Безопасность в сетях хранения данных

Современные корпорации накапливают терабайты данных и для их хранения используют системы NAS и SAN. Однако в силу своей конструкции данное оборудование не предусматривает встроенных средств разграничения доступа к данным между отдельными пользователями или их группами. Информация при этом сконцентрирована в одном месте, и потенциальная степень ее уязвимости весьма высока.

Высокая степень консолидации оборачивается опасностью несанкционированного доступа по открытым каналам, так как все узлы находятся в единой сети. Взлом одного или нескольких узлов в корпоративной сети хранения данных может привести к катастрофическим последствиям для бизнеса.

В связи с тем, что 50–80% атак начинаются внутри сети, большинство организаций признают, что их наиболее критичная информация "по умолчанию" находится под угрозой. Такие решения, как межсетевые экраны или виртуальные частные сети обеспечивают общую защиту периметра корпоративной сети, а центральные хранилища данных остаются уязвимыми для внутренних и внешних атак.

Как уже отмечалось, низкая степень защищенности NAS и SAN заложена в самой их природе, поэтому стоит сказать несколько слов об их архитектуре. NAS-решения представляют собой выделенный файл-сервер. Подключаются к локальным сетям и осуществляют доступ независимо от операционной системы и платформы. Их достаточно легко администрировать, однако они не решают проблему транзита данных до сервера приложений. Проблема загрузки локальной сети решается с помощью NAS-решений частично. Доступ к данным осуществляется только через выделенный NAS. Если другим узлам необходимо обратиться к серверу, данные должны передаваться по локальной сети, что существенно нагружает трафик. Системы NAS позволяют разбивать хранилище данных на сегменты. Клиенты сети, также разделенные по группам, получают доступ только к определенному сегменту хранилища, доступ к другим им запрещен.

Другой серьезный недостаток NAS в том, что они не могут совместно использовать жесткие диски разных устройств, подключенных к локальной сети. Иногда недостатком считается и доступ к данным на уровне целых файлов, а не блоков (например при обработке структурированных и ресурсоемких приложений СУБД). Помимо этого, средой передачи для NAS-серверов являются сети Ethernet, в результате общая производительность работы системы не очень высокая. К тому же NAS, как правило, не допускают наращивания, в отличие от SAN.

С учетом низкой масштабируемости хранилища, ограничений пропускной способности локальной сети и протокола передачи данных, NAS обычно используются в малобюджетных решениях.

Вплоть до недавнего времени шли дискуссии, чему отдать предпочтение: SAN или NAS? Сегодня же специалисты все чаще приходят к мнению, что оба подхода должны сосуществовать.

Теперь о SAN. Она представляет собой обособленную сеть, отделенную от локальной, с возможностью хранения огромных объемов информации, которые можно наращивать практически бесконечно. Типичная SAN включает ряд дисковых массивов, подключенных к коммутатору, который, в свою очередь, соединен с серверами, служащими для организации доступа к хранимым данным. Техническую основу сети хранения данных составляют волоконно-оптические соединения, адаптеры шины узла FC HBA и FC-коммутаторы, в настоящее время обеспечивающие скорость передачи 200 Мбайт/с и удаленность между соединяемыми объектами до 10 км (до 120 км с помощью специальных решений). SAN позволяет любому серверу получить доступ к любому накопителю, не загружая при этом ни другие серверы, ни локальную сеть компании. Кроме того, возможен обмен данными между системами хранения без участия серверов.

Существенным недостатком SAN является высокая цена. Стоимость оборудования и проекта по внедрению сети может составлять до нескольких сотен тысяч долларов. Однако опыт показывает, что такие суммы тратятся не напрасно, ведь сетевое хранение данных позволяет создавать информационные системы высокой готовности и безотказности в работе.

Благодаря использованию в SAN Fibre Channel удалось добиться максимальной защиты информации. Набор встроенных в SAN инструментов включает аутентификацию хостов путем процедур Fabric Login и Process Login, управление доступом хостов к целям с помощью разбиения на зоны и списков доступа, и, что не менее важно, технологию VSAN. Последняя делит SAN на множество виртуальных коммутирующих структур.

Наиболее очевидное преимущество SAN — уменьшение нагрузки на локальную сеть. В сети хранения можно запустить процедуру полного резервного копирования, при этом не опасаться негативного воздействия на трафик приложений. Как известно, резервное копирование заметно замедляет работу других приложений, а поскольку сеть хранения использует очень быстрый сетевой протокол, то это значительно сокращает время для создания резервной копии. Более того, емкость SAN относительно легко увеличить, добавляя новые дисковые массивы.

В последнее время в SAN стали применять технологии виртуализации памяти. По сути, с помощью виртуализации серверы могут использовать несколько жестких дисков (или их определенную емкость) как один логический том. Безопасность в SAN реализуется на уровне сервера SAN, в то время как в NAS применяется безопасность на уровне доступа к файлам. И в том и другом случае дополнительные средства управления данными обеспечивают репликацию данных, моментальные снимки данных, высокоскоростное архивирование и восстановление.

Среди возможных угроз в отношении сетей хранения данных можно выделить следующие:

• физическое уничтожение;
• хищение;
• несанкционированное искажение данных;
• нарушение подлинности данных;
• подмена данных;
• блокирование доступа к массиву данных.

Источники угроз могут быть как внешними, так и внутренними. Сама по себе угроза — следствие уязвимостей в конкретных узлах сети хранения. Возможные уязвимости определяют составляющие элементы и свойства архитектурных решений сетей хранения, а именно:

• элементы архитектуры;
• протоколы обмена;
• интерфейсы;
• аппаратные платформы;
• системное программное обеспечение;
• условия эксплуатации;
• территориальное размещение узлов сети хранения.

Рассмотрим проблему по уровням предоставления необходимых служб. Целесообразно выделить четыре рассматриваемых уровня, относительно которых мы попытаемся изложить основные аспекты безопасности для NAS и SAN:

• уровень устройств;
• уровень данных;
• уровень сетевого взаимодействия;
• уровень управления и контроля.

Уровень устройств

Применительно к SAN в первую очередь угроза несанкционированного доступа к устройству может возникнуть вследствие слабой парольной защиты и непродуманной схемы авторизации пользователей. В этом случае несанкционированный доступ с захватом всех прав дает абсолютный контроль над данным узлом (коммутатором или шлюзом), в результате чего возникает реальная угроза нарушения целостности архитектуры и хранимых данных.

Другая опасность может возникнуть вследствие уязвимости на уровне встроенного программного обеспечения устройства, где хранятся данные, или из-за отсутствия внимания к вопросам безопасности в отношении используемого микрокода. Злоумышленник получает возможность использовать данное устройство для удаленной атаки на другие узлы сети хранения (серверы, рабочие станции, шлюзы, коммутаторы).

Для авторизации пользователей следует задействовать схему с применением списков контроля доступа (Access Control List). Зачастую необходимо ограничить доступ к устройству посредством многофакторной идентификации.

На этом уровне NAS работают как файловые серверы. Однако помимо традиционных каналов, для доступа к устройствам хранения (в том числе к внешним по отношению к самому серверу NAS) могут задействоваться элементы архитектуры SAN. Как правило, это жесткие диски, подключенные к серверу по оптическим линиям с использованием протоколов Fibre Channel или FC-AL. В таком случае на данный сегмент должны распространяться требования, аналогичные тем, что выдвигаются к архитектуре SAN.

Какие типы уязвимостей присущи данному уровню? Наличие настроек по умолчанию, а также ограниченность функций по администрированию приводит к повышению вероятности использования слабостей схемы авторизации при недостаточной парольной защите. В силу закрытости операционной системы и включенных фабричных настроек существует угроза возможных атак на незадействованные службы, DNS, Telnet и т. д.

Уровень данных

В архитектуре SAN при неавторизованном доступе с административными правами пользователь получает полный или частичный контроль над данными, в связи с чем возникает опасность блокирования доступа, искажения или модификации, а также уничтожения данных. Велик риск установления контроля доступа к блокам данных на уровне самих серверов. Несмотря на то что для архитектуры SAN характерен блочный доступ к хранимым данным, сами вычислительные узлы в случае активизации соответствующих служб могут выступить в роли серверов NAS с предоставлением доступа по протоколам CIFS/SMB, а также NFS. Архитектура SAN предусматривает подключение серверов и рабочих станций с единой зоной доступа к устройствам хранения. Поэтому требование безопасности при доступе к данным должно применяться в равной степени как к серверам, так и к рабочим станциям. Таким образом исключается выполнение серверами приложений несвойственной им роли узлов NAS, через которые злоумышленник мог бы получить несанкционированный доступ к конфиденциальной информации.

Учитывая, что доступ к данным на серверах NAS осуществляется по протоколам CIFS/SMB и NFS, именно они будут рассматриваться с точки зрения возможных угроз. Упомянутые протоколы предусматривают лишь слабую защиту передаваемых паролей, в особенности это касается NFS. Когда это возможно, от использования NFS необходимо отказаться, отключив соответствующую службу. Если же к конфиденциальности передаваемых данных предъявляются высокие требования, во избежание компрометации паролей должны быть предусмотрены дополнительные меры по авторизации пользователей с применением необходимых программно-аппаратных средств.

Уже на этапе проработки архитектурного решения следует ввести жесткую классификацию хранимых данных по степени их важности и конфиденциальности, причем не стоит забывать о других эффективных средствах безопасности, в частности организации выделенных узлов криптозащиты.

Уровень сетевого взаимодействия

Исторически сложилось так, что архитектура SAN развивалась благодаря внедрению оптических каналов с использованием протокола Fibre Channel. Основным их достоинством является высокая скорость передачи, отсутствие взаимных помех между проложенными кабелями и низкая задержка сигнала. Решение вопросов безопасности в отношении передаваемой по каналам информации не было приоритетным. И только в настоящее время вопросам защищенности стали уделять больше внимания.

С точки зрения безопасности на уровне сетевого взаимодействия следует отметить угрозы несанкционированного подключения к каналам с подменой адресов, что в равной степени относится к оборудованию и каналам как в самих центрах обработки данных, так и в филиалах. В силу открытости архитектуры и взаимной удаленности коммутирующего и конвертирующего оборудования устройства могут стать объектами атаки с последующей утерей контроля над каналами и получением злоумышленником неавторизованного доступа к передаваемым данным. Неверно сконфигурированные конечные устройства сети хранения также становятся привлекательной мишенью для атаки.

Поскольку сетевой уровень серверов NAS в большинстве случаев организован па базе протокола TCP/IP, основная угроза исходит от возможных атак через сеть: DoS, перехват сеансов, подмена адресов и т. д.

Вследствие открытости архитектур устройства NAS могут быть подключены как внутри корпоративного сетевого сегмента, так и за его пределами. Последнее происходит довольно часто при наличии большого количества филиалов внутри одной компании. Если трафик выходит за пределы контролируемого сетевого сегмента, обязательно должны быть установлены межсетевые экраны, а также средства IDS.

Для повышения степени безопасности можно задействовать виртуальные локальные сети, обеспечив тем самым независимость трафика внутри каждого из созданных сегментов и исключив риск его прослушивания и получения несанкционированного контроля над ним.

Уровень управления доступом

Все средства управления доступом к хранимым данным должны удовлетворять требованиям безопасности в максимальной степени — это касается как конкретных устройств, так и архитектуры в целом (дабы исключить любое неавторизованное вторжение). Для этого необходимо, в частности, обеспечить постоянный мониторинг пользователей, имеющих права доступа, и осуществлять централизованный контроль за работой устройств. Решение задачи безопасного управления доступом упрощает специализированное программное обеспечение.

Парольную защиту следует усилить путем контроля минимальной длины слова и введением принудительной периодической смены паролей. Более того, доступ к узлам SAN необходимо разграничивать посредством задания соответствующей политики, где учитывались бы роль каждого пользователя и степень конфиденциальности хранящихся данных. С этой целью можно использовать и списки контроля доступа.

В отличие от SAN, доступ к данным на узлах NAS осуществляется на уровне файлов. При этом сам узел функционирует в качестве файлового сервера, а потребность в его конфигурации и настройкам минимальна. Зачастую производители серверов NAS (в силу достаточно узкой специализации) большую часть настроек выполняют до поставки сервера к заказчику, и впоследствии по умолчанию используются именно они. Это обстоятельство необходимо учитывать при интеграции серверов NAS как в локальную сеть, так и в сеть хранения данных.

Одна из наиболее частых атак на серверы NAS — несанкционированный доступ с использованием слабой защиты при передаче паролей по сети с помощью протоколов Telnet и HTTP.

Как и на всех рассмотренных ранее уровнях, важно осуществлять строгий контроль за системными журналами.