeder unsichere Server mit Verbindung zu einem SAN sämtliche Speichergeräte und alle anderen mit dem SAN verbundenen Hosts gefährdet. Hinzu kommt, dass Unternehmen zunehmend die Reichweite ihrer Speichernetze kostengünstig bis zu entfernten Niederlassungen ausdehnen. Ohne große Investitionen in die Netzwerkinfrastruktur lassen sich beispielsweise entlegene SAN-Inseln mit Fibre-Channel-over-IP (FCIP) an eine zentrale Disaster-Recovery-Lösung mit permanentem Backup anbinden.
Noch günstiger ist der Speicherdatentransport per IP mit »iSCSI« (Internet-Small-Computer-System-Interface, auch SCSI-over-IP). Damit können Hosts und Server direkt über die eingebaute Ethernet-Karte an das SAN angeschlossen werden. Alle Speicherkapazitäten lassen sich somit unternehmensweit konsolidieren.
SANs öffnen sich – und werden dadurch angreifbar
Immer mehr Speicherdaten, die bisher ausschließlich über spezielle SAN-Verbindungen, also Fibre Channel, liefen und daher meistens unverschlüsselt blieben, fließen nun via LAN und WAN - und werden somit angreifbar. Diese zunehmende Verflechtung mit IP birgt für vormals separate Speichernetze Gefahren, denen viele der bisher praktizierten Schutzmaßnahmen nur wenig entgegenzusetzen haben.
Die häufigste Form des Angriffs auf ein SAN sind Spoofing-Angriffe. Dabei erschleicht sich der Angreifer unterschiedliche Erkennungsmerkmale der Teilnehmer, beispielsweise Node- oder Port-Name oder Source-Port-ID. Eine andere Variante sind Denial-of-Service-Angriffe (DoS), die das SAN massiv stören wollen, indem sie beispielsweise den Management-Port der SAN-Switches fluten.
Spezifische Attacken
Es gibt eine Reihe individueller Bedrohungen für Speichernetze, aber auch Schutzmaßnahmen, die im Folgenden beschrieben werden. Nicht autorisierte Zugriffe auf eine Switched-Fabric und daran angeschaltete Speichersysteme - so genannte Targets - bedrohen Anwendungsdaten sowohl direkt als auch mittelbar. Sie können beispielsweise die Integrität der logischen Gerätezuordnung stören.
Daher sind flexibel steuerbare Kontrollmöglichkeiten für die Kommunikation innerhalb einer Fabric notwendig. Darauf zielt Fibre-Channel-Zoning ab. Generell beschreibt das Verfahren die Unterteilung eines Speichernetzwerks in mehrere Bereiche, in denen eine Verbindung erlaubt wird. Diese Bereiche können sich auch überlappen. Komponenten, die verschiedenen Zonen angehören, sind nicht in der Lage, sich gegenseitig zu »sehen«.
Ein Nachteil von Zoning ist, dass damit keine logische Unterteilung der Fabrics vorgenommen werden kann, weil die Fabric-Services wie Name-Services nicht mehrmals vorhanden sind. Eine logische Unterteilung, um beispielsweise Komponenten nach funktionellen Gesichtspunkten zu isolieren, lässt sich nur mit virtuellen SANs (VSAN) erreichen. So werden die Datenbestände verschiedener Kundenunternehmen in einem gemeinsamen Rechenzentrum sicher gegeneinander abgeschottet.
Hardware- und Software-Zoning
Zu unterscheiden ist zwischen auf Hardware- und Software basierendem Zoning. Beim Hard-Zoning wendet jeder Switch eine eigene Zugriffsliste (Access-Control-List) auf jeden transportierten Datenblock (Fibre-Channel-Frame) an. Soft-Zoning arbeitet mit Informationen, die im Name-Service registriert sind. Der jeweilige FC-Name-Service eines SAN führt für jeden FC-Switch eine Liste mit all den Port-IDs, die mit dem Switch mindestens eine Zone gemeinsam haben.
Daraus wird bereits ersichtlich, dass Soft-Zoning keinen großen Schutz bietet, weil ein Zugriff möglich ist, sobald die Adressen bekannt sind. Die verschiedenen Hersteller folgen dabei unterschiedlichen Implementierungen. Der Administrator sollte darauf achten, dass immer Hardware-Enforced-Zoning unterstützt ist. Neben Port- und WWN-Zoning müssen auch weitere Zoning-Optionen zur Verfügung stehen, beispielsweise LUN-Zoning oder Zoning basierend auf der I/O-Operation.
Damit lassen sich Zones einrichten, in denen nur ein lesender Zugriff erlaubt ist. Dies erhöht die Sicherheit der Anwendungen und Daten zusätzlich. Typischerweise teilt sich ein Disk-Array in mehrere logische Geräte auf; ihm sind daher entsprechend viele Logical-Unit-Numbers (LUNs) zugeordnet. LUN-Zoning nutzt diese Tatsache aus, um den Zugriff auch innerhalb eines einzelnen Plattensystems differenziert zu steuern.
Virtuelle SANs: Logische Fabrics auf dem Speichernetz
Eine weitere wichtige Sicherheitsfunktion sind VSANs. Damit werden auf demselben physikalischen Speichernetz mehrere logische Fabrics eingerichtet. Ein Switch kann dabei mehreren virtuellen SAN-Umgebungen angehören. Weil die virtuellen Teilnetze auf Port-Ebene dennoch sauber voneinander getrennt sind, bleiben mögliche Instabilitäten auf das jeweils betroffene Teilnetz beschränkt, beispielsweise nach einem DoS-Angriff. Ein Überschwappen auf das gesamte SAN ist ausgeschlossen.
Protokollfragen
Ursprünglich beherrschte Fibre-Channel nur rudimentäre, aus heutiger Sicht völlig ungenügende Authentifizierungsmechanismen. Zur Geräteidentifikation wurden Passwörter zumeist unverschlüsselt übertragen. Spätestens, wenn das SAN die schützende Grenze eines Rechenzentrums überschreitet, haben Hacker leichtes Spiel.
Deshalb hat das Technical Committee T11.3 der INCITS (International-Committee-for-Information-Technology-Standards) den Standard »FC-SP« (Fibre-Channel-Secure-Protocol) erarbeitet. FC-SP liefert eine Architektur für sichere Authentifizierung zwischen zwei Switches, Gerät und Switch sowie zwischen zwei Geräten. Das Verfahren stützt sich auf das Challenge-Handshake-Authentication-Protocol (CHAP). Die oft genannte Erweiterung CHAP-DH ist eine Referenz auf die Namen der Erfinder des hierfür genutzten Verschlüsselungsalgorithmus, Diffie und Hellman.
CHAP-DH bietet als Standardauthentisierungsprotokoll für FC-SP die bidirektionale, auf Passwort basierende Authentifizierung (CHAP), zusätzlich gesichert mittels Diffie-Hellmann-Verfahren. Dadurch wird die Anfälligkeit von CHAP gegen Wörterbuchangriffe reduziert. Mit FC-SP kann ein Switch neue Geräte am SAN entweder lokal oder über einen zentral installierten Server, beispielsweise auf Basis von Radius oder TACACS+, authentifizieren. Da beide Varianten in der Netzwerkwelt verbreitet sind, können Unternehmen mit FC-SP oftmals auf eine vorhandene Authentifizierungsinfrastruktur zurückgreifen.
Storage-over-IP
Besondere Herausforderungen bringt der Trend zu Storage-over-IP mit sich. Üblicherweise werden multiprotokollfähige Switches sowohl für SAN-to-SAN-Erweiterungen per FCIP als auch zur Anbindung von Server via iSCSI eingesetzt. Einem solchen Server (einem iSCSI-Initiator) gegenüber erscheint ein FC-Speichergerät als iSCSI-Target. Umgekehrt präsentiert sich der Server dem SAN-Switch als ein FC-Host. Dies wird entweder durch dynamisches oder statisches Mapping erreicht. Die dynamische Variante bietet mehr Flexibilität, doch gelten hier Beschränkungen in Bezug auf VSANs.
Unter Sicherheitsaspekten müssen gewisse Mindestvoraussetzungen erfüllt sein. Beispielsweise sollte das Zoning immer den IQN (iSCSI-Qualified-Name) des iSCSI-Initiatoren einschließen (so genanntes Symbolic-Name-Zoning).
Sicherer ist in jedem Fall statisches Mapping. Zum einen sind hier keinerlei Einschränkungen beim Einsatz von VSANs zu befürchten. Zum anderen lassen sich Zugriffsbefugnisse für iSCSI-Initiatoren auf FC-Geräte per ACL exakt auf Basis von IQNs, IP-Adressen oder einer Kombination aus beidem definieren.
Vertraulichkeit, Integrität und Management
iSCSI und FCIP unterstützen sowohl Authentifizierung als auch Autorisierung, übertragen Speicherdaten jedoch unverschlüsselt. Sie können auf ihrem Weg durch das IP-Netzwerk eventuell ausgespäht oder manipuliert werden. Verschlüsselung per IPSec müssen auf der einen Seite die SAN-Switches übernehmen. Auf der Client-Seite kann entweder eine VPN-Software oder ein VPN-Gateway vor den Servern platziert sein. SAN-Switches bieten auf Hardware basierende Verschlüsselung für IPSec an.
Die Gefahren einer böswilligen Ausnutzung der Managementanbindungen eines SAN werden oftmals unterschätzt. Umso wichtiger ist es, die zentrale Account-Managementinfrastruktur auf Basis von Radius oder Tacacs+ vom IP-Netzwerk auf das SAN auszuweiten. Per Cisco-AAA (Authentication, Authorization and Accounting) lassen sich damit alle Managementzugriffe durch auf Rollen basierende Rechtezuordnung steuern.
Administratoren können so unterschiedliche Zugriffsrechte zugewiesen werden. Ein Administrator darf beispielsweise nur »lesen«, während andere auch Änderungen vornehmen. Diese Rechte können auf Teilbereiche eines SAN beschränkt sein, sodass eine feine Rechteverwaltung möglich ist. Unerlaubte Zugriffe auf Managementinterfaces lassen sich zudem durch ACLs unterbinden.
Für das Compliance-Management ist die automatische Protokollierung aller Änderungskommandos und die regelmäßige Sicherung der Konfiguration der Switches einer Fabric wichtig. Im Ernstfall lassen sich ein früherer Zustand schnell wiederherstellen oder Konfigurationen und Logdaten für eine forensische Analyse einsehen.
Fazit
Für das SAN steht eine Reihe von Schutzmechanismen zu Verfügung, mit denen ein auf den Bedarf des Unternehmens zugeschnittenes Sicherheitskonzept realisiert werden kann. Insbesondere der Transport von Speicherdaten über das Internet-Protokoll ermöglicht den Einsatz aller Sicherungstechniken, die in LAN und WAN zum Einsatz kommen.
Autor: Klaus Lenssen, Business-Development-Manager Security und Government-Affairs bei Cisco,
Weitere Informationen im Internet unter:
White Paper zu VSANs und Zoning (englisch)
White Paper Data Center Networking Security - from LAN to SAN (englisch)
