Bundesamt für Sicherheit in der Informationstechnik

M 2.529 Modellierung von Speicherlösungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Um eine angemessene Gesamtsicherheit für den IT-Betrieb zu erreichen, muss die gesamte Speicherlösung mit allen Speichersystemen systematisch im Sicherheitskonzept der Institution berücksichtigt werden. In Bezug auf die IT-Grundschutz-Vorgehensweise bedeutet dies insbesondere, dass alle Speicherlösungen in die Strukturanalyse und in die Modellierung einbezogen werden müssen.

Als Modellierung wird in der IT-Grundschutz-Vorgehensweise die Zuordnung von Bausteinen zu den vorhandenen Zielobjekten (IT-Systeme, Anwendungen, Räume etc.) bezeichnet. Grundsätzlich sind zur Modellierung von Speicherlösungen die Hinweise in Kapitel 2.2 der IT-Grundschutz-Kataloge zu beachten. Die Zuordnung der IT-Grundschutz-Bausteine richtet sich in erster Linie nach der Funktion des IT-Systems (Server, Client etc. ), nach dem verwendeten Betriebssystem (Unix, Windows etc. ) und nach den darauf betriebenen Applikationen (Datenbank, Webserver etc. ).

Aufgrund der teils hohen Komplexität moderner Speicherlösungen finden sich in der Folge einige zusätzliche Modellierungshinweise, die auf konkrete Umsetzungsvarianten eingehen.

Modellierung eines Network Attached Storage (NAS)

Network-Attached-Storage-Systeme ermöglichen über die Protokolle NFS (Network File System) oder CIFS (Common Internet File System) Zugriffe auf die Speichersysteme. Der Hauptanwendungsfall eines NAS s besteht darin, Fileserverdienste zur Verfügung zu stellen. Viele Anbieter verwenden deshalb den Begriff "Filer" für solche Systeme.

Für NAS -Lösungen ist daher auch zusätzlich der Baustein B 3.101 Allgemeiner Server anzuwenden.

Modellierung eines Storage Area Network (SAN)

Storage Area Networks (SAN) werden in der Regel durch ein dediziertes Speichernetz zwischen Speichersystemen und angeschlossenen Servern oder Endgeräten geschaffen. SAN s wurden für die serielle, sehr schnelle und kontinuierliche Übertragung großer Datenmengen konzipiert. Sie basieren heute für hochverfügbare, hochperformante Installationen auf der Implementierung des Fibre-Channel- oder IP -Protokolls ( iSCSI ).

Für SAN -Lösungen ist daher auch der Baustein B 4.1 Lokale Netze anzuwenden. Auf die Netzkomponenten des SAN s ( z. B. Fibre-Channel-Switches) ist zusätzlich der Baustein B 3.302 Router und Switches anzuwenden.

Modellierung von Hybrid-Storage- oder Unified-Storage-Lösungen

Eine Speicherlösung, die eine Mischform zwischen NAS und SAN darstellt, wird oftmals als Hybrid-Storage oder kombinierte Speicherlösung (Unified Storage) bezeichnet. Nach außen können sie jedoch sowohl als NAS als auch als SAN betrieben werden. Dieser Mischbetrieb wird durch den Einsatz entsprechender Systemkomponenten und eine entsprechende Konfiguration ermöglicht. So kann sich ein Speichersystem sowohl für einige Anwendungen per Ethernet-Anschluss als "Filer" präsentieren und somit Fileservices über CIFS und NFS zur Verfügung stellen als auch für andere Server per Fibre Channel oder iSCSI Speicherkapazität zugänglich machen.

Für die Mischform zwischen NAS und SAN sind daher die Bausteine B 3.101 Allgemeiner Server und B 4.1 Lokale Netze anzuwenden. Auf die Netzkomponenten des SAN ( z. B. Fibre-Channel-Switches) ist zusätzlich der Baustein B 3.302 Router und Switches anzuwenden.

Modellierung von Speichervirtualisierung

Mit dem Einsatz von Speichervirtualisierung wird dem Speichernetz eine neue virtuelle Schicht hinzugefügt, die die Speicherbereitstellung von den physischen Gegebenheiten abkoppelt. Die Grundlage einer Speichervirtualisierung stellt die Virtualisierungs-Appliance dar. Sie ermöglicht die zentrale Verwaltung aller Speicherbereiche.

Auf die Komponenten der Speichervirtualisierungslösung sind zusätzlich die Bausteine B 3.101 Allgemeiner Server und B 3.304 Virtualisierung anzuwenden.

Modellierung von Objekt-Storage

Objekt-Storage (oftmals auch als "Object-based Storage" bezeichnet) ermöglicht gegenüber den traditionellen blockbasierten und filebasierten Zugriffsmethoden einen objektbasierten Zugriff.

Objektbasierende Speicherlösungen speichern Daten in Verbindung mit den zugehörigen Metadaten auf einem Speichersystem in Form von Objekten und nicht in Form von Dateien. Mittels der Vergabe einer eindeutigen Objekt-ID (Hash-Wert), die in den Metadaten des Objekts festgehalten wird, kann das Objekt eindeutig identifiziert werden. Der Zugriff auf einen objektbasierten Speicher erfolgt über eine führende Anwendung. Die Anwendung greift hierbei über eine spezielle API und deren mögliche Kommandos oder direkt per IP auf den Objekt-Storage zu. Im Falle eines Zugriffs per API muss die führende Applikation die herstellerspezifische API des Objekt-Storage unterstützen. Objekt-Storage wird typischerweise vor allem im Bereich Archivierung, Dokumentenmanagement und beim Ablegen von Objekten in einer Cloud eingesetzt.

Für objektbasierte Speicherlösungen sind daher auch zusätzlich die Bausteine B 3.101 Allgemeiner Server und B 5.24 Web-Services anzuwenden.

Modellierung von Cloud-Storage

Im Zusammenhang mit Weiterentwicklungen im Speicherumfeld etabliert sich zunehmend auch der Begriff des Cloud Storage. Hierunter wird Speicher für die Cloud-Nutzung verstanden. Die Speicherlösung an sich bleibt dabei weitgehend unverändert, jedoch liegt eine von den klassischen SAN - oder NAS -Architekturen abweichende Art des Zugriffs auf die gespeicherten Daten vor. Dieser wird in der Regel mittels Web-Services realisiert.

Eine besondere Herausforderung im Zusammenhang mit Cloud-Storage ist die Mandantenfähigkeit der Gesamtlösung.

Aus Anwendersicht sind daher zusätzlich die Bausteine B 1.17 Cloud-Nutzung und B 5.24 Web-Services (gegebenenfalls zusammen mit B 5.21 Webanwendungen ) zu betrachten.

Aus Betreibersicht ist zusätzlich der Baustein B 5.23 Cloud Management relevant. Während die Funktionsweise und die relevanten Sicherheitsaspekte des Storage-Element-Managers im Baustein B 3.303 Speicherlösungen / Cloud Storage betrachtet werden, behandelt der Baustein B 5.23 Cloud Management die Gesamt-Orchestrierung der Cloud. Da die reibungslose Kommunikation mit dem "Cloud Orchestrator" durch den Storage-Element-Manager sichergestellt wird, entsteht hier die Schnittstelle zum Baustein B 5.23 Cloud Management .

Weitere Hinweise zur Modellierung von Speicherlösungen

Neben den bereits erwähnten Bausteinen sind in Abhängigkeit von der Ausgestaltung der Speicherlösung zusätzlich folgende Hinweise zu beachten:

Datensicherung

Für Datensicherungsgeräte, die an das Speichersystem angeschlossen sind, ist der Baustein B 1.12 Archivierung zu betrachten. Konzeptionelle Aspekte der Datensicherung werden im Baustein B 1.4 Datensicherungskonzept erläutert.

Management von Speicherlösungen

Die Element-Manager von Speicherlösungen oder deren Komponenten stellen in der Regel das zentrale Verwaltungswerkzeug dar, das mithilfe unterschiedlicher Protokolle das Management der Speicherlösung bzw. der zugehörigen Komponenten steuert. Die Funktion und der Aufbau von Element-Managern unterscheidet sich nicht wesentlich von anderen Managementsystemen. Diese lassen sich daher mit den vorhandenen Bausteinen aus den IT-Grundschutz-Katalogen abbilden. Hierzu gehört insbesondere der Baustein B 4.2 Netz- und Systemmanagement sowie systemspezifische Bausteine wie z. B. B 3.101 Allgemeiner Server , B 3.102 Server unter Unix , B 3.108 Windows Server 2003 , B 5.7 Datenbanken und B 5.21 Webanwendungen .

Cloud Storage Gateways

"Cloud Storage Gateways" sind spezielle Applikationsserver, die eine Umsetzung von Cloud-Protokollen (Simple Object Access Protocol, SOAP und Representational State Transfer, REST) auf Storage basierende Protokolle (block- oder filebasierend) gewährleisten.

Sofern ein Cloud Storage Gateway eingesetzt wird, sollten die Bausteine B 3.301 Sicherheitsgateway (Firewall) und B 5.24 Web-Services zur Anwendung kommen. Darüber hinaus sind die protokollspezifischen Gefährdungen beim Übergang in SOAP / REST zu berücksichtigen.

Bei der Beschaffung und Implementierung von Cloud Storage Gateways ist darauf zu achten, dass diese nicht auf proprietären Standards basieren, sondern mit gängigen Storageprotokollen umgehen können und sich somit einfach in die bestehende Anwendungsinfrastruktur einbinden lassen. Grundsätzlich sind hier zwei mögliche Ausprägungen zu betrachten:

  • Der Betreiber einer Speicherlösung möchte seinen Anwendern den Zugriff mittels SOAP bzw. REST ermöglichen, wobei die Schnittstelle der Speicherlösung diese Zugriffsmöglichkeit zur Verfügung stellt.
  • Der Anwender möchte eine Cloud-Storage-Lösung verwenden, die lediglich SOAP bzw. REST als Zugriffsprotokoll verwendet. Da die Systeme des Anwenders jedoch NFS , FC oder iSCSI erwarten, kommt ein Cloud Storage Gateway zum Einsatz, mit dessen Hilfe die Protokollumsetzung erfolgt.

Sofern Cloud Storage Gateways über Zusatzfunktionen wie Backup-Lösungen oder Verschlüsselung verfügen, sind weiterhin die erforderlichen Bausteine anzuwenden.

Stand: 14. EL Stand 2014