Bundesamt für Sicherheit in der Informationstechnik

M 5.130 Absicherung des SANs durch Segmentierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Ein Storage Area Network (SAN) wird in der Regel durch ein dediziertes Speichernetz, häufig als Fibre-Channel (FC- SAN ) realisiert, zwischen Speichersystemen und angeschlossenen Servern oder Endgeräten geschaffen. Ein oder mehrere Switches, die miteinander verbunden sind, bilden dabei eine Fabric. An die Switches werden Server angeschlossen, denen Speicher aus den Ressourcen des Speichersystems zugewiesen wird.

Speichersysteme, Server und deren Betriebssysteme können unabhängig voneinander auch mehrfach zugeordnet werden. So werden einerseits verschiedenen Servern unterschiedliche (logische) Speicherressourcen auf einem Speichersystem zugeordnet, andererseits können einem Server mehrere (räumlich getrennte) Speichersysteme zugeordnet werden, um Redundanz für den Server und damit dessen Anwendungen zu erreichen.

Demzufolge ist die Verwaltung und Rechtezuordnung der Speicherressourcen im SAN anzupassen. Es muss dabei sichergestellt werden, dass keine Daten aufgrund eines falschen Zugriffs zerstört werden und dass Server nur mit "ihrem" Ausschnitt der Speichereinheiten im SAN arbeiten. Dies wird erreicht, indem das SAN in logische Segmente (V SAN s) eingeteilt wird, sodass nur die Geräte innerhalb eines Segmentes miteinander kommunizieren können.

Die Segmentierung bringt außerdem weitere Vorteile mit sich:

  • Speicherkomponenten, die Interoperabilitätsprobleme miteinander aufweisen, können so in getrennten Segmenten eingesetzt werden.
  • Wichtige Anwendungen können einzelne Ports und damit eine bestimmte Bandbreite (QoS - Quality of Service) zugewiesen bekommen.
  • Zu schützende Daten können damit besser isoliert werden.
  • Verbesserung der Skalierbarkeit, da neue Endgeräte nicht auf Anhieb mit allen anderen kommunizieren können.

Um eine sinnvolle Segmentierung sicherzustellen, sollte ein Konzept für die Zuordnung der SAN -Ressourcen erarbeitet werden. Die Informationen zur aktuellen Zuordnung der SAN -Ressourcen müssen stets dokumentiert und im Notfall verfügbar sein. Die aktuelle Ressourcenzuordnung sollte mithilfe der Verwaltungswerkzeuge einfach und übersichtlich erkennbar sein.

Segmentierung bei FC- SAN s

Die interne Verwaltung und Zuordnung der Geräte in einem FC- SAN erfolgt über World Wide Names (WWNs). Sie entsprechen in gewisser Weise den MAC -Adressen von Ethernet-Netzadaptern.

Die Segmentierung eines FC- SAN s erfolgt durch Einteilung in VSANs und in Zonen (Zoning). V SAN und Zoning-Funktionen werden auf den Switch-Komponenten im SAN konfiguriert. Ein V SAN oder eine Zone kann Server, Speichersubsysteme und Switchports als Mitglieder beinhalten.

Die einzelnen Funktionen zur Segmentierung werden nachfolgend näher beschrieben:

Zoning

Es wird zwischen Soft- und Hard-Zoning unterschieden. Soft-Zoning ( WWN -Zoning) und Hard-Zoning (Port-Zoning) unterscheiden sich hinsichtlich ihrer Angriffsmöglichkeiten und hinsichtlich des Administrationsaufwands, der für eine sichere Konfiguration notwendig ist.

Soft-Zoning

SAN -Geräte (HBA-Port, Switchport etc.) haben einen eindeutigen World Wide Name. Beim Soft-Zoning werden Zonen durch die Gruppierung dieser eindeutigen WWN s gebildet. Die Zuordnung von Switchports und SAN -Geräten zu Zonen erfolgt durch einen SAN -internen Namensserver. Wenn sich ein SAN -Gerät an der Fabric anmeldet, teilt der Namensserver nur WWN s von Geräten der gleichen Zone mit.

Administrationsaufwand:

  • Die Vorteile des Soft-Zonings liegen im geringeren Administrationsaufwand im Vergleich zum Hard-Zoning. Änderungen des Hardwarestandorts oder der Verkabelung müssen nicht berücksichtigt werden, da sie "mitwandern". Soft-Zoning ist damit insgesamt flexibler und dynamischer einsetzbar, was vor allem in sich ändernden Umgebungen zum Tragen kommt.

Angriffsmöglichkeiten:

  • Soft-Zoning ermöglicht es einem Angreifer, mittels WWN -Spoofing Zugang zu einer Kommunikationsgruppe und somit Zugriff auf die für diese WWN freigegebenen Netzressourcen zu erlangen.
  • Datenübertragungen zu gültigen WWN s werden nicht verhindert. Manche Betriebssysteme speichern WWN s intern und halten sie in einem Cache vor. Daher kann es vorkommen, dass ein solches System auf Speichergeräte zugreift, die nach Willen des Administrators gar nicht mehr in der Zone enthalten sind.

Das Risiko beim Einsatz von Soft-Zoning sollte, gerade bei besonders schutzbedürftigen Daten, genau analysiert werden und entschieden werden, ob es für die Institution tragbar ist oder nicht.

Hard-Zoning

Hard-Zoning wird über die feste Portzuordnung im SAN -Switch selbst realisiert. Der Begriff Hard-Zoning begründet sich durch die feste Zuordnung von physischen Ports zueinander.

Hard-Zoning wird häufig auch als Port-Zoning bezeichnet. Die Segmentierung im SAN wird hergestellt, indem in Routingtabellen auf SAN -Switches Zonen ausschließlich über die Portnummern der Switches gebildet werden. Dadurch sind genau die Geräte, deren Portnummern als eine Zone zusammengestellt sind, Mitglied dieser Zone. Diese statische Zuordnung erzwingt, dass kein Datenverkehr zwischen Ports unterschiedlicher Zonen stattfindet.

Administrationsaufwand:

  • Änderungen der Hardwarekonfiguration oder Standortwechsel von SAN -Geräten erfordern eine manuelle Anpassung des Zonings, also der Zuordnungstabellen. Die Umsetzung eines Hard-Zonings ist daher im Vergleich zum Soft-Zoning mit größerem administrativen Aufwand verbunden.

Angriffsmöglichkeiten:

  • Hard-Zoning beugt dem WWN -Spoofing vor. Da hier die Kommunikation mithilfe der Ports definiert ist, können Angriffe mittels WWN -Spoofing nicht gelingen.
  • Ein echtes Risiko beim Hard-Zoning besteht nur dann, wenn physischer Zugang zum Switch besteht. In der Folge ist der Zugriff auf alle Netzressourcen ermöglicht, die für diesen Port freigegeben sind.

Da der physische Zugang zu Hardware für Unbefugte in der Regel nur schwer zu erlangen ist, wird das erreichbare Sicherheitsniveau durch Hard-Zoning als höher angesehen als das durch Soft-Zoning realisierbare Sicherheitsniveau. Für Informationen mit höherem Schutzbedarf sollte daher Hard-Zoning zum Einsatz kommen. Die erhöhte Sicherheit sollte aber in einer sinnvollen Relation zum höheren Aufwand stehen.

Kombination von Hard- und Soft-Zoning

Die Kombination der beschriebenen Zoning-Verfahren erfolgt durch die Bildung von Zonen mittels Gruppierung eindeutiger WWN s bei gleichzeitiger Zuordnung spezifischer Portnummern der Switches zu einer solchen Gruppe. Sie ermöglicht damit die Verhinderung der jeweiligen spezifischen Angriffsmöglichkeiten.

Der damit einhergehende Administrationsaufwand erhöht sich entsprechend gegenüber dem getrennten Einsatz der Zoning-Varianten. Diese Variante wird daher nur bei sehr hohem Schutzbedarf empfohlen bzw. auch für niedrigeren Schutzbedarf, wenn der Aufwand als gerechtfertigt gewertet wird.

LUN -Binding und -Masking

Speichersysteme in einem SAN stellen die eingebauten Platten als logische Einheiten zur Verfügung. Diese können über ihre LUN (Logical Unit Number) adressiert werden. Um zu verhindern, dass jeder Rechner, der in einer Zone mit einem Speichersystem stationiert ist, alle logischen oder physischen Platten dieses Systems sieht, werden LUN -Binding und LUN -Masking eingesetzt.

LUN -Binding ordnet die jeweiligen LUN s einer RAID -Gruppe oder einem Festplattenpool zu. Dazu werden Zugriffspfade zwischen adressierbaren Einheiten eines Speicherpools und den Fibre-Channel-Ports der Speichersysteme definiert.

Bei LUN -Masking werden Zugriffstabellen auf dem Plattensubsystem definiert, in denen die eindeutigen WWN -Adressen der zugriffsberechtigten Server registriert sind. Alle anderen (maskierten) Platten sind für den Server unsichtbar.

Auf diese Weise kann auch eine fehlerhafte Konfiguration oder Bedienung eines Rechners mit SAN -Anschluss nur noch Auswirkungen auf die für ihn sichtbar gemachten (maskierten) Platten ( LUN s) haben.

Bei der Zuordnung von Ressourcen in Speichernetzen sollte stets eine Kombination aus Zoning, LUN -Binding und LUN -Masking zum Einsatz kommen.

Virtuelle SAN s (VSANs)

Analog zur Segmentierung von LAN s in virtuelle Teilnetze ( VLAN s) ist auch die Segmentierung eines SAN s in V SAN s möglich. Dieses Konzept erweitert das Konzept des Zonings und bietet sowohl einen besseren Zugriffsschutz auf die Daten und Applikationen als auch Schutz vor einer breiteren Wirkung von Störungen, die so auf einen Teil des Netzes begrenzt werden können.

In einem V SAN werden mehrere Ports und damit mehrere Endgeräte einer Fibre-Channel-Fabric zu einer virtuellen Fabric, einem V SAN , zusammengefasst. Somit werden auf ein und derselben physischen Netzinfrastruktur mehrere virtuell getrennte Fabrics eingerichtet. Ein Switch kann dabei mehreren virtuellen SAN -Teilnetzen angehören. Für jedes V SAN werden separate Fabric-Dienste wie Namensserver und Zoning realisiert. V SAN s schränken also, über das reine Zoning hinaus, nicht nur die gegenseitige Sichtbarkeit von Endgeräten, sondern auch die gegenseitige Sichtbarkeit der Fabric-Konfigurationen ein.

Zoning findet unabhängig von einer Trennung in V SAN s statt. Eine Zone kann sich nicht über mehrere VSANs erstrecken.

Durch Zoning wird der Zugriff und Datenfluss zwischen den Geräten reguliert. V SAN s erlauben zusätzlich, alle in einem Teilnetz bereitgestellten Dienste zu isolieren und innerhalb des V SAN s "abzukapseln".

Wenn ausschließlich Zoning eingesetzt wird, bildet die gesamte Hardware des Speichernetzes eine "Sicherheitsdomäne". Wenn auf der Netzhardware des Speichernetzes V SAN s konfiguriert werden, wird die Hardware logisch in verschiedene "Sicherheitsdomänen" aufgeteilt. Innerhalb dieser Domänen können dann "domäneninterne" Mechanismen wie Zoning (Hard- oder Soft-Zoning) eingesetzt werden.

Beim Einsatz von N-Port-IP-Virtualisierung (NPIV) ist darauf zu achten, dass eine eindeutige Zuordnung des World Wide Port Name (WWPN) zu einem Server erfolgt.

Segmentierung bei iSCSI

Die Segmentierung im iSCSI -Speichernetz erfolgt im Speichergerät analog zum Anschluss eines über FC- LUN angeschlossenen Gerätes. Der Unterschied liegt in der Verbindungszuweisung zwischen dem Server und dem Speichergerät.

Der iSCSI -HBA (Host Bus Adapter) wird als "Initiator" und der Port am Speichergerät als "Target" bezeichnet. Über mitgelieferte Managementsoftware werden beide über ihre iSCSI -ID miteinander bekannt gemacht.

Um den Verbindungsaufbau abzusichern und die Authentizität von Initiator (Server) und Target (Festplatten) sicherzustellen, werden intern Sicherheitsprotokolle wie CHAP (Challenge Handshake Authentication Protocol) oder iSNS (Internet Storage Naming Service) verwendet.

Die Zuordnung von LUN s zu den angeschlossenen Servern im Speichersystem erfolgt ähnlich dem LUN -Masking und LUN -Binding mit WWN s auf Basis der iSCSI -Initiator- und Target-ID. Bei Nutzung von iSCSI empfiehlt sich der Einsatz sogenannter Netzadapter mit TCP / IP Offload Engine (I/OAT). Diese entlasten den Server von intensiven Rechenoperationen beim Auspacken der eigentlichen iSCSI -Daten aus den TCP / IP -Paketen.

Prüffragen:

  • Existiert ein schriftlich fixiertes Konzept für die Zuordnung von SAN-Ressourcen zu Servern?

  • Ist die aktuelle Zoning-Konfiguration dokumentiert und auch in Notfällen verfügbar?

  • Ist die aktuelle Ressourcenzuordnung mithilfe von Verwaltungswerkzeugen einfach und übersichtlich erkennbar?

  • Wurde anhand der Sicherheitsanforderungen und des Administrationsaufwands entschieden, welche Segmentierung in welchem Szenario zum Einsatz kommt?

Stand: 14. EL Stand 2014