In Kommunikationsnetzwerken bedeutet »Sicherheit«, den Zugang zu sensiblen Daten zu überwachen. Im Idealfall sollte der Zugriff auf diese Daten lediglich autorisierten Nutzern gewährt werden. Dafür ist ein Authentifizierungsprozess nötig, der festlegt, wer zu welchen Daten Zugang hat, und der beim Zugriff entsprechend die Identität überprüft.

Um weiterhin einen kontrollierten Datenzugriff gewährleisten zu können,

ist eine zusätzliche Verschlüsselung erforderlich.

Datensicherheit hat für die meisten Unternehmen und Institutionen inzwischen höchste Priorität. Laut Harvard Business Review verursachen Sicherheitslücken in der Computerbranche jährlich Schäden in Höhe von 17 Milliarden Dollar. Ein Großteil dieses Schadens ist auf Insider mit Zugriff auf die Rechensysteme zurückzuführen. Andererseits können auch einfache Bedienungsfehler zum Ausfall von Anwendungen führen. 40 Prozent derartiger Ausfälle werden laut Gartner durch unbeabsichtigte Konfigurationsprobleme verursacht. Für die Geschäfte eines Unternehmens ist es deshalb entscheidend, seine Daten und Vermögen vor absichtlichem und zufälligem Schaden zu schützen.

Der Umfang, den die Einführung einer Sicherheitslösung einnimmt, hängt davon ab, wie viel Vertrauen die Administratoren in ihre Netzwerkinfrastruktur haben. Ein Rechenzentrum stellt beispielsweise in der Regel ein zuverlässiges Umfeld dar, da der Zugriff auf Server, Speicher- und Kommunikationsausstattung physikalisch begrenzt ist. Eine Ausweitung des Netzwerks auf Abteilungsebene oder den Fernbereich könnte das Netzwerk unsicherer machen, da weniger Kontrollmöglichkeiten bestehen. In der IP-Kommunikation werden beispielsweise häufig VPNs zur Authentifikation und Verschlüsselung sensibler Daten genutzt, die einer unsicheren WAN-Anbindung ausgesetzt sind.

Wäre Sicherheitstechnik kostenlos und würde sie keine Performance-Einbußen mit sich bringen, würden IT-Verantwortliche im ganzen Netzwerk Sicherheitslösungen implementieren. Aus Kosten- und Performance-Gründen nutzen die meisten Firmen jedoch nur dort Mechanismen für die Sicherheit, wo sie am dringendsten benötigt werden. Aus diesem Grund werden Firewalls und Geräte zur Datenverschlüsselung meistens in der Peripherie des zentralen Rechenzentrums installiert, wo Daten in unsichere Bereiche des Netzwerks eintreten.

Einige Unternehmen betrachten sogar das Rechenzentrum selbst als unsicheren Bereich. Den physikalischen Zugriff auf eine Einrichtung zu beschränken ist unwirksam, wenn ein Mitarbeiter böswillig Kopien von Unternehmensdaten anlegt. Die Verwundbarkeit von Rechenzentren wird durch den generellen Mangel an Sicherheitsmechanismen für SANs deutlich. Fibre-Channel-SANs ermöglichen einen gemeinsamen Zugriff auf Speicherressourcen. Dies macht jedoch auch zusätzliche Sicherheitslösungen erforderlich, die den Zugriff bei Bedarf regeln.

Fibre-Channel-Sicherheitsoptionen

Von Beginn an hat Fibre-Channel auf der physikalischen Trennung von Netzwerken beruht, um eine rudimentäre Sicherheitsbarriere zu gewährleisten. Da physikalische Trennung alleine nicht vor internen Angriffen oder ungewollten Konfigurationsfehlern schützt, lässt sich der Sicherheitsradius um Storage-Endgeräte, Server, Direktoren, Switches und ganze SAN-Fabrics durch integrierte Sicherheits-Features erweitern.

Zoning

Das Zoning von SAN-Ressourcen sorgt im Low-Level-Bereich für einen autorisierten Zugriff zwischen Servern und dem Storage. Beim Port-basierenden Zoning wird der Zugriff dadurch geregelt, dass lediglich ausgewiesene Switch-Ports miteinander kommunizieren können. Zoning kann aber auch auf Fibre-Channel-World-Wide-Names (WWN) basieren. Da jede Fibre-Channel-Einheit eine einzigartige WWN hat, lassen sich Verbindungen auf Grund der eindeutigen Identität einer jeden Einheit genehmigen. Da es durch veränderte Frame-Header nicht umgangen werden kann, ist Port-basierendes Zoning ziemlich sicher. Wenn jedoch an einem Port ein Gerät gewechselt wird, bleibt die Zone dem Port zugeordnet – und nicht dem Gerät. Auf den WWN basierendes Soft-Zoning bietet die Flexibilität, dass Zonen den Geräten folgen; es kann jedoch auch ausgetrickst werden, so dass Storage-Daten umgeleitet werden, wenn eine gültige WWN in einen Frame eingefügt wird. Zoning kann derartige Eingriffe nicht überwachen und unterstützt keine integrierte Verschlüsselung.

Port-Binding

Um Endgeräte innerhalb einer Fabric abzusichern gibt es weitere Mittel. Das sogenannte Port-Binding baut eine feste Verbindung zwischen einem Switch-Port und dem angehängten Server oder der Speichereinheit auf. Lediglich ausgewiesene Geräte sind dabei für bestimmte Ports zulässig. Das Vertauschen von Geräten an einem Port zieht eine Blockade desjenigen Ports nach sich, an dem das ersetzte Endgerät hängt. Damit bietet Port-Binding eine autorisierte und sichere Verbindung zwischen Fabric und Endgerät.

Fabric-Binding

Auf einem höheren Level könnte es auch wünschenswert sein, Verbindungen zwischen mehreren Switches zu sichern. Fibre-Channel-Switches erweitern automatisch die Fabric, wenn neue Switches eingegliedert werden. Sind zwei Switches über Inter-Switch-Links (ISLs) miteinander verbunden, tauschen sie automatisch Protokolle, Zoning-Informationen und Routing-Tabellen aus. Auch wenn dies in einigen Umgebungen akzeptabel ist, ist es generell aus Sicherheitsgründen bedenklich. Möchte jemand die Fabric ausspionieren, könnte er einfach einen zusätzlichen Switch einfügen und so Zugang zum SAN bekommen. Werden feste Beziehungen zwischen den Switches im Netzwerk etabliert, können lediglich autorisierte ISLs als einheitliche Fabric kommunizieren. Jeglicher Versuch, neuen Switches weitere ISLs hinzuzufügen, wird blockiert. Fabric-Binding stellt sicher, dass jede Veränderung am SAN nur unter Kontrolle des Administrators geschehen kann.

LUN-Masking

Eine weitere Methode, für Storage-Ressourcen ein Grundmaß an Sicherheit zu bieten, ist das Logical-Unit-Number-Masking (LUN). Dieses begrenzt den Zugriff auf Storage, indem für den Server ausschließlich diejenigen logischen Einheiten sichtbar sind, auf die er auch zugreifen darf. Unterstützt etwa ein großer Speicher-Array zehn LUNs, darf der Server nur eine verfügbare LUN »sehen«. Die anderen neun sind für ihn unsichtbar und werden in der Regel unterschiedlichen Servern zugeordnet. LUN-Masking ist ein Mittel, um den Speicherbestand auf autorisierte Server zu verteilen und zu verhindern, dass ein Server unbeabsichtigt oder mit Vorsatz auf nicht autorisierte Ressourcen zugreift. Ohne LUN-Masking könnte etwa ein Windows-Server über die Fabric verfügbare Ressourcen erfragen und sich Speicher-LUNs aneignen, die zuvor einem Solaris-Server zugeteilt waren. Da Windows in seine LUNs störende Signaturen schreibt, würde dies die Solaris-Daten unlesbar machen.

Sicherheitsoptionen für IP-SANs

Der Vorteil davon, wenn IP-Storage-Switches sowohl als Fibre-Channel- als auch als Gigabit-Ethernet/IP-Switches funktionieren, besteht darin, dass sie grundlegende Zoning- und LUN-Masking-Fähigkeiten von Fibre-Channel mit zusätzlichen Sicherheitsfunktionalitäten aus dem Bereich der IP-Netzwerke vereinen. Sie unterstützen Port- und WWN-Zoning für die Anbindung an Fibre-Channel-Endgeräte ebenso wie LUN-Masking. Darüber hinaus sind diese Switches interoperabel mit IP-Sicherheitslösungen, die Authentifizierung und technische ausgefeilte Verschlüsselungen bieten.

SAN-Routing

SAN-Routing ist eine weitere Absicherungsmöglichkeit für Storage-Operationen. SAN-Routing kann sowohl im Rechenzentrums für den Aufbau großer, stabiler Speichernetze als auch für Speicheranwendungen über große Entfernungen hinweg eingesetzt werden. Da Fibre-Channel-SANs für die Erweiterung des Netzwerks Protokolle zum Fabric-Aufbau nutzen, entsteht ein flaches, logisches Netzwerk, wenn ein Switch mit einem anderen verbunden wird. Wie bei überbrückten LANs wächst eine FC-Fabric entsprechend weiter, wenn zusätzliche Switches dazukommen. Sie wird außerdem anfälliger bei Rekonfigurationen.

Fällt etwa ein Switch innerhalb der Fabric aus, kann es passieren, dass sich alle anderen Switches einem potentiell störenden Fabric-Wiederaufbau unterziehen müssen. Ebenso können Zustandsänderungen laufende Storage-Transaktionen dadurch stören, dass sie von Switch zu Switch weitergeleitet werden. Damit ist die Fabric anfällig für Denial-of-Service-Attacken (DoS), wenn jemand absichtlich Fehler verursacht, so dass Rekonfigurationen der Fabric ausgelöst werden.

Rekonfigurationen in der Fabric können beim SAN-Routing dadurch verhindert werden, dass Störungen zwischen den Switches isoliert werden. Agiert etwa ein IP-Storage-Switch zwischen den Teilbereichen des SANs wie ein Router und leitet ausschließlich autorisierten Storage-Verkehr zwischen den einzelnen SANs weiter, bleibt dabei jedes SAN-Segment unabhängig und eine Störung in einem Bereich kann sich nicht auf andere Switches ausweiten. DoS-Angriffe werden somit begrenzt und können sich nicht auf das gesamte Netzwerk auswirken.

iSCSI-LUN-Mapping

Möglich ist auch die Unterstützung von LUN-Mapping und LUN-Masking für iSCSI-Geräte, die an FC-SANs angeschlossen sind. iSCSI-LUN-Mapping ist eine Technik zur erweiterten Kontrolle über den Storage-Bestand. Außerdem lässt sich damit eine autorisierte Verbindung über unterschiedliche Transportprotokolle etablieren. Der Administrator kann mit LUN-Mapping die LUNs neu zuweisen, um den Anforderungen bestimmter Server gerecht zu werden. Die LUN 5 eines RAIDs kann einem iSCSI-Server beispielsweise als eine LUN 0 dargestellt werden, so dass er unter strikterer administrativer Kontrolle von Platte booten kann. Zentralisiertes Management und LUN-Mapping können sicherstellen, dass Server lediglich ihre autorisierten Systemparameter und Anwendungen laden und – in Verbindung mit LUN-Masking – nur auf ausgewiesene Speicherressourcen zugreifen.

Internet-Storage-Name-Service

Der von der IETF anerkannte Internet-Storage-Name-Service, kurz iSNS, ist ein Protokoll zur Erkennung von Endgeräten und für das Management in Netzwerken, die aus iSCSI und iFCP bestehen. iSNS kombiniert Features von FC-Simple-Name-Server (SNS) mit Fähigkeiten von IPs Domain-Name-Server (DNS). Integraler Bestandteil von iSNS ist der Public/Private-Key-Austausch, so dass Speichertransaktionen innerhalb von IP-SANs authentifiziert und die Daten gesichert werden. Die ursprünglich von Nishan Systems entwickelte Lösung wird von Microsoft und anderen Anbietern als Managementlösung für iSCSI- und IP-Storage-Umgebungen befürwortet.

Fazit

Für Fibre-Channel- und IP-SANs sind bereits heute hochentwickelte Sicherheitslösungen, wie etwa die »SANtegrity Security Suite« von McData, verfügbar. Storage-Verantwortliche können auf der Basis von Standardfunktionalitäten hochsichere, zertifizierte Storage-Lösungen im Rechenzentrum, MAN oder WAN einsetzen. Kombiniert mit dem entsprechenden Support für Endgeräte und Fabrics sowie erweiterten Features für das Wide-Area-IP-Storage-Networking ist es für die Anwender einfacher, sichere Storage-Lösungen in ihren Netzwerken nutzen. Tom Clark, Director SAN Solutions Technology bei McData