Bundesamt für Sicherheit in der Informationstechnik

M 2.351 Planung von Speicherlösungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Die grundsätzliche Entscheidung, welche Art von Speicherlösung angemessen für die Institution ist, muss durch eine Anforderungsanalyse getroffen werden. Zunächst ist festzustellen, welche Anwendungen von der Speicherlösung zukünftig unterstützt werden sollen und welche vorhandene Hardware durch eine neue Speicherlösung unterstützt oder abgelöst werden soll.

Maßgebliche Kenngrößen sind die Anforderungen an Verfügbarkeit, Performance und Kapazität. Bei normalen Verfügbarkeitsanforderungen sollte zudem geprüft werden, welche Komplexität für die Institution tragbar ist. Die Einführung von SAN -Lösungen bedeutet, dass eine neue Basistechnik eingeführt wird. Damit ist ein entsprechender Aufwand zur Planung und Einführung dieser Technik zu kalkulieren. Beim geplanten Einsatz von Speicherlösungen in virtualisierten Serverumgebungen sind beispielsweise zusätzliche Aspekte wie die Gewährleistung einer eineindeutigen WWN - oder Netzadressvergabe zu beachten, deren Umsetzung zusätzlichen Aufwand generiert.

NAS -Lösungen sind besonders auf die einfache Integration in etablierte IT-Umgebungen und auf den dateiorientierten Zugriff ausgerichtet. Ihr Einsatz ist daher dann angezeigt, wenn Dateien und dateiorientierte Anwendungen auf zentrale hochwertigere, aber dennoch eher einfach zu administrierende Speicherlösungen konsolidiert werden sollen.

Wenn kurzfristig Speicherplatz auf Servern durch zentralen Speicher ersetzt werden soll, langfristig jedoch höhere Verfügbarkeitsanforderungen zu erwarten sind, kann auch der Einsatz von Speicherlösungen erwogen werden, die eine Mischform von SAN und NAS darstellen. Sogenannte Hybrid-Speicherlösungen lassen sich in erster Ausbaustufe als (sehr hochwertige) NAS -Lösungen betreiben. Durch Aufrüstung interner Komponenten können sie zu SAN -Lösungen für weitere Server und bei Bedarf zu redundanten Speichernetzen ausgebaut werden.

Wenn die Schutzbedarfsfeststellung für eines dieser betrachteten Systeme sofort oder in absehbarer Zukunft ergibt, dass hoher oder sogar sehr hoher Schutzbedarf in Bezug auf Verfügbarkeit vorliegt, sodass eine redundante Datenspeicherung an verschiedenen Standorten erforderlich ist, dann sollte SAN -Technik eingesetzt werden. In diesem Fall sollte dringend darauf geachtet werden, dass die Speicherlösung SAN -Protokolle unterstützt. Mit dieser Technik lassen sich vollständig redundante und hochverfügbare Speicherlösungen aufbauen.

Die Entscheidung für den Einsatz einer bestimmten Speicherlösung, beispielsweise NAS oder SAN , ist auf geeignete Weise zu dokumentieren. Innerhalb der Institution empfiehlt sich daher bereits im Verlauf der Planungs- und Konzeptionsphase einer Speicherlösung die Erstellung eines fachlichen Grobkonzeptes. Dieses sollte alle Aspekte betrachten, die Gegenstand dieser Maßnahme sind, also unter anderem die Anforderungen an die Speicherlösung, die Auswahl von Hardware und Lieferanten, Planung der Infrastruktur etc. Darüber hinaus ist ein Sicherheitskonzept für den Einsatz von Speicherlösungen zu erstellen.

Es ist ebenfalls im Rahmen der Planung zu regeln, wie die aufzubauende Speicherlösung in die bestehenden Betriebsprozesse integriert werden kann. Auf diesem Weg ist bereits zu einem frühen Zeitpunkt erkennbar, wie bestehende Prozesse angepasst und verändert werden müssen. Verzögerungen in der Umsetzungs- und Betriebsphase können damit vermieden oder zumindest reduziert werden.

Sofern nicht bereits an einer übergeordneten Stelle erfolgt, sollte im Rahmen der Planungsaktivitäten einer Speicherlösung auch festgehalten werden, wie mit der Versionierung eingesetzter Software zu verfahren ist. Dies verhindert spätere Verstöße gegen bestehende Kompatibilitätsmatrizen und bietet der Institution bei Bekanntwerden von Schwachstellen oder kritischen Fehlern die Möglichkeit, schnell zu erkennen, ob Handlungsbedarf besteht.

Auswahl der Hardware

Entscheidende Kenngrößen bei der Auswahl der Speicherlösung sind:

  • der derzeitige und der prognostizierte Bedarf an Speicherplatz, der durch Anwendungen definiert wird (Kapazitätsanforderungen),
  • die Anforderungen der Anwendungen an die Geschwindigkeit der Speicherzugriffe (Performanceanforderungen),
  • die Anforderungen an die Ausfallsicherheit für die Anwendungen (Verfügbarkeitsanforderungen),
  • die Anforderungen an die Vertraulichkeit und Integrität der zu verarbeitenden Daten als Entscheidungsgrundlage für den möglichen Einsatz hardwarenaher Verschlüsselungsmechanismen (Sicherheitsanforderungen)
  • Möglichkeit zum Einsatz von Secure Operating Systemen. Solche speziellen Betriebssysteme können die Komplexität von Sicherheitskonfigurationen reduzieren und zudem dazu beitragen, den manuellen Verwaltungsaufwand und die Fehlerwahrscheinlichkeit zu senken.

Es ist für die Planung von Speicherlösungen zu erfassen, welche Geschäftsprozesse und Anwendungen in der Institution die Speicherlösung sofort und in Zukunft nutzen werden und welche Anforderungen bezüglich des Wachstums des Speicherbedarfs, der Performance und der Ausfallsicherheit dadurch gestellt werden. Bei einer solchen Prognose sollte beachtet werden, dass eine solche Schätzung stets sehr großzügig erfolgen sollte. Es zeigt sich immer wieder, dass auch großzügige Schätzungen des zukünftigen Speicherbedarfs in kurzer Zeit von den tatsächlichen Anforderungen übertroffen werden.

Bei der Planung von Speicherlösungen muss auch die erforderliche Datensicherung mit einbezogen werden, denn die Abschätzung des Speicherbedarfs bestimmt auch, wie die Datensicherungsumgebung ausgelegt werden muss. Hierbei muss sichergestellt werden, dass auch nach Ausbau der Speicherlösung mit den angeschlossenen Datensicherungsgeräten die Zeiten für Datensicherung und auch für das Wiedereinspielen einer Datensicherung eingehalten werden können, die den Verfügbarkeitsanforderungen der betroffenen Organisationseinheiten genügen.

Anforderung der Anwendungen

Speicherlösungen dienen üblicherweise einer Vielzahl von Servern und damit von Anwendungen zur Speicherung ihrer Daten. Die Anforderungen an die Speicherlösung in Bezug auf Verfügbarkeit, Integrität und Vertraulichkeit werden durch die Anwendung mit dem höchsten Schutzbedarf definiert.

Bei der internen technischen Auslegung eines SAN s ist zu prüfen, ob die Verfügbarkeitsanforderungen der Institution an das SAN nahelegen, eine desastertolerante Auslegung (M 2.354 Einsatz einer hochverfügbaren SAN-Lösung ) zumindest in die Planungen einzubeziehen.

Wenn die Institution Anwendungen betreibt, die besonders hohe Anforderungen an die Vertraulichkeit der Daten stellen, so ist in die Planungen einzubeziehen, dass die Daten sowohl während des Transports im SAN als auch auf den Speichermedien durch Verschlüsselung geschützt werden. Dies ist im Rahmen der ergänzenden Sicherheitsanalyse und Risikoanalyse zu betrachten.

Auswahl von Produkten/Herstellern/Lieferanten

Der Einsatz von Produkten verschiedener Generationen oder von verschiedenen Herstellern erhöht im Allgemeinen die Komplexität des Gesamtsystems und kann unter Umständen zu Problemen führen. Daher ist es ratsam, eine Homogenität der Systeme anzustreben. Auch bei der Auswahl der Vertragspartner sollte berücksichtigt werden, dass Probleme, die beim Aufbau, Test und Betrieb entstehen können, in der Regel schneller und effektiver beseitigt werden, wenn nur ein Anbieter involviert ist.

Auf der anderen Seite kann eine starke Abhängigkeit von bestimmten Herstellern oder Lieferanten auch Probleme verursachen. Meistens spielen außerdem auch wirtschaftliche Aspekte bei der Auswahl der Produkte eine wichtige Rolle. Alle diese Faktoren sollten bei der Planung von Neubeschaffungen berücksichtigt werden. Als weiterer Punkt muss beachtet werden, dass Hersteller meistens die einwandfreie Funktion ihrer Lösungen nur für bestimmte Zusammenstellungen von Hard- und Software garantieren und durch Supportleistungen unterstützen. Daher ist es ratsam, auf die Interoperabilitätszertifizierung der Hersteller im Hinblick auf die Einsatzumgebung ihrer Produkte und auf weitergehende verbindliche Aussagen zur Kompatibilität und Interoperabilität von Produkten zu achten. Oft veröffentlichen Hersteller in diesem Zusammenhang sogenannte Kompatibilitätsmatrizen.

Hersteller von Speicherkomponenten erbringen Supportleistungen häufig auch über einen Fernwartungszugang. Bei der Auswahl eines Herstellers sollten die Vorgaben des Herstellers hinsichtlich erforderlicher Wartungsarbeiten ermittelt werden. Ist eine Fernwartung vorgesehen, besteht für die Institution die Notwendigkeit zur Absicherung des Zugangs (M 5.33 Absicherung von Fernwartung ). Insbesondere sollten die rechtlichen Randbedingungen des Landes beachtet werden, aus dem die Fernwartung erbracht wird, da es sein kann, dass Sicherheitsbehörden wie Nachrichtendienste die Zugangsdaten erhalten können, ohne dass dies dem SAN -Betreiber mitgeteilt wird. Bei weitergehenden Fragen zur Spionageabwehr sollte der Kontakt zu den Verfassungsschutzämtern des Bundes oder der Länder aufgenommen werden.

Einsatz zentraler Managementsysteme

Der Einsatz einer gemeinsamen Managementapplikation für die zentrale und einfache Überwachung und Verwaltung von Ressourcen vereinfacht die Administration der Speicherlösung. Insbesondere für größere Speicherlösungen ist der Einsatz eines zentralen Verwaltungssystems für eine effiziente Speicherverwaltung unumgänglich. Der Einsatz von proprietären Verwaltungsmechanismen bei den verschiedenen Produkten machte es bisher schwierig, ein zentrales Management in heterogenen Speicherumgebungen umzusetzen.

Die Verabschiedung des SMI-S (Storage Management Initiative Specification) Standards durch die SNIA (Storage Network Industry Association) bietet Herstellern von Storagekomponenten die Möglichkeit, ihre Produkte auf einfache Weise an zentrale Verwaltungssysteme anzubinden. Daneben bietet SMI-S einen Weg, über heterogene Netze hinweg, Basisfunktionen wie beispielsweise Storage-Provisionierung oder LUN Masking einzusetzen.

Die Version 1.6 von SMI-S beinhaltet zahlreiche Sicherheitsvorgaben, die sich hauptsächlich auf die Gewährleistung von Authentisierungsmechanismen und die Sicherstellung der Vertraulichkeit beziehen. Die Betrachtung weiterer Sicherheitsziele befindet sich in Entwicklung. Die SNIA stellt jeweils detaillierte technische Dokumentationen aller bisherigen Versionen von SMI-S zur Verfügung.

Die SNIA stellt weiterhin Informationen darüber bereit, wie ein gewählter Hersteller SMI-S -konforme Hard- oder Software anbieten kann. Diese Angaben sollten entsprechend bei der Planung der Speicherlösung berücksichtigt werden.

Bei der Planung des Einsatzes von SMI-S sollten mindestens folgende Sicherheitsmechanismen für die Kommunikation zwischen Managementsystem und Speicherlösung eingesetzt werden:

  • Verschlüsselung: Einsatz sicherer Verschlüsselungsmechanismen zur vollständigen Verschlüsselung der Kommunikation (siehe Maßnahme M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens )
  • Authentisierung: Empfohlen wird der Einsatz von HTTP Digest Access Authentication. HTTP Basic Authentication sollte nur eingesetzt werden, wenn die Authentisierung bereits über HTTPS oder eine andere Verschlüsselungsmethode geschützt wird.

Planung des Netzanschlusses

Die interne Vernetzung der SAN -Komponenten und die Anbindung an die Server erfolgen üblicherweise durch ein eigenes Fibre-Channel-Netz. Auch wenn iSCSI genutzt wird, ist aus Gründen der Betriebssicherheit hierfür ein eigenes Netz aufzubauen.

Wenn zur Verwaltung und Kontrolle von NAS -Lösungen oder SAN -Komponenten (Speichergeräte, SAN -Switches etc.) der Anschluss dieser Geräte an ein LAN erforderlich ist, sollte dieses LAN als separates Administrationsnetz betrieben werden. Damit werden folgende Schutzziele verfolgt:

  • Administrative Daten und Aktionen können nicht von beliebigen Benutzern belauscht werden.
  • Es können Protokolle (insbesondere SNMP Version 1) eingesetzt werden, die bekannt unsicher sind, aber mangels verfügbarer Alternativlösungen zur Überwachung des Betriebs eingesetzt werden müssen.
  • Die Rechteverwaltung innerhalb eines solchen Netzes wird übersichtlicher.
  • Besondere Kontrollmaßnahmen wie Intrusion-Detection-Systeme können übersichtlicher und effizienter gestaltet werden.

Der Einsatz unsicherer Protokolle sollte vermieden werden und stattdessen SNMP ab Version 3 eingesetzt werden. In der Praxis werden jedoch noch immer Systeme eingesetzt, die Version 3 nicht unterstützen und die daher auf ältere Protokollversionen angewiesen sind. In diesem Fall entstehen zusätzliche Risiken, denen sich die Verantwortlichen bewusst sein müssen. Diese unsicheren Protokolle sollten nur innerhalb eines separaten abgeschotteten Administrationsnetzes eingesetzt werden. Dies sollte aber höchstens eine mittelfristige Übergangslösung darstellen, langfristig sollten nur noch Geräte eingesetzt werden, die SNMP -Protokolle ab Version 3 unterstützen.

Infrastruktur

Bevor ein SAN angeschafft und in Betrieb genommen wird, müssen verschiedene infrastrukturelle Aspekte in die Planungsmaßnahmen mit aufgenommen werden.

Der Standort der Komponenten eines SAN s muss in einem zutrittsgeschützten Serverraum oder einem Rechenzentrum geplant werden. Empfehlungen für die Infrastruktursicherheit von Serverräumen finden sich in Baustein B 2.4 Serverraum , die Anforderungen an Rechenzentren in Baustein B 2.9 Rechenzentrum .

Neben der allgemein geschützten Aufstellung sollte auch überprüft werden, ob die Klimatisierung des gewählten Standorts und die Stromversorgung dort den technischen Anforderungen und der angestrebten Verfügbarkeit der Speicherlösung entsprechen. Die Stationierung der einzelnen Komponenten des SAN -Systems ist sorgfältig zu planen. So sollte sorgfältig geprüft werden, wo Sicherungsgeräte, die regelmäßige oder gelegentliche manuelle Eingriffe erfordern ( z. B. Entnahme oder Wechsel von Bandkassetten) zweckmäßig und unter Beachtung aller Sicherheitsanforderungen aufgestellt werden können.

Ebenso ist bei räumlich verteilten SAN -Konfigurationen zu prüfen, ob alle Geräte permanent mit Strom versorgt werden können. Es kann nötig sein, einen SAN -Switch in einem normalen Verteilerraum zu installieren, um extern stationierte Server anzuschließen. Dieser Raum ist dann, ebenso wie die Server, in die Energieversorgung über USV und Netzersatzanlage einzubinden. Weitere Maßnahmen zur Notfallvorsorge bei SAN finden sich in Maßnahme M 6.98 Notfallvorsorge und Notfallreaktion für Speicherlösungen .

Prozesse

Die Speicherlösung ist als zentrale IT-Komponente in alle Steuerungsprozesse der IT zu integrieren. Insbesondere Überwachungs- und Eskalationsverfahren sind innerhalb der vorhandenen Betriebsabläufe auf den NAS - oder SAN -Betrieb anzupassen. Leistungen des Herstellers zur Überwachung und Betriebssicherung sind in eigene Abläufe einzubeziehen. Dabei sind stets die Vorgaben der Sicherheitsleitlinie und weiterer Ausführungsbestimmungen der Institution zu beachten.

Personal

Es ist zu überprüfen, wie viele Mitarbeiter mit welcher Ausbildung für den Betrieb der Speicherlösung benötigt werden. Stehen nicht genügend ausgebildete Mitarbeiter zur Verfügung, müssen die erforderlichen Schulungsmaßnahmen rechtzeitig initiiert werden.

Prüffragen:

  • Wurde eine Anforderungsanalyse zur Ermittlung der derzeitigen und zukünftigen Anforderungen an Verfügbarkeit, Performance und Kapazität durchgeführt?

  • Wurde die Entscheidung für den Einsatz einer bestimmten Speicherlösung, beispielsweise NAS oder SAN, auf geeignete Weise dokumentiert?

  • Wurde ein Sicherheitskonzept für den Einsatz von Speicherlösungen erstellt?

  • Wurde die Infrastruktur für die Aufstellung von Speichersystemen geprüft und angepasst?

  • Wurden die Überwachungs- und Eskalationsverfahren innerhalb der vorhandenen Betriebsabläufe auf den NAS- oder SAN-Betrieb angepasst?

Stand: 14. EL Stand 2014