В истории человечества сохранность капитала в различных его формах всегда была одной из важнейших проблем. Сейчас, в век ИТ, основным капиталом является информация — о людях, сделках, ноу-хау и т. п. Важность «электронного капитала» со временем будет только возрастать.
Согласно данным Университета Беркли, в 2002 году в электронных хранилищах мира было собрано 5 экзабайт (1018) данных, то есть приблизительное количество всех слов, произнесенных человечеством за все (!) время его существования. Из них 92% данных было сохранено на магнитных носителях, 7% — на видеопленке, только 0,01% — на бумаге и 0,002% — на оптических носителях. Равномерно распределенный объем информации на одного жителя Земли составил около 800 Мбайт, но информации произведено было гораздо больше, чем сохранено, — 18 экзабайт, львиная доля из них пришлась на телефонные переговоры, которые пока никто не хранит. Объемы информации растут ежегодно на 30%, а плотность носителей информации — на 60%. В абсолютном большинстве случаев технологии хранения двумерны или поверхностны, то есть используют только один слой носителя.
Но в перспективе ожидается бум увеличения плотности хранения, которое смогут обеспечить, в частности, технологии Millipede компании IBM, MODS компании Imperial College, голографическая запись компании InPhase Technologies и т. д.
В качестве примера хранилища данных большого объема можно назвать один из крупнейших в мире центров данных — Национальный климатический центр обработки данных США (National Climatic Data Center), который хранит 1,2 петабайт (1015) при ежедневном приросте в 200 Гбайт. Как обеспечить безопасность таких хранилищ?
За рамками этой статьи останутся рекомендации, касающиеся способов защиты от технологических сбоев, пожаров, природных катастроф и катаклизмов, хотя, бесспорно, они важны при планировании непрерывности функционирования хранилищ. Также не будут рассматриваться вопросы защиты данных от вредоносных программ (червей, вирусов, «троянцев» и т. п.). Этой теме посвящено немало публикаций, кроме того, предотвращение заражения систем хранения ничем не отличается от аналогичной задачи для операционных систем и обычных приложений — используются примерно те же подходы, производители, средства защиты.
Архитектура безопасности систем хранения
Технологии хранения данных опираются на три основных элемента: на приложения, которые могут быть, а могут и не быть защищенными; на протоколы передачи данных (например, FireWire, TCP/IP или Fibre Channel), имеющие изъяны в архитектуре безопасности; наконец, на устройства хранения, не всегда обладающие серьезными механизмами обеспечения безопасности.
В архитектуре безопасности современных корпоративных систем хранения обычно выделяют следующие логические уровни:
- уровень приложений, определяющий утилиты и программы, которые управляют различными объектами в системе хранения (например, IBM TotalStorage или Veritas Storage Foundation);
- уровень файлов, записей и блоков, обеспечивающий хранение данных, в частности, в виде файлов для технологии подключаемых к корпоративной сети систем хранения (network-attached storage, NAS) или блоков для технологии непосредственно подключаемых устройств хранения (direct attached storage, DAS) или сетей хранения (storage-area network, SAN);
- уровень устройств, представленный всеми устройствами, участвующими в системе хранения, - интерфейсы к сетям хранения (Host Bus Adapter, HBA), коммутаторы, контроллеры, дисковые накопители и т. д.;
- транспортный уровень, обеспечивающий передачу данных из одной точки в другую, к примеру, от приложения к фабрике или от сервера к коммутатору;
- уровень управления, на котором осуществляется контроль и конфигурация элементов системы хранения данных.
На всех этих уровнях применяются уже хорошо себя зарекомендовавшие методы защиты — аудит и обеспечение доступности, контроль целостности и шифрование, аутентификация и авторизация.
Файлы, записи, блоки
Если данные хранятся в файловой системе, то, скорее всего, это либо CIFS (Common Internet File System), либо NFS (Network File System). Некоторые серверы NAS поддерживают также протоколы FTP, Secure FTP или SCP (Secure Copy). В качестве СУБД масштаба предприятия обычно применяются SQL-системы.
Уровни устройств
Недооценка вопросов безопасности уровня отдельных устройств (коммутаторов, интерфейсов Fibre Channel и т. п.) может привести к печальным последствиям. Например, злоумышленник может подменить IP- и MAC-адреса своего узла и выдать себя за авторизованный узел инфраструктуры хранения, что в свою очередь позволит ему получить доступ к хранимым данным. Именно на этом уровне проявляется степень компетенции производителя систем хранения. Одни, не имея возможности реализовать специальные методы защиты технологий DAS, NAS или SAN, предлагают стандартные механизмы, уже реализованные в инфраструктурном сетевом оборудовании. Другие идут дальше и предлагают пользователю выбор: применять либо стандартные настройки коммутаторов и маршрутизаторов, либо всю функциональность специализированных технологий, поддерживающих как SAN, так и NAS.
Разумеется, начинать следует с того, что уже заложено в сетевую инфраструктуру. К таким встроенным базовым возможностям можно отнести сегментацию с помощью технологий виртуальной локальной (virtual LAN, VLAN) и виртуальной частной сети (private VLAN, PVLAN), списки контроля доступа (access control list, ACL), фильтрацию протокола разрешения адресов сообщений (Address Resolution Protocol Inspection), защиту портов и т. п. Сегментация сети должна использоваться также для защиты уровня управления. Предпочтительнее каналы управления выделить в сегмент (выделенную VLAN). И хотя изначально технология виртуальных частных сетей разрабатывалась не для целей информационной безопасности, она неплохо справляется с этой задачей и отсекает многих непрошеных гостей, не обладающих высокой квалификацией.
Помимо стандартных механизмов, реализованных в большинстве сетевого оборудования, существуют и специальные методы защиты, предназначенные только для систем хранения. В их числе — маскировка уникального идентификатора (Logical Unit Number, LUN) на SCSI-шине, позволяющая на уровне интерфейсов доступа к сетям хранения или контроллеров отделить авторизованные узлы от неавторизованных. Другим защитным механизмом является логическое группирование узлов сетей хранения (SAN zoning или Virtual SAN), оно позволяет классифицировать и объединить те или иные серверы на основе различных уровней защищенности (например, поделить все узлы инфраструктуры хранения на критичные и нет). В случае если все-таки необходимо организовать доступ из одной группы к другой, а метод отнесения одного узла сразу к нескольким VSAN применить нельзя, можно использовать специальный протокол маршрутизации Inter-VSAN Routing (IVR), не позволяющий трафику отклониться от намеченного пути.
Зонирование может быть организовано и по-другому, например «жестким» и «мягким» способом. В первом случае доступ к устройству из другой зоны блокируется на физическом уровне — коммутатор Fibre Channel предотвращает передачу данных с портов, «привязанных» к одной зоне, на порты, принадлежащие другой зоне (аналогично механизму привязки VLAN к портам коммутатора локальных сетей). Во втором случае в качестве элемента привязки к различным зонам является WWN (World Wide Name) — уникальный идентификатор элементов сети Fibre Channel. Однако злоумышленник, угадавший WWN другой зоны и изменивший свой WWN на угаданный, получает беспрепятственный доступ к чужим данным. Некоторые производители пошли дальше и, помимо фильтрации доступа по адресам, могут отсекать те или иные операции SCSI. Например, можно организовать доступ к хранилищу только на чтение, тем самым блокируя любые попытки несанкционированного изменения информации.
Не стоит забывать и о классических механизмах защиты — аутентификации и шифровании. Их использование нейтрализует практически любые попытки злоумышленников проникнуть в инфраструктуру хранения на уровне устройств. Причем существуют специально адаптированные версии этих механизмов для систем хранения данных (см. врезку).
В зависимости от типа устройств и установленных на них операционных систем можно задействовать либо встроенные в ОС механизмы защиты (например, персональный межсетевой экран в Windows 2003), либо установить персональные системы защиты. Причем последние могут быть выполнены как в виде отдельных программ, решающих самостоятельные задачи (антивирусная защита, защита от атак, контроль целостности, контроль утечки через внешние носители USB, PCMCIA и т. д.), так и в виде решений, построенных по принципу «все в одном» (например, Cisco Security Agent).
Управление доступом
Очевидно, что доступ к хранимым данным должны иметь только авторизованные лица (даже не все сотрудники компании могут иметь доступ к хранилищу), что и обеспечивается грамотным использованием механизмов аутентификации и авторизации. Во-первых, в процессе внедрения решения по хранению стоит сразу изменить пароли, заданные по умолчанию, иначе эффективность всех остальных защитных механизмов сведется к нулю. Во-вторых, пароли не должны передаваться в открытом виде и легко угадываться или подбираться с помощью специализированных программ, таких как L0phtCrack или John The Ripper.
Что произойдет, если злоумышленник украдет или перехватит пароль администратора системы хранения данных? Он может использовать его для несанкционированного доступа к конфиденциальной информации. Для устранения слабого звена данной схемы (передача пароля по сети) можно использовать сертификаты открытых ключей, хранящиеся на аппаратных токенах (например, eToken от компании Aladdin). В этом случае система становится более защищенной. Но при этом следует очень тщательно продумать систему управления сертификатами и токенами, так как их утеря или неразбериха в их использовании может привести к ночному кошмару для администратора. Возможно использование и смешанной схемы, в которой на первом, видимом уровне используется пара «имя — пароль», а на втором, невидимом — протокол SSL или Kerberos. Такой вариант более предпочтителен с точки зрения безопасности, поскольку предотвращает несанкционированный доступ к хранимым данным в случае установки на компьютер злоумышленника соответствующего программного обеспечения (например, резервной консоли) и использования украденного пароля администратора.
Еще один способ аутентификации — применение списков контроля доступа (ACL) или межсетевых экранов, блокирующих доступ к серверам данных с неразрешенных серверов (даже в случае предъявления правильного пароля). В данном случае аутентифицирующей информацией является адрес, с которого осуществляется доступ. Преимущество этого метода еще и в том, что он может быть реализован без осуществления дополнительных финансовых затрат, так как механизм ACL реализован в большинстве современных серверных операционных систем и сетевом оборудовании.
Не следует забывать о принципе минимума привилегий — пользователи не должны иметь доступа к системам хранения, если он им не нужен по функциональным обязанностям. Например, не стоит давать возможность обычным пользователям (и уж тем более гостям) перегружать сервер, хранящий важную информацию, — лучше оставить эту функцию только администраторам.
В случае развертывания масштабной инфраструктуры хранения может понадобиться реализовать ролевое управление (role-based access control, RBAC) не только для обычных пользователей, но и для администраторов. Это может и должно быть сделано с помощью различных механизмов:
- по принадлежности администратора к той или иной иерархии или группе, информация о которой хранится на сервере RADIUS или LDAP;
- по возможности управления конкретным коммутатором хранения;
- по виртуальной сети хранения и т. д.
Криптография
В отличие от защиты трафика при передаче его по открытым каналам связи, где применение шифрования является обязательным, в сетях хранения данных эта рекомендация уже не столь безоговорочна. Если шифровать все подряд, то ресурсы системы хранения будут уходить только на решение этой задачи, поскольку объемы хранимой информации в современных центрах данных составляют терабайты и петабайты информации. Если шифровать такие массивы при каждом изменении или дополнении, то на перешифрование будет уходить дни и даже недели. Кроме того, возникнет задача управления (создания, распределения, изменения, хранения и т. д.) криптографическими ключами среди всех пользователей зашифрованного фрагмента данных.
Подобная проблема возникает также при обеспечении контроля целостности — постоянный подсчет контрольных сумм может захватить все ресурсы центрального процессора. Возможно, активное внедрение мультиядерных технологий позволит эффективно решить эту задачу — одно ядро можно будет полностью отдать под задачи безопасности (сейчас это непозволительная роскошь). Пока же стоит использовать «закрытие» данных только при передаче их по незащищенным или неизолированным сетям, например через Internet. Если же речь идет о внутренней сети, активно поделенной на сегменты с помощью технологий виртуальных локальных сетей или сетей хранения, то шифрование уже не будет обязательным требованием для обеспечения высокого уровня защищенности.
Другим критерием принятия или отказа от шифрования является важность хранимых данных. Если она высока, то и шифрование должно быть применено, но с одной оговоркой: нужно проверить, достаточно ли пропускной способности канала для организации эффективной передачи хранимых данных. Не стоит забывать, что любое шифрование сетевых данных приводит к увеличению каждого пакета минимум на 26-40 байт (а иногда и больше), что может сказаться на производительности системы хранения. И если на скоростных магистралях такими задержками можно пренебречь, то на региональных каналах в 64 или 128 Кбит/с шифрование будет непозволительной роскошью.
Отдельная проблема — увеличение плотности хранения и скорости доступа к данным. Верхняя планка современных алгоритмов шифрования информации на дисковых накопителях — десятки мегабайтов в секунду. А что делать, когда скорости доступа станут измеряться даже не гигабайтами, а терабайтами в секунду? Закрыть глаза на отсутствие шифрования или сделать его «бутылочным горлышком», в котором будут застревать все вышестоящие приложения? Наверное стоит ожидать появления новых (аналогичная ситуация сейчас наблюдается в области защиты SCADA-систем, которая стимулирует создание новых алгоритмов шифрования, учитывающих специфику систем диспетчерского управления) или адаптации уже существующих (как, например, FCSec или RFC 3723) алгоритмов шифрования.
Однако в архитектуре безопасности систем хранения есть одна область, которая немыслима без шифрования, — это уровень управления. Использование протоколов SSH, IPSec, SSL и других позволит эффективно развернуть инфраструктуру хранения даже через сети общего пользования. Особенно актуален этот вопрос, если вспомнить, что многие протоколы, используемые в системах хранения (HTTP, Telnet, SNMP, FTP, CIFS, NFS и др.), разрабатывались без учета вопросов безопасности и передают данные в открытом виде, поэтому их легко перехватить с помощью обычного анализатора.
Стабильность и производительность
Решения по безопасности также помогают обеспечить стабильность и повысить производительность сетей хранения данных.
В частности, использование систем контроля аномалий в сети (например, Netflow или Arbor Peakflow) позволяет своевременно обнаружить отклонения от нормальной сетевой нагрузки и выявить, например, эпидемии червей или атаки «отказ в обслуживании», направленные на хранилище.
Аналогичную задачу позволяет решить контроль загрузки процессора сервера или сетевого оборудования. Ограничение числа приложений, запускаемых на сервере с хранимыми данными, контроль протоколов и пользователей, подключаемых к этому серверу, также способствуют увеличению стабильности работы хранилища данных за счет исключения всех посторонних элементов. Использование механизмов контроля полосы пропускания (Committed Access Rate) или обнаружения аномалий с помощью сетевого оборудования или специализированных устройств позволяет повысить их производительность, а также соответствовать заданному уровню обслуживания (SLA).
Кирпичик в неприступной стене
Технологии защиты для локальных сетей и систем хранения данных очень похожи. Вот некоторые аналоги.
- VLAN в локальных сетях и VSAN в сетях хранения.
- ACL в локальных сетях и зонирование в сетях хранения.
- Ethernet Port Security в локальных сетях и Fibre Channel Port Security в сетях хранения.
- VLAN Trunking Protocol Version 3 (VTPv3) и аутентификация протоколов маршрутизации в локальных сетях и аутентификация FCSP DH-CHAP в сетях хранения.
- Шифрование SSL и IPSec в корпоративной сети и Fibre Channel Security (FCSec) (как часть FC-SP) в сетях хранения.
- SPAN, RSPAN, захват VACL, NetFlow и Call Home в локальных сетях и SPAN, RSPAN, статистика Fibre Channel, Call Home и RMON Threshold Alarms в сетях хранения.
- Защищенное управление AAA, SSHv2, SNMPv3, syslog, NTPv3 и RBAC, одинаковое и для локальных сетей, и для сетей хранения.
При выборе системы хранения данных стоит учесть не только качество реализации ее основной задачи, но и спланировать деятельность на несколько шагов вперед. Безопасность системы хранения данных не «висит» в воздухе — она тесно переплетена с другими защитными механизмами корпоративной сети. И скорее всего, решение обеих задач будет возложено на одних и тех же сотрудников, поэтому желательно, чтобы технология защиты локальной сети не отличалась (или отличалась незначительно) от методов, реализованных в приобретаемой системе хранения данных. Это позволит сэкономить и на внедрении системы, и на обучении персонала, и на совокупной стоимости владения. Проанализировав и применив уже полученный опыт построения системы информационной безопасности корпоративной сети, можно будет гораздо проще и с куда меньшими затратами реализовать эффективную защиту инфраструктуры хранения данных.
К сожалению, приводить какие-то конкретные цифры, касающиеся стоимости решений, довольно сложно. Не имея представления о проекте центра обработки данных, технологии системы хранения (SAN, NAS или DAS), выбранном производителе, уже имеющейся инфраструктуре, обсуждать калькуляцию расчетов затруднительно. Цена может отличаться на порядки.
Подводя итоги
Завершается ли на этом построение системы защиты хранилища данных? Конечно же, нет. Во-первых, любой сложный процесс немыслим без четкого плана действий, роль которого в информационной безопасности выполняет политика безопасности.
Именно в ней приводится набор основных положений и рекомендаций в области защиты. Не только защиты систем хранения данных, но и всех остальных участков корпоративной сети или сети оператора данных — сегмента IP- и видеотелефонии, беспроводного сегмента, биллинговой системы, центра обработки вызовов, intranet-портала и внешнего Web-сервера и т. п. Для каждого такого участка приводится модель вероятных угроз и методы их предотвращения/блокирования.
План планом, но без квалифицированного персонала его реализация немыслима. Сколько бы рубежей обороны ни было возведено вокруг защищаемой системы, неграмотный пользователь может свести всю защиту на нет. Поэтому нельзя забывать и об обучении всех сотрудников, связанных с системой хранения, — и администраторов, и рядовых пользователей. В этом, в частности, и заключается принцип эшелонированной обороны — технические меры должны комбинироваться с правильными действиями персонала.
Разумеется, существуют и другие принципы и положения, без реализации которых невозможно построение защищенной системы хранения данных (даже не всегда с ней связанных напрямую). Но их обсуждение выходит за рамки статьи. Главное, что надо помнить: в безопасности нет ничего сложного и непонятного. Следует руководствоваться принципом разумной достаточности и данные будут под надежной охраной.
Алексей Лукацкий — менеджер по развитию бизнеса компании Cisco Systems, автор книг «Обнаружение атак», Protect your information with intrusion detection и «Атака из Интернет», автор курсов «Введение в обнаружение атак» и «Выбор системы обнаружения атак», alukatsk@cisco.com
Аутентификация и шифрование для систем хранения
К числу специально адаптированных версий «классических» протоколов аутентификации и шифрования для систем хранения данных можно отнести следующие спецификаци:
- Стандарт FCAP (Fibre Channel Authentication Protocol) или FCPAP (Fibre Channel Password Authentication Protocol), позволяющий аутентифицировать устройства в сети Fibre Channel.
- Стандарт SLAP (Switch Link Authentication Protocol), предназначенный для аутентификации портов коммутатора и предотвращающий несанкционированное подключение "чужих" коммутаторов Fibre Channel.
- Спецификация FC-SP (Fibre Channel - Security Protocol), включающая в себя набор протоколов для аутентификации устройств, обмена криптографическими ключами и шифрования данных между устройствами Fibre Channel. При этом аутентификация может быть как локальной, так и удаленной с помощью протоколов RADIUS и TACACS+.
- Адаптированные для Fibre Channel протоколы ESP (Encapsulating Security Payload) и DH-CHAP (Diffie-Hellman - Challenge Handshake Authentication Protocol) решают задачи, аналогичные тем, что предусмотрены FC-SP. Первый позволяет аутентифицировать узлы и шифровать данные (опционально), а второй дает возможность только аутентифицировать устройства сети Fibre Channel (по схеме "узел - коммутатор" и "коммутатор - коммутатор").
Набор рекомендаций по адаптации хорошо известных протоколов защищенной передачи данных через Internet (Internet Protocol Security, IPSec) и распределению ключей (Internet Key Exchange, IKE) к сетям Fibre Channel и SCSI (iSCSI, iFCP и FCIP) предложила также рабочая группа IETF IP Storage. Эти рекомендации могут быть найдены в специально подготовленном документе RFC 3723 Securing Block Storage Protocols over IP.