Bundesamt für Sicherheit in der Informationstechnik

M 2.528 Planung der sicheren Trennung von Mandanten in Speicherlösungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Für viele Institutionen ist Mandantenfähigkeit eine wesentliche funktionale Eigenschaft von Speicherlösungen. Sofern die Anforderung zur Trennung von Mandanten in Speicherlösungen vorhanden ist, sollten Institutionen daher Maßnahmen ergreifen, um diese sicher zu gestalten.

Im Hinblick auf die Planung eines Speichersystems ist grundsätzlich zu hinterfragen, in welcher Form und in welchem Umfang die Mandantenfähigkeit (multi-tenancy) bei Einsatz dieser Lösung bereits durch den Hersteller umgesetzt ist. Viele Anbieter von Speicherlösungen werben damit, dass die von ihnen angebotenen Produkte mandantenfähig sind. Nicht immer versteht ein Anbieter dabei allerdings unter Mandantenfähigkeit jene Funktionalität, die den Anforderungen der Institution entspricht.

Die Realisierung von Speicherlösungen, wie sie in typischen Serviceprovider-Umgebungen anzutreffen sind, bedingt beispielsweise, dass die Daten unterschiedlicher Anwender über die Applikationsisolation hinaus sicher voneinander getrennt sind.

Es ist daher darauf zu achten, dass die Hersteller bei der technischen Realisierung der von ihnen angebotenen Mandantenfähigkeit zumindest eine der nachfolgend beschriebenen Varianten zur Verfügung stellen.

  • Im Block-Storage-Umfeld muss die Trennung von Mandanten mithilfe des LUN Maskings sichergestellt werden können. Die Managementkomponente der Speicherlösung sollte entsprechende Konfigurationsmöglichkeiten zur Verfügung stellen.
  • In Fileservice-Umgebungen sollte die Möglichkeit bestehen, mit virtuellen Fileservern (auch unter diversen Herstellerbezeichnungen wie vFiler, virtuelle Datamover etc. bekannt) zu agieren. Diese bieten die Möglichkeit, jedem Mandanten einen eigenen Fileservice zuzuordnen. Virtuelle Fileserver bieten die Möglichkeit, als gekapselte Umgebung administriert zu werden. Für den Einsatz in hochverfügbaren Umgebungen können virtuelle Fileserver in dieser Form mit all ihren Eigenschaften von einem Rechenzentrum ins andere gespiegelt werden. So kann die sichere Trennung von Mandanten auch nach dem Ausfall einer Speicherlösung oder einzelner Komponenten aufrechterhalten werden.
  • Bei höherem Schutzbedarf sollte die Möglichkeit bestehen, Mandanten, also internen oder externen Anwendern, Speicherressourcen aus unterschiedlichen sogenannten Speicher-Pools zur Verfügung zu stellen. Dazu werden verschiedene, physisch voneinander getrennte, Speichermedien zu einem Speicher-Pool zusammengefasst. Ein Speichermedium darf dabei immer nur einem einzigen Pool zugewiesen werden. Die logischen Festplatten ( LUN s), die aus einem solchen Pool generiert werden, dürfen in der Folge nur einem einzigen Mandanten zugeordnet werden. Der Zugriff eines Mandanten auf die Speichermedien eines anderen Mandanten ist damit nicht möglich.

Neben der Umsetzung der Mandantentrennung über Funktionen, die direkt durch die Speicherlösung zur Verfügung gestellt werden, besteht auch die Möglichkeit, die sichere Trennung von Mandanten über Maßnahmen auf Netzebene vorzunehmen. Beim Einsatz von IP , iSCSI und FC- SAN kann die technische Trennung von Mandanten über eine Segmentierung im Netz vorgenommen werden.

  • Im IP - und iSCSI -Umfeld kann dies durch physisch getrennte Netze oder auch durch die Einführung von VLAN s sichergestellt werden. Weitere Informationen hierzu finden sich in M 5.77 Bildung von Teilnetzen und M 5.62 Geeignete logische Segmentierung .
  • Im FC-Umfeld kommt meist nur ein zentrales redundantes Netz zum Einsatz. Nur in Ausnahmefällen wird hier eine physische Trennung der Netze realisiert. Die Separierung wird in Regel unter Zuhilfenahme von VSANs und Soft Zoning sichergestellt. Hard Zoning kommt üblicherweise heute eher selten zum Einsatz, da die höhere Sicherheit, durch die feste Zuordnung von Speichermedien an ein bestimmtes Netz, die in SAN-Umgebungen benötigte Flexibilität einschränkt. Weitere Informationen hierzu können M 5.130 Absicherung des SANs durch Segmentierung und M 4.447 Sicherstellung der Integrität der SAN-Fabric entnommen werden.
  • Zusätzliche Maßnahmen bei hohem Schutzbedarf:
    Besteht hoher Schutzbedarf, insbesondere hinsichtlich der Vertraulichkeit, ist zu empfehlen, die Einführung von Verschlüsselung und ein entsprechendes Schlüsselmanagement zu prüfen. Verschlüsselung kann dabei auf unterschiedlichen Ebenen eingeführt werden. Nähere Angaben hierzu finden sich unter anderem in M 4.448 Einsatz von Verschlüsselung für Speicherlösungen .

Prüffragen:

  • Sind die Anforderungen an die Mandantentrennung nachvollziehbar dokumentiert?

  • Erfüllen die eingesetzten Methoden zur Mandantentrennung die dokumentierten Anforderungen?

  • Wird im Block-Storage-Umfeld LUN Masking zur Mandantentrennung eingesetzt?

  • Wird beim Einsatz von virtuellen Fileservern jedem Mandanten ein eigener Fileservice zugeordnet?

  • Wird beim Einsatz von IP, iSCSI und FC-SAN eine Trennung der Mandanten über eine Segmentierung im Netz vorgenommen?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK