Bundesamt für Sicherheit in der Informationstechnik

M 2.359 Überwachung und Verwaltung von Speicherlösungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um Fehlersituationen und Sicherheitsprobleme zeitnah erkennen und beheben zu können, ist es notwendig, den laufenden Betrieb von Speicherlösungen zu überwachen. Voraussetzung für eine solche Überwachung ist die Möglichkeit, Daten von verschiedenen Quellen (Server, Switches, Speichersysteme usw. ) auszuwerten.

Eine Speicherlösung besteht aus einer Vielzahl von Komponenten, die zu überwachen sind:

  • Daten über den Zustand der Hardware der Speicherlösung,
  • Daten zur Auslastung der Speicherlösung und
  • Daten über die Netzinfrastruktur ( IP und FC)

Alle Daten sollten dabei vorrangig daraufhin geprüft werden, ob die Vorgaben des Betriebshandbuchs umgesetzt bzw. eingehalten werden.

Eine effiziente Analyse der Daten ist in der Regel nur realisierbar, indem spezielle Anwendungen zum automatisierten Monitoring und Reporting eingesetzt werden. Dabei muss eine Vielzahl von Daten gesammelt und ausgewertet werden. Daher sollte unter anderem durch Einsatz oder Nutzung eines NTP -Servers eine einheitliche Datums-/Uhrzeiteinstellung auf allen Geräten erzwungen werden. Wichtige Nachrichten, die auf Basis von SNMP gesendet werden, können durch den Einsatz von Nachrichtenfiltern herausgefiltert und somit schneller erkannt werden.

Spezielle Produkte zur Überwachung ermöglichen je nach Ausprägung sowohl eine Statusüberwachung als auch die Anpassung von Einstellungen in Echtzeit. Der Netzadministrator kann bei auftretenden Problemen automatisch gewarnt werden, bevor diese zu Ausfällen führen.

Die Überwachung von Ereignissen der gesamten Speicherlösung (FC/IP-Ports, Netz- und Speichersysteme) und Umgebungsparameter gestattet eine frühzeitige Fehlererkennung und -isolierung sowie eine Indikation der Verfügbarkeit und Leistungsfähigkeit der gesamten Umgebung.

In diesem Zusammenhang müssen folgende Komponenten überwacht werden:

  • Die Anwendungen, die in einer Speicherlösung Daten verarbeiten oder eine Hilfsfunktion haben. Dazu gehören die Sicherungssoftware und auch Antiviren-Software
  • Die Menge der Nutzdaten, die von Anwendungen verarbeitet und dann über das Speichernetz vom Server auf Speichersysteme transportiert werden (Kapazitätsmanagement)
  • Die Netzhardware, die für den Transport der Daten benötigt wird
  • Die Speicherhardware (Plattensysteme, Bandlaufwerke), die zur Speicherung der Daten benötigt wird
  • Das Netz - Bei einem NAS -System ist das TCP / IP -Netz zu überwachen, bei einem SAN das speicherinterne Netz und zudem das zusätzlich zur Steuerung und Verwaltung genutzte lokale Netz.

Eine erweiterte Möglichkeit der Überwachung von Speicherlösungen bietet der Einsatz sogenannter Security Information and Event Management-Lösungen (SIEM). Diese sind in der Lage, Ereignis-, Bedrohungs- und Risikodaten zusammenzufassen. Auf dieser Basis können sie Sicherheitsinformationen liefern und schnelle Reaktionen auf Sicherheitsvorfälle sowie die Protokollverwaltung und Erzeugung von Compliance-Berichten sicherstellen.

Neben der Überwachung der Ressourcen sollte auch die Verwaltung einzelner Komponenten und des Gesamtsystems von zentraler Stelle aus möglich sein. Systeme, die eingesetzt werden, um die Speicherlösungen zu steuern oder zu kontrollieren, werden oft als Speichermanagementsysteme bezeichnet. Idealerweise verfügen Managementsysteme über die Möglichkeit, auf eine Reporting-Historie zuzugreifen. Auf diesem Weg können Ereignisse und Störungen, die in der Vergangenheit liegen, nachträglich untersucht werden und entsprechende Erkenntnisse der Stabilisierung des Gesamtsystems dienen.

NAS -Management

Die Überwachung von reinen NAS -Lösungen ist häufig besonders einfach gestaltet. Auch wenn das System scheinbar "wartungsfrei" erscheint, ist es nötig, technische und/oder organisatorische Überwachungsmaßnahmen zu etablieren. Nach Möglichkeit sollte die NAS -Lösung in ein einfaches Netzmanagementsystem eingebunden werden, um mindestens zu kontrollieren, ob die NAS -Lösung verfügbar ist und hinreichend Speicherkapazität aufweist.

SAN -Management

Bei der Überwachung von SAN -Lösungen stehen die Mechanismen des "In-Band-Managements" und des "Out-of-Band-Managements" zur Verfügung.

In-Band-Management findet auf den Schnittstellen und Netzen statt, die dem Datentransport zwischen den SAN -Geräten dienen. Die Möglichkeiten der Konfiguration und der Überwachung sind beim In-Band-Management häufig weitreichender und komfortabler, da die zugrunde liegende Software produktnah ist und Hersteller hier Alleinstellungsmerkmale suchen.

Das Out-of-Band-Management benutzt dagegen zusätzliche Schnittstellen, üblicherweise TCP / IP -Netzanschlüsse. Als Protokoll zur Informationsgewinnung ist SNMP weit verbreitet. Out-of-Band-Management bietet die üblichen Standards und erleichtert die Kombination von Produkten unterschiedlicher Hersteller.

Da als Protokoll beim Out-of-Band-Management oft noch die wenig sichere SNMP Version 1 genutzt wird, ist ein separates abgeschottetes Management- LAN zu betreiben (siehe M 2.357 Aufbau eines Administrationsnetzes für Speichersysteme ). Grundsätzlich sollen auch innerhalb dieses Netzes nur sichere Protokolle ( SSH statt telnet , HTTPS statt HTTP ) zur Administration genutzt werden. Die zumindest logische, wenn nicht gar physische Trennung dieses Administrationsnetzes vom Produktionsnetz macht jedoch den Einsatz unsicherer Protokolle tolerierbar.

Bei höheren Anforderungen an die Verfügbarkeit der Managementlösung sollte eine Kombination der beiden dargestellten Varianten gewählt werden. Wenn sowohl In-Band- als auch Out-of-Band-Management und Überwachung im Einsatz sind, erleichtert und beschleunigt die zusätzliche Netzanbindung die Überwachung und Diagnose von Problemen, erhöht jedoch auch den Betriebsaufwand.

Zentrale Kontrolle

In größeren Installationen, vor allem bei Speicherlösungen mit verschiedenen Standorten der Komponenten, sollte eine zentrale Stelle existieren, an die alle für den Betrieb wichtigen Informationen gemeldet werden. Der Einsatz von Programmen, die das Geschehen übersichtlich grafisch darstellen können, ist ratsam.

Ein solches Managementsystem stellt die Schnittstelle zu einem komplexen System dar. Es kann nur von hinreichend geschultem Personal effizient genutzt werden.

Sofern eine Speicherlösung durch einen externen Dienstleister betrieben wird, sind in Abhängigkeit der Vertragsgestaltung Service Level Agreements ( SLA s) geschlossen worden. In diesem Fall sollte eine Institution Festlegungen treffen, wie die Einhaltung dieser vertraglichen Regelungen überwacht werden kann ( z. B. durch regelmäßiges Reporting und Kontrolle) bzw. welche Informationspflichten für den Dienstleister mit diesen einhergehen.

Prüffragen:

  • Gibt es dokumentierte Festlegungen und Prozesse zur Überwachung und Verwaltung der Speicherlösung?

  • Gibt es eine zentrale Stelle, an die Informationen unterschiedlicher Speicherlösungen gemeldet werden?

  • Sind Nachrichtenfilter im Einsatz, um die wesentlichen Nachrichten herauszufiltern und besser darzustellen?

  • Sind Festlegungen getroffen und dokumentiert wurden, die die Überwachung vertraglich vereinbarter SLAs mit dem Dienstleister regeln?

Stand: 14. EL Stand 2014