數(shù)據(jù)的風(fēng)險分類
數(shù)據(jù)風(fēng)險有兩個關(guān)鍵領(lǐng)域,而這些都關(guān)系到如何將數(shù)據(jù)提交給客戶。第一個風(fēng)險涉及數(shù)據(jù)可被非授權(quán)的系統(tǒng)進行訪問。第二個風(fēng)險是非授權(quán)的人員訪問數(shù)據(jù)。
非授權(quán)系統(tǒng)的訪問
非授權(quán)的系統(tǒng)訪問受保護的數(shù)據(jù)的可能性乍一看似乎不太可能。但是,當(dāng)你考慮到所有可能產(chǎn)生的系統(tǒng)管理員的錯誤或故意非法訪問,數(shù)據(jù)被入侵的潛在問題便開始增加。那么,非授權(quán)系統(tǒng)如何獲取對另一個系統(tǒng)的數(shù)據(jù)的訪問呢?
在這種情況下,該數(shù)據(jù)很可能將通過一個LUN的形式提交。此LUN可以通過任何一個光纖通道連接或互聯(lián)網(wǎng)小型計算機系統(tǒng)接口(iSCSI)連接來提供。這 兩種連接類型呈現(xiàn)了相同級別的風(fēng)險。攻擊LUN將需要使用欺騙,使用一臺電腦的主機總線適配器(HBA)來改變它呈現(xiàn)給目標(biāo)系統(tǒng)的WWN.
這個目標(biāo)不太容易完成,因為光纖通道端口一般不使用端口鏡像,而攻擊者試圖攔截(嗅探)流量以了解WWNs在網(wǎng)絡(luò)上傳輸數(shù)據(jù)的方法。攻擊者想要欺騙WWN需要關(guān)于他們應(yīng)該針對哪臺主機WWNs的內(nèi)部信息。然而,這在理論上是可能的。
盡管有困難,利用主機欺騙WWN的能力是潛在的風(fēng)險--而一旦該WWN被欺騙,許多存儲環(huán)境中的保護措施將被暴露。理論上,WWN欺騙將不得不通過分區(qū)定 義訪問--如果WWN分區(qū)被使用,而這是經(jīng)常發(fā)生的情況--同時存儲陣列提供的LUN掩碼通常基于WWNs進行配置。繞過這兩個關(guān)鍵的安全方法,入侵的主 機可以訪問這些LUN上的所有數(shù)據(jù)。
思考在單個磁盤的環(huán)境中。假設(shè)你已經(jīng)從一臺服務(wù)器刪除了一個磁盤,并把它放在另一臺服務(wù)器上--原有的系統(tǒng)對文件保護的措施將發(fā)生什么情況?磁盤現(xiàn)在由新 的操作系統(tǒng)所擁有,作為這個流氓系統(tǒng)的管理員或root身份,你現(xiàn)在可以更改數(shù)據(jù)訪問的權(quán)限。只要攻擊者從卷讀取和避免寫入數(shù)據(jù),原來的主機可能永遠不會 察覺已經(jīng)發(fā)生過什么異常。
防止WWN欺騙和嗅探的另一個最佳實踐是交換機專用,連接存儲設(shè)備只為服務(wù)器和存儲提供服務(wù),這樣終端用戶設(shè)備和其他系統(tǒng)則不允許共享交換機硬件。這種方法依賴于交換機的物理安全性來限制你的風(fēng)險。
數(shù)據(jù)暴露于一個非授權(quán)系統(tǒng)的風(fēng)險的另一種途徑是存儲管理員故意或疏忽的配置。存儲管理員可以故意或錯誤地分配LUN到錯誤的服務(wù)器,或者可能為特定服務(wù)器 選擇了錯誤的LUN.在這兩種情況下,沒有什么會妨礙管理員這樣做,因為分區(qū)存在,服務(wù)器將被正確連接且分區(qū)到陣列。因為服務(wù)器會被正確注冊到陣列中, LUN屏蔽也不會阻止它的。你可能想知道為什么存儲陣列允許這樣做。由于遷移的目的,存儲供應(yīng)商提供服務(wù)器之間的LUN共享能力,以支持服務(wù)器集群。虛擬 集群的普及是常見的。為了從一臺主機移動虛擬服務(wù)器到另一臺主機,LUN必須在主機之間共享。
當(dāng)決定如何保護你的存儲時,識別關(guān)于LUNs對服務(wù)器造成的風(fēng)險是非常重要的。
非授權(quán)人員的訪問
服務(wù)器上靜止數(shù)據(jù)的另一個風(fēng)險是通過內(nèi)置服務(wù)器中的數(shù)據(jù)訪問機制攻擊服務(wù)器本身。當(dāng)服務(wù)器被攻陷從而將數(shù)據(jù)暴露給攻擊者時,服務(wù)器控制的所有數(shù)據(jù)將遭受系統(tǒng)本身授權(quán)機制的風(fēng)險。
一旦服務(wù)器在攻擊者的控制下,攻擊者就有改變文件系統(tǒng)權(quán)限的能力,這樣新的操作系統(tǒng)所有者可以允許訪問所有數(shù)據(jù)。為了收集信息,入侵系統(tǒng)的攻擊者并不一定 需要開始更改文件系統(tǒng)。也許是攻擊者只關(guān)心截獲的內(nèi)容或從存儲器讀取的數(shù)據(jù)。正如有些工具可以嗅探有線和無線網(wǎng)絡(luò)的網(wǎng)絡(luò)流量,有些工具可以嗅探光纖通道網(wǎng) 絡(luò)上的流量。使用入侵系統(tǒng),或者惡意軟件,入侵者可以執(zhí)行一個嗅探工具并收集系統(tǒng)數(shù)據(jù)。此外,通過訪問這個入侵的系統(tǒng),攻擊者可以發(fā)動多次對存儲基礎(chǔ)架構(gòu) 攻擊以獲得其他服務(wù)器數(shù)據(jù)的訪問。
數(shù)據(jù)風(fēng)險管控最佳實踐
對于存儲基礎(chǔ)設(shè)施和位于其上數(shù)據(jù)的風(fēng)險,可以采取什么措施來設(shè)計一個健壯的體系架構(gòu)抵御攻擊呢?以下做法提供了最佳可行的緩解實踐。
· 分區(qū)
基于端口的分區(qū),通過主機和存儲陣列之間的連接的控制提高了安全性。分區(qū)這種方法提供了對一個WWN欺騙攻擊的保護。通過端口分區(qū),即使主機系統(tǒng)被引入到 一個偽造的WWN的環(huán)境中,主機也需要交換機定義的端口中,以便它的訪問流量可以傳輸?shù)酱鎯﹃嚵校驗閰^(qū)域基于端口進行配置的。通過分區(qū)的方式,交換機提 供了路徑,從服務(wù)器的HBA到陣列的HBA .沒有那個分區(qū), WWN欺詐就沒有路徑到陣列。
· 陣列
陣列已經(jīng)發(fā)展很長時間提供LUN掩碼作為保護LUN不會被非授權(quán)服務(wù)器訪問的一種形式。 LUN被非授權(quán)系統(tǒng)訪問的最可能的原因是存儲管理員偶然的或故意的錯誤配置。針對這一點,最好的防御是確保存儲管理員是可信的,勝任的,以及控制和限制只 有少數(shù)訓(xùn)練有素,可靠的管理員進行存儲陣列的管理。
· 服務(wù)器
為了充分保證存儲環(huán)境,你必須確保對服務(wù)器環(huán)境本身進行控制和監(jiān)視。確保存儲基礎(chǔ)架構(gòu)本身是不夠的。對任何服務(wù)器的訪問都可以顯著將服務(wù)器和存儲環(huán)境暴露 給有害的活動。重要的是,服務(wù)器被安全地配置,并且該設(shè)備位于有訪問控制和監(jiān)控的安全設(shè)施中。變更管理和實時監(jiān)控,跟蹤更改系統(tǒng)和管理員在服務(wù)器上的活 動,應(yīng)與存儲環(huán)境的安全一起實施。不僅在承載數(shù)據(jù)的服務(wù)器,也可用于管理陣列和交換機的管理服務(wù)器上采取這些步驟。
· 員工
當(dāng)雇用個人來管理安全存儲環(huán)境時,必要的技能應(yīng)包括扎實的存儲安全實踐知識。計算機安全方法的背景和培訓(xùn)應(yīng)該被視為一個重要的要求。當(dāng)然,管理存儲陣列的 培訓(xùn)和經(jīng)驗也很重要,最好是關(guān)于在你的組織中使用的產(chǎn)品,而不是委任其他一些平臺管理存儲基礎(chǔ)架構(gòu)的管理員。此外,由于SAN是存儲和網(wǎng)絡(luò)融合的結(jié)果,具 有網(wǎng)絡(luò)背景可以是非常有價值的。
· 異地數(shù)據(jù)存儲
異地存儲數(shù)據(jù)(安全地)是任何組織業(yè)務(wù)連續(xù)性流程的一個重要方面。許多廠商會拿起備份磁帶并將其移到一個安全的設(shè)施。應(yīng)該對這些設(shè)施進行定期審計,以確保 向異地發(fā)送的所有數(shù)據(jù)可問責(zé)。為了保護數(shù)據(jù),不管在磁盤或磁帶上都應(yīng)該被加密。任何形式的在線數(shù)據(jù)備份應(yīng)該采用端到端的加密方法。
