Logo    
Деловая газета CitCity.ru CITKIT.ru - все об Open Source Форумы Все публикации Учебный центр Курилка
CitForum    CITForum на CD    Подписка на новости портала Море(!) аналитической информации! :: CITFORUM.RU
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

24.05.2017

Google
WWW CITForum.ru
С Новым годом!

2006 г.

Безопасность в сетях хранения данных

Евгений Патий, "Экспресс-Электроника"

Современные корпорации накапливают терабайты данных и для их хранения используют системы NAS и SAN. Однако в силу своей конструкции данное оборудование не предусматривает встроенных средств разграничения доступа к данным между отдельными пользователями или их группами. Информация при этом сконцентрирована в одном месте, и потенциальная степень ее уязвимости весьма высока.

Высокая степень консолидации оборачивается опасностью несанкционированного доступа по открытым каналам, так как все узлы находятся в единой сети. Взлом одного или нескольких узлов в корпоративной сети хранения данных может привести к катастрофическим последствиям для бизнеса.

В связи с тем, что 50–80% атак начинаются внутри сети, большинство организаций признают, что их наиболее критичная информация "по умолчанию" находится под угрозой. Такие решения, как межсетевые экраны или виртуальные частные сети обеспечивают общую защиту периметра корпоративной сети, а центральные хранилища данных остаются уязвимыми для внутренних и внешних атак.

Как уже отмечалось, низкая степень защищенности NAS и SAN заложена в самой их природе, поэтому стоит сказать несколько слов об их архитектуре. NAS-решения представляют собой выделенный файл-сервер. Подключаются к локальным сетям и осуществляют доступ независимо от операционной системы и платформы. Их достаточно легко администрировать, однако они не решают проблему транзита данных до сервера приложений. Проблема загрузки локальной сети решается с помощью NAS-решений частично. Доступ к данным осуществляется только через выделенный NAS. Если другим узлам необходимо обратиться к серверу, данные должны передаваться по локальной сети, что существенно нагружает трафик. Системы NAS позволяют разбивать хранилище данных на сегменты. Клиенты сети, также разделенные по группам, получают доступ только к определенному сегменту хранилища, доступ к другим им запрещен.

Другой серьезный недостаток NAS в том, что они не могут совместно использовать жесткие диски разных устройств, подключенных к локальной сети. Иногда недостатком считается и доступ к данным на уровне целых файлов, а не блоков (например при обработке структурированных и ресурсоемких приложений СУБД). Помимо этого, средой передачи для NAS-серверов являются сети Ethernet, в результате общая производительность работы системы не очень высокая. К тому же NAS, как правило, не допускают наращивания, в отличие от SAN.

С учетом низкой масштабируемости хранилища, ограничений пропускной способности локальной сети и протокола передачи данных, NAS обычно используются в малобюджетных решениях.

Вплоть до недавнего времени шли дискуссии, чему отдать предпочтение: SAN или NAS? Сегодня же специалисты все чаще приходят к мнению, что оба подхода должны сосуществовать.

Теперь о SAN. Она представляет собой обособленную сеть, отделенную от локальной, с возможностью хранения огромных объемов информации, которые можно наращивать практически бесконечно. Типичная SAN включает ряд дисковых массивов, подключенных к коммутатору, который, в свою очередь, соединен с серверами, служащими для организации доступа к хранимым данным. Техническую основу сети хранения данных составляют волоконно-оптические соединения, адаптеры шины узла FC HBA и FC-коммутаторы, в настоящее время обеспечивающие скорость передачи 200 Мбайт/с и удаленность между соединяемыми объектами до 10 км (до 120 км с помощью специальных решений). SAN позволяет любому серверу получить доступ к любому накопителю, не загружая при этом ни другие серверы, ни локальную сеть компании. Кроме того, возможен обмен данными между системами хранения без участия серверов.

Существенным недостатком SAN является высокая цена. Стоимость оборудования и проекта по внедрению сети может составлять до нескольких сотен тысяч долларов. Однако опыт показывает, что такие суммы тратятся не напрасно, ведь сетевое хранение данных позволяет создавать информационные системы высокой готовности и безотказности в работе.

Благодаря использованию в SAN Fibre Channel удалось добиться максимальной защиты информации. Набор встроенных в SAN инструментов включает аутентификацию хостов путем процедур Fabric Login и Process Login, управление доступом хостов к целям с помощью разбиения на зоны и списков доступа, и, что не менее важно, технологию VSAN. Последняя делит SAN на множество виртуальных коммутирующих структур.

Наиболее очевидное преимущество SAN — уменьшение нагрузки на локальную сеть. В сети хранения можно запустить процедуру полного резервного копирования, при этом не опасаться негативного воздействия на трафик приложений. Как известно, резервное копирование заметно замедляет работу других приложений, а поскольку сеть хранения использует очень быстрый сетевой протокол, то это значительно сокращает время для создания резервной копии. Более того, емкость SAN относительно легко увеличить, добавляя новые дисковые массивы.

В последнее время в SAN стали применять технологии виртуализации памяти. По сути, с помощью виртуализации серверы могут использовать несколько жестких дисков (или их определенную емкость) как один логический том. Безопасность в SAN реализуется на уровне сервера SAN, в то время как в NAS применяется безопасность на уровне доступа к файлам. И в том и другом случае дополнительные средства управления данными обеспечивают репликацию данных, моментальные снимки данных, высокоскоростное архивирование и восстановление.

Среди возможных угроз в отношении сетей хранения данных можно выделить следующие:

  • физическое уничтожение;
  • хищение;
  • несанкционированное искажение данных;
  • нарушение подлинности данных;
  • подмена данных;
  • блокирование доступа к массиву данных.

Источники угроз могут быть как внешними, так и внутренними. Сама по себе угроза — следствие уязвимостей в конкретных узлах сети хранения. Возможные уязвимости определяют составляющие элементы и свойства архитектурных решений сетей хранения, а именно:

  • элементы архитектуры;
  • протоколы обмена;
  • интерфейсы;
  • аппаратные платформы;
  • системное программное обеспечение;
  • условия эксплуатации;
  • территориальное размещение узлов сети хранения.

Рассмотрим проблему по уровням предоставления необходимых служб. Целесообразно выделить четыре рассматриваемых уровня, относительно которых мы попытаемся изложить основные аспекты безопасности для NAS и SAN:

  • уровень устройств;
  • уровень данных;
  • уровень сетевого взаимодействия;
  • уровень управления и контроля.

Уровень устройств

Применительно к SAN в первую очередь угроза несанкционированного доступа к устройству может возникнуть вследствие слабой парольной защиты и непродуманной схемы авторизации пользователей. В этом случае несанкционированный доступ с захватом всех прав дает абсолютный контроль над данным узлом (коммутатором или шлюзом), в результате чего возникает реальная угроза нарушения целостности архитектуры и хранимых данных.

Другая опасность может возникнуть вследствие уязвимости на уровне встроенного программного обеспечения устройства, где хранятся данные, или из-за отсутствия внимания к вопросам безопасности в отношении используемого микрокода. Злоумышленник получает возможность использовать данное устройство для удаленной атаки на другие узлы сети хранения (серверы, рабочие станции, шлюзы, коммутаторы).

Для авторизации пользователей следует задействовать схему с применением списков контроля доступа (Access Control List). Зачастую необходимо ограничить доступ к устройству посредством многофакторной идентификации.

На этом уровне NAS работают как файловые серверы. Однако помимо традиционных каналов, для доступа к устройствам хранения (в том числе к внешним по отношению к самому серверу NAS) могут задействоваться элементы архитектуры SAN. Как правило, это жесткие диски, подключенные к серверу по оптическим линиям с использованием протоколов Fibre Channel или FC-AL. В таком случае на данный сегмент должны распространяться требования, аналогичные тем, что выдвигаются к архитектуре SAN.

Какие типы уязвимостей присущи данному уровню? Наличие настроек по умолчанию, а также ограниченность функций по администрированию приводит к повышению вероятности использования слабостей схемы авторизации при недостаточной парольной защите. В силу закрытости операционной системы и включенных фабричных настроек существует угроза возможных атак на незадействованные службы, DNS, Telnet и т. д.

Уровень данных

В архитектуре SAN при неавторизованном доступе с административными правами пользователь получает полный или частичный контроль над данными, в связи с чем возникает опасность блокирования доступа, искажения или модификации, а также уничтожения данных. Велик риск установления контроля доступа к блокам данных на уровне самих серверов. Несмотря на то что для архитектуры SAN характерен блочный доступ к хранимым данным, сами вычислительные узлы в случае активизации соответствующих служб могут выступить в роли серверов NAS с предоставлением доступа по протоколам CIFS/SMB, а также NFS. Архитектура SAN предусматривает подключение серверов и рабочих станций с единой зоной доступа к устройствам хранения. Поэтому требование безопасности при доступе к данным должно применяться в равной степени как к серверам, так и к рабочим станциям. Таким образом исключается выполнение серверами приложений несвойственной им роли узлов NAS, через которые злоумышленник мог бы получить несанкционированный доступ к конфиденциальной информации.

Учитывая, что доступ к данным на серверах NAS осуществляется по протоколам CIFS/SMB и NFS, именно они будут рассматриваться с точки зрения возможных угроз. Упомянутые протоколы предусматривают лишь слабую защиту передаваемых паролей, в особенности это касается NFS. Когда это возможно, от использования NFS необходимо отказаться, отключив соответствующую службу. Если же к конфиденциальности передаваемых данных предъявляются высокие требования, во избежание компрометации паролей должны быть предусмотрены дополнительные меры по авторизации пользователей с применением необходимых программно-аппаратных средств.

Уже на этапе проработки архитектурного решения следует ввести жесткую классификацию хранимых данных по степени их важности и конфиденциальности, причем не стоит забывать о других эффективных средствах безопасности, в частности организации выделенных узлов криптозащиты.

Уровень сетевого взаимодействия

Исторически сложилось так, что архитектура SAN развивалась благодаря внедрению оптических каналов с использованием протокола Fibre Channel. Основным их достоинством является высокая скорость передачи, отсутствие взаимных помех между проложенными кабелями и низкая задержка сигнала. Решение вопросов безопасности в отношении передаваемой по каналам информации не было приоритетным. И только в настоящее время вопросам защищенности стали уделять больше внимания.

С точки зрения безопасности на уровне сетевого взаимодействия следует отметить угрозы несанкционированного подключения к каналам с подменой адресов, что в равной степени относится к оборудованию и каналам как в самих центрах обработки данных, так и в филиалах. В силу открытости архитектуры и взаимной удаленности коммутирующего и конвертирующего оборудования устройства могут стать объектами атаки с последующей утерей контроля над каналами и получением злоумышленником неавторизованного доступа к передаваемым данным. Неверно сконфигурированные конечные устройства сети хранения также становятся привлекательной мишенью для атаки.

Поскольку сетевой уровень серверов NAS в большинстве случаев организован па базе протокола TCP/IP, основная угроза исходит от возможных атак через сеть: DoS, перехват сеансов, подмена адресов и т. д.

Вследствие открытости архитектур устройства NAS могут быть подключены как внутри корпоративного сетевого сегмента, так и за его пределами. Последнее происходит довольно часто при наличии большого количества филиалов внутри одной компании. Если трафик выходит за пределы контролируемого сетевого сегмента, обязательно должны быть установлены межсетевые экраны, а также средства IDS.

Для повышения степени безопасности можно задействовать виртуальные локальные сети, обеспечив тем самым независимость трафика внутри каждого из созданных сегментов и исключив риск его прослушивания и получения несанкционированного контроля над ним.

Уровень управления доступом

Все средства управления доступом к хранимым данным должны удовлетворять требованиям безопасности в максимальной степени — это касается как конкретных устройств, так и архитектуры в целом (дабы исключить любое неавторизованное вторжение). Для этого необходимо, в частности, обеспечить постоянный мониторинг пользователей, имеющих права доступа, и осуществлять централизованный контроль за работой устройств. Решение задачи безопасного управления доступом упрощает специализированное программное обеспечение.

Парольную защиту следует усилить путем контроля минимальной длины слова и введением принудительной периодической смены паролей. Более того, доступ к узлам SAN необходимо разграничивать посредством задания соответствующей политики, где учитывались бы роль каждого пользователя и степень конфиденциальности хранящихся данных. С этой целью можно использовать и списки контроля доступа.

В отличие от SAN, доступ к данным на узлах NAS осуществляется на уровне файлов. При этом сам узел функционирует в качестве файлового сервера, а потребность в его конфигурации и настройкам минимальна. Зачастую производители серверов NAS (в силу достаточно узкой специализации) большую часть настроек выполняют до поставки сервера к заказчику, и впоследствии по умолчанию используются именно они. Это обстоятельство необходимо учитывать при интеграции серверов NAS как в локальную сеть, так и в сеть хранения данных.

Одна из наиболее частых атак на серверы NAS — несанкционированный доступ с использованием слабой защиты при передаче паролей по сети с помощью протоколов Telnet и HTTP.

Как и на всех рассмотренных ранее уровнях, важно осуществлять строгий контроль за системными журналами.

Размещение рекламы — тел. +7 495 4119920, ICQ 232284597

Подписка на новости IT-портала CITForum.ru
(библиотека, CITKIT.ru, CitCity)

Новые публикации:

24 декабря

CITKIT.ru:

  • Новогодние поздравления
  • Сергей Кузнецов. Цикл Операционные системы: Ностальгия по будущему:

  • Алексей Федорчук. OpenSolaris 2008.11 Release

  • Сергей Голубев:

  • Евгений Чайкин aka StraNNik (Блогометки):

    17 декабря

  • С.Д.Кузнецов. Базы данных. Вводный курс

    10 декабря

    CITKIT.ru:

  • OpenSolaris 2008.11 Release

  • Альтернативные ОС: две грустные истории (С.Кузнецов)
  • Nokia N810 — доведение до ума
  • CitCity:

  • Платформа 2009: заоблачные перспективы Microsoft

    4 декабря

  • Лекция С.Д.Кузнецова Понятие модели данных. Обзор разновидностей моделей данных

    CITKIT.ru:

  • OpenSolaris 2008.11 Release. Первые впечатления

  • Linux vs FreeBSD: продолжим "Священные войны"?

  • Nokia N810 as is

  • Индульгенция для FOSS

  • Друзья СПО'2008

    26 ноября

  • Нечеткое сравнение коллекций: семантический и алгоритмический аспекты

    CitCity:

    CITKIT.ru:

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • 19 ноября

  • Проблемы экономики производства крупных программных продуктов

  • Язык модификации данных формата XML функциональными методами

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Заметки к книге:

  • FreeBSD: монтирование сменных устройств и механизм HAL
  • Текстовый редактор ee

    12 ноября

  • Правило пяти минут двадцать лет спустя, и как флэш-память изменяет правила (Гоц Грейф, перевод: Сергей Кузнецов)

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:
  • OSS в России: взгляд правоведа (В.Житомирский)

  • Новая статья из цикла С.Голубева "Железный марш":

    29 октября

  • О некоторых задачах обратной инженерии

  • Веб-сервисы и Ruby

  • Тестирование web-приложений с помощью Ruby

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

  • PuppyRus Linux - беседа с разработчиком (С.Голубев)

  • Сергей Кузнецов. Заметка не про Linux

    22 октября

  • Обзор методов описания встраиваемой аппаратуры и построения инструментария кросс-разработки

    CITKIT.ru:

  • Сергей Кузнецов. Почему я равнодушен к Linux

  • Глава из книги А.Федорчука
    Сага о FreeBSD:
  • Что надо иметь
    3. Базовые познания

    CitCity:

  • Управление IT-инфраструктурой на основе продуктов Microsoft

    15 октября

  • Методы бикластеризации для анализа интернет-данных

    CitCity:

  • Разъемы на ноутбуках: что они дают и зачем их так много?
  • AMD Puma и Intel Centrino 2: кто лучше?

    CITKIT.ru:

  • Новый цикл статей С.Голубева
    Железный марш:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    8 октября

  • Автоматизация тестирования web-приложений, основанных на скриптовых языках
  • Опыт применения технологии Azov для тестирования библиотеки Qt3

    Обзоры журнала Computer:

  • SOA с гарантией качества
  • Пикоджоуль ватт бережет
  • ICT и всемирное развитие

    CitCity:

  • Пиррова победа корпорации Microsoft

    CITKIT.ru:

  • Главы из книги А.Федорчука
    Сага о FreeBSD:

    Статья из архива:

  • Я живу в FreeBSD (Вадим Колонцов)

    Новые Блогометки:

  • Перекройка шаблона Blogger или N шагов к настоящему
  • Blogger. Comment style
  • Screenie или глянцевый снимок экрана

    2 октября

    CITKIT.ru:

  • Сага о FreeBSD (А. Федорчук)

    Zenwalk: пакет недели

  • Банинг — интеллектуальное развлечение (С.Голубев)

    CitCity:

    25 сентября

  • Клермонтский отчет об исследованиях в области баз данных

    CITKIT.ru:

  • Пользователям просьба не беспокоиться... (В.Попов)

  • Снова про ZFS: диск хорошо, а два лучше
  • Командная оболочка tcsh (А.Федорчук)

    Zenwalk: пакет недели

    17 сентября

  • T2C: технология автоматизированной разработки тестов базовой функциональности программных интерфейсов
  • Технология Azov автоматизации массового создания тестов работоспособности

    CITKIT.ru:

  • FreeBSD: ZFS vs UFS, и обе-две — против всех (А.Федорчук)

    Zenwalk: пакет недели

  • Дачнет — практика без теории (С.Голубев)

    10 сентября

  • За чем следить и чем управлять при работе приложений с Oracle
  • Планировщик заданий в Oracle
    (В.Пржиялковский)

    CITKIT.ru:

  • Microsoft: ответный "боян" (С.Голубев)

  • Причуды симбиоза, или снова "сделай сам" (В.Попов)

  • Файловые системы современного Linux'а: последнее тестирование
  • Zsh. Введение и обзор возможностей
    (А.Федорчук)

    Описания пакетов Zenwalk: Zsh, Thunar, Thunar-bulk-rename, Xfce4-places-plugin, Xfce4-fsguard-plugin

    Блогометки:

  • Google Chrome
  • Лончер для ASUS Eee PC 701

    3 сентября

    CITKIT.ru:

  • Заметки о ядре (А.Федорчук):

    Добавлены описания пакетов Zenwalk: Galculator, Screenshot, Gnumeric, Pidgin

    В дискуссинном клубе:

  • И еще о Википедии и Google Knol

  • Лекция для начинающего линуксоида (С.Голубев)

    26 августа

  • Транзакционная память (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Открыт новый проект Zenwalk: пакет недели

  • Статья Текстовые процессоры и их быстродействие: конец еще одной легенды?

    21 августа

    CITKIT.ru:

  • Почему школам следует использовать только свободные программы (Ричард Столлман)
  • Беседа Сергея Голубева с учителем В.В.Михайловым

  • Википедия или Гуглезнание? Приглашение к обсуждению (Алексей Федорчук)
  • Народная энциклопедия от Google (StraNNik)

  • Обзор Mandriva 2009.0 Beta 1 Thornicrofti
  • Новичок в Линукс: Оптимизируем Mandriva 2008.1

  • Книга Zenwalk. Приобщение к Linux:

    13 августа

    CitCity:

  • Мирный Atom на службе человеку. Обзор платы Intel D945GCLF с интегрированным процессором
  • Обзор процессоров Intel Atom 230 на ядре Diamondville

  • iPhone - год спустя. Скоро и в России?

    CITKIT.ru:

  • Интермедия 3.4. GRUB: установка и настройка (из книги Zenwalk. Приобщение к Linux)

    6 августа

  • СУБД с хранением данных по столбцами и по строкам: насколько они отличаются в действительности? (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • Интермедия 2.2. Что неплохо знать для начала (из книги Zenwalk. Приобщение к Linux)

  • И снова про шрифты в Иксах (А.Федорчук)

  • 20 самых быстрых и простых оконных менеджеров для Linux

  • Дело о трех миллиардах (С.Голубев)

    30 июля

  • OLTP в Зазеркалье (Пересказ: С. Кузнецов)

    CitCity:

  • Будущее BI в облаках?
  • Тиражные приложения и заказная разработка. Преимущества для заказчика
  • Дискуссия со сторонниками заказной разработки

    CITKIT.ru:

  • Новые главы книги Zenwalk. Приобщение к Linux:
  • Глава 8. Пакеты: средства установки, системы управления, системы построения
  • Глава 9. Zenwalk: репозитории, пакеты, методы установки

    23 июля

    CITKIT.ru:

  • Все против всех. 64 vs 32, Intel vs AMD, tmpfs vs ext3
  • Две головы от Intel

  • Zenwalk: обзор штатных приложений (глава из книги "Zenwalk. Приобщение к Linux")

  • Нормально, Григорий...

    16 июля

    Обзоры журнала Computer:

  • Перспективы и проблемы программной инженерии в XXI веке
  • Большие хлопоты с большими объемами данных
  • Перспективы наноэлектроники

    CITKIT.ru:

  • Интермедия о лицензиях (А.Федорчук. "Zenwalk. Приобщение к Linux")

  • Есть ли будущее у KDE?

  • Linux в школе: альтернативный вариант в задачах

  • Шифр (приключения агента Никодима)

    10 июля

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия вступительная. Linux или GNU/Linux? Как вас теперь называть?
  • Глава 5. Среда Xfce
  • Глава 6. Xfce: приложения и плагины

  • ZUR (Zenwalk User Repository) FAQ

    2 июля

  • Персистентность данных в объектно-ориентированных приложениях (С. Кузнецов)

    CITKIT.ru:

  • Новые разделы книги А. Федорчука Zenwalk. Приобщение к Linux:
  • Интермедия 1.2. Дорога к Zenwalk'у. Период бури и натиска
  • Интермедия 3.3. Немного о Linux'е и "железе"
  • Глава 4. Настройка: инструментами и руками
  • Интермедия 4.1. Zenpanel и конфиги: поиски корреляции

  • Интервью с Жан-Филиппом Гийоменом, создателем дистрибутива Zenwalk

  • Linux в школе: первые итоги (С. Голубев)

    25 июня

    CITKIT.ru:

  • Zenwalk. Приобщение к Linux (А. Федорчук)

  • Логика и риторика (С.Голубев)

  • Технология Tru64 AdvFS

  • Ханс Райзер предлагает отвести полицейских к телу Нины

    18 июня

  • Проекты по управлению данными в Google (Пересказ: С. Кузнецов)

    CITKIT.ru:

  • ОС и поддержка "железа": мифы и реальность (А. Федорчук)

  • Linux в школе: другие дистрибутивы

  • Пинок (С. Голубев)

    4 июня

  • Ландшафт области управления данными: аналитический обзор (С. Кузнецов)

    CITKIT.ru:

  • Linux в школе: слово заинтересованным лицам

  • SlackBuild: пакеты своими руками

  • Linux от компании Novell. Установка и обзор openSUSE Linux

    Все публикации >>>




  • IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

    Информация для рекламодателей PR-акции, размещение рекламы — тел. +7 495 4119920, ICQ 232284597 Пресс-релизы — pr@citcity.ru
    Послать комментарий
    Информация для авторов
    Rambler's Top100 TopList liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня This Web server launched on February 24, 1997
    Copyright © 1997-2000 CIT, © 2001-2007 CIT Forum
    Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...