Storage Area Networks

Mehr Sicherheit für das SAN

| Autor / Redakteur: Rein de Jong / Rainer Graefen

(Brocade)

IT-Unternehmen müssen rasante Fortschritte in der Technik verarbeiten und hier mit der gebotenen Sorgfalt die Sicherheitsrisiken eliminieren. Ein sensibler Angriffspunkt sind jedoch die zunehmend komplizierteren Storage Area Networks (SANs), die sich auch über mehrere Standorte des Unternehmens erstrecken können. Die Sicherung dieser weitläufigen IT-Umgebung ist entscheidend für die gesamte Datensicherheit im Unternehmen.

Grundsätzlich sollten Unternehmen eine dreistufige Sicherheitsanalyse durchführen: potentielle Sicherheitsrisiken und deren Wahrscheinlichkeit identifizieren; die Auswirkungen einer Sicherheitsverletzung abschätzen; die für Gegenmaßnahmen anfallenden Kosten kalkulieren.

Das tolerierbare Risiko kann je nach Unternehmen und Branche variieren und ist von verschiedenen Faktoren abhängig. Einfach gesagt: je wertvoller die Daten eines Unternehmens sind, desto weniger Risiken wird es eingehen und desto wichtiger muss dem Unternehmen die Datensicherheit sein. Globalisierung hat in diesem Zusammenhang einen multiplizierenden Effekt: Datenmenge und -wert wachsen stetig, ebenso wie die Zahl der Bedrohungen.

Schwachstelle Management-Schnittstelle

Die Absicherung von SANs ist heute eine nicht mehr zu vernachlässigende Aufgabe der IT-Security. Um auf alle möglichen Gefahren vorbereitet zu sein, sollten Unternehmen ihre SAN-Security-Strategie fest in ihre IT-Gesamtstrategie integrieren.

Aber was sind die gefährlichsten Sicherheitsrisiken, gegen die sich Unternehmen schützen müssen? Viele denken zuerst an Hacker, aber die meisten IT-Gefahren lauern im Inneren eines Unternehmens. Deshalb sollten Unternehmen zunächst alle internen Risiken identifizieren und geeignete Abwehrmaßnahmen ergreifen.

Die verletzlichsten Stellen in SANs sind die Mitarbeiter, die sie verwalten, sowie die Managementschnittstellen, die mit der Infrastruktur-Hardware verknüpft sind. Attacken von außen richten sich meist gegen diese Schnittstellen, da sie ein TCP/IP-Protokoll verwenden, das globale Reichweite hat und bei Hackern wohlbekannt ist.

Verantwortung teilen und individuelle Nutzeraccounts

Die erste Verteidigungslinie im SAN-Schutz ist die physische Sicherheit. Unternehmen sollten ihre Gebäude und Daten auch physisch gegen Gefahren absichern und den Zugang zu Rechenzentren und Racks überwachen.

Mit Kameras, Wachpersonal, Bewegungs- und Infrarotsensoren sowie biometrischer Identifikation kann der Zugang zu IT-Geräten und Rechenzentren rund um die Uhr überwacht werden. Eine effektive physische Absicherung der IT wirkt sich auch positiv auf die Systemverfügbarkeit und Change-Controls aus.

Die häufigsten Gefahren für SANs fallen in eine der folgenden drei Kategorien:

  • Bösartige interne Risiken
  • Nicht-bösartige interne Risiken
  • Bösartige externe Risiken

Bösartige interne Risiken gehen für gewöhnlich von Angestellten oder Auftragnehmern aus, die dem Unternehmen schaden wollen. Solche Risiken sind nur schwer zu kontrollieren, da die Täter legitimen Zugriff auf das System haben. Um diese Gefahren zu vermeiden, sollte man die Zugriffsrechte einzelner Nutzer einschränken und die Verantwortung auf mehrere Administratoren verteilen.

Sollte der Ernstfall doch eintreten, ist es ratsam, die Aktivitäten aller Personen, die Zugriff auf das System haben, nachzuverfolgen, z. B. indem man individuelle Nutzernamen für SAN-Administratoren vergibt. So wird vermieden, dass ein einzelner „Admin“-Account von mehreren Personen benutzt wird.

Ebenso kann es hilfreich sein, die Aktivitäten der SAN-Administratoren nachzuverfolgen oder Protokolle über sicherheitsrelevante Vorgänge anzufertigen, um potentiellen Gefahren aus dem Inneren entgegenzuwirken.

Die Aufzeichnungen können im Falle eines Sicherheitsverstoßes mit den Protokollen synchronisiert werden, um verdächtiges oder fahrlässiges Verhalten und Fehlerquellen zu ermitteln. Als letzte Maßnahme können besonders sensible Systeme vom Rest der IT-Umgebung getrennt werden, um den Zugriff weiter einzuschränken.

Die vermutlich am häufigsten auftretende Gefahr für SANs sind nicht-bösartige interne Risiken. Sowohl unzureichendes Training, Unwissen, schlecht dokumentierte oder nicht-festgelegte Arbeitsabläufe als auch Überarbeitung oder schlichtweg menschliches Versagen können Ursache einer solchen Gefahr sein. Um dies zu vermeiden, sollte man alle Arbeitsabläufe festlegen und gut dokumentieren.

Ebenso lohnt es sich, Administratorenrechte so einzuschränken, dass Admins nur die ihnen aufgetragenen Arbeiten ausführen können. Administratoren generell den Zugang zum kompletten System zu erlauben, kann das System anfälliger für Gefahren machen, die Downtime verlängern oder im schlimmsten Fall zu Datenverlust führen.

Generalvollmacht vermeiden

Dass ein langjähriger Mitarbeiter als besonders vertrauenswürdig gilt, ist übrigens kein Grund, diesem allgemeine Admin-Rechte zu gewähren. Selbstverständlich soll allen Administratoren im Unternehmen das nötige Vertrauen entgegengebracht werden, zugleich aber müssen die Zugangsrechte der Sicherheit wegen eingeschränkt werden.

Wenn es um Angriffe auf das System von außen geht, stellen die Managementschnittstellen von SANs die empfindlichsten Angriffspunkte dar. Unternehmen sollten auf eine zuverlässige und integrierte Security-Gesamtstrategie setzen, um auch Schwachstellen im System effizient abzusichern. Hacker beginnen ihren Angriff meist, indem sie die SAN-Switches im IP-Netzwerk ausfindig machen.

Unternehmen können das Risiko also minimieren, indem sie alle ungenutzten Managementschnittstellen oder Protokolle, wie Telnet, SNMP oder HTTP, deaktivieren. Falls ein Angreifer doch die IP-Adresse eines SAN-Switches kennt, bildet der Authentifizierungsprozess bzw. das Login die nächste Verteidigungslinie.

Unternehmen sollten stets sichere Passwörter und nie dasselbe Passwort für mehrere Logins verwenden. Unsichere Passwörter sind die am häufigsten auftretende und ausgenutzte Sicherheitslücke in SANs – und IT-Geräten im Allgemeinen.

Verhindern, dass SANs Scheunentore werden

Eine weitere Gefahr für SANs stellt Ransomware dar, egal ob sie mutwillig von Mitarbeitern aufgespielt, von Angreifern eingeschleust wird oder durch achtloses Öffnen von Email-Anhängen in das System gelangt. In Deutschland gingen vor kurzem Fälle durch die Medien, in denen sogar Krankenhäuser von Ransomware infiziert und sensible Patientendaten verschlüsselt wurden, um die Einrichtungen zu erpressen.

Zwar waren die Daten in den betroffenen Krankenhäusern auf Backups gespeichert und somit in Sicherheit, dennoch richtete die Ransomware erheblichen Schaden an. Doch die Dunkelziffer für Unternehmen, die die Angreifer lieber auszahlen als an die Öffentlichkeit zu gehen, lässt sich nicht bestimmen.

Jedes Unternehmen, das ein SAN verwendet, sollte „Zoning“ als Taktik in Betracht ziehen. Als SANs vor mehr als einem Jahrzehnt aufkamen, gab es noch keinen Zugangskontrollmechanismus, um Storage, der von einem Host genutzt wird, vor dem Zugriff durch einen anderen Host zu schützen.

Zu Anfangszeiten war dies noch kein relevantes Problem, da SANs noch nicht so komplex waren wie heute. Als SANs jedoch immer weitläufiger wurden, entwickelte sich daraus ein Sicherheitsrisiko. Deshalb hat Brocade das Konzept des „Zoning“ entwickelt. Zoning heißt, dass nur zuvor festgelegte Geräte, die sich innerhalb eines bestimmten Umfelds des SANs befinden, auf dieses zugreifen können.

SAN-Security ist in den vergangenen Jahren immer relevanter für Unternehmen geworden und sollte auf jeder C-Level-Sicherheitsagenda stehen. Vorausdenkende Unternehmen sollten daher immer eine ausgeklügelte Sicherheitsstrategie für ihre SANs haben, um das Risiko von Hackerangriffen und internen Gefahren zu minimieren.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44009603 / Allgemein)