Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Защита хранящихся корпоративных данных

Дон Маквитти

Возможность взлома инфраструктуры хранения данных делает критически важную информацию крайне уязвимой. Ниже мы расскажем о том, как усилить информацион-ную безопасность, не очень сильно обременяя пользователей.

Устройства хранения данных являются новым слабым звеном системы сетевой безопасности. Если вы каждые пять месяцев сталкиваетесь с пропажей значительных объемов данных, то можете быть уверены: у вас периодически случаются и более мелкие кражи информации, которые остаются необнаруженными. Сетевые специалисты стараются взять реванш, но, признавая важность защиты хранящихся данных (в рамках более общего процесса обеспечения информационной безопасности предприятия), они не могут прийти к согласию насчет того, как это следует делать. Ясно одно: ущерб от потери данных и повреждения систем их хранения (помимо нанесения урона имиджу компании) может быть очень велик, поэтому для большинства фирм крайне важно иметь план мероприятий, которые помогли бы избежать подобных происшествий. Пропажа конфиденциальной информации чревата подачей исков против компании и ее закрытием.

К счастью, большинство специалистов понимают это. В ходе недавно проведенного нами опроса 600 читателей 70% респондентов ответили, что руководство их организаций признает необходимость использования средств защиты информационных хранилищ. Менее 10% опрошенных сказали, что вполне удовлетворены имеющимися системами и процессами обеспечения информационной безопасности. Опрос к тому же показал, что сохраняются проблемы в отношениях между разными группами ИТ-специалистов предприятия — главным препятствием для эффективной защиты хранящихся данных респонденты назвали отсутствие должного взаимодействия и взаимопонимания между специалистами по безопасности и персоналом, обслуживающим сеть SAN.

Полную версию данной статьи смотрите в 11-ом номере журнала за 2006 год.

Проблемы

Уязвимость систем хранения данных не должна вызывать удивления. Все дело в том, что бизнес-приложения реализуются не для защиты информации, а для облегчения ведения бизнеса путем предоставления нужных данных пользовате-лям, клиентам и бизнес-партнерам, а также для получения информации от них. Средства и функции безопасности обычно добавляются к приложени-ям во вторую очередь, поскольку прежде всего приложения должны делать то, для чего предназначены, в противном случае защита становится просто ненужной.

Для хранения корпоративных данных используются шесть основных видов памяти: запоминающие устройства DAS (Direct Attached Storage) — это напрямую подключаемые к компьютерам жесткие диски; системы NAS (Network Attached Storage) — файловые серверы, взаимодействующие с клиентскими машинами по протоколу CIFS или NFS; выделенные сети SAN на базе технологии Fibre Channel (работают не по протоколу IP); сети SAN на базе протокола iSCSI (в массивах iSCSI данные хранятся в том же виде, что и на устройствах DAS, но эти массивы удалены от хостов); магнитные ленты и оптические диски.

Проблема связана с тем, что защита данных, хранящихся в разного рода системах, осуществляется с применением разных же подходов. Так, в случае, когда задействуются устройства памяти блочного уровня (ленточные накопители, дисковые массивы iSCSI и Fibre Channel), обычно практикуется контроль доступа на уровне хостов. Это означает, что система хранения данных “знает”, какие удаленные хосты “имеют право” осуществлять доступ к хранящейся в ней информации и управление доступом выполняется только на основе этого “знания”. Недостатком такого подхода является то, что он обеспечивает менее высокий уровень безопасности, чем контроль доступа на уровне пользователей. Тот факт, что, например, хост Х “видит” в сети SAN только логические диски Y и Z, не гарантирует защиты хранящихся на них данных, поскольку на хосте X может зарегистрироваться человек, который не должен обращаться к указанным дискам, но доступ к ним он все-таки получит — проверяются-то права компьютера, а не пользователя. Существующие методологии контроля доступа на уровне хостов не эффективны.

Производители устройств памяти блочного уровня утверждают, что реализация контроля доступа на уровне пользователей выходит за рамки их деятельности и что это должно быть функцией ОС. Однако следует учесть, что система хранения данных находится ближе к защищаемой информации (чем использующий ее сервер) и если контроль доступа конфигурируется на уровне системы хранения, то это делается только один раз (для всех потребителей информации). Но при конфигурировании контроля доступа на уровне серверов конфигурационные данные приходится объединять с информацией о других параметрах конфигурации сервера и реплицировать на все серверы, которые должны осуществлять доступ к системе хранения. Такой подход является неэффективным и труднореализуемым, особенно в гетерогенных сетях и в сетях с часто изменяющимся составом оборудования.

Еще одна проблема связана с использованием устройств NAS. Их работа основана на небезопасных протоколах CIFS и NFS: в первом больше “дыр”, чем в швейцарском сыре, а второй уже несколько раз взламывали. Это является следствием “происхождения” указанных протоколов: они разрабатывались для предоставления сетевого доступа к данным, а не для блокирования обращений к ним. И хотя сегодняшние реализации обоих протоколов используют службы справочника для сбора данных, относящихся к обеспечению информационной безопасности, и поддерживают шифрование передаваемых по сети данных, в этих реализациях все еще имеются серьезные недостатки. Например, средства CIFS объявляют о своем присутствии в сети всем, кто готов слушать. Это помогает ИТ-специалистам обслуживать сеть, но — и хакерам проникать в нее. И если вы не отредактируете должным образом системный реестр на серверах, CIFS останется уязвимым к атакам типа man-in-the-middle, связанным с перехватом информации. Отредактировав реестр, вы можете активизировать функцию подписания пакетов CIFS, которая будет прикреплять “ярлыки” к каждому пакету каждого соединения, исключая, таким образом, возможность модификации передаваемых данных хакерами (посредством атак типа man-in-the-middle). Нам ничего не известно о серьезных попытках взлома CIFS-подписи. Похоже, они и не предпринимались, поскольку соответствующая функция по умолчанию выключена, а включить ее непросто, к тому же она плохо документирована. Если же функция CIFS-подписания станет активной по умолчанию, спустя непродолжительное время этот вид подписи будет взломан. Чтобы использовать CIFS-подписание, вам придется модифицировать параметры реестра на всех машинах, нуждающихся в доступе к разделяемым ресурсам, размещенным на сервере с включенной опцией CIFS signing required (“Требуется подпись CIFS”). На работающих не под управлением Windows устройствах NAS эта функция поддерживается довольно редко.

И еще один нюанс. В отличие от блочной памяти любая физическая машина может “видеть” все размещенные на устройстве NAS данные, поскольку доступ к файлам ограничивается только на основе идентификаторов пользователей и их групп. Таким образом, если злоумышленник как-нибудь сумеет задействовать учетную запись с высоким уровнем привилегий, он сможет обращаться ко всем хранящимся на устройстве NAS данным с любой машины, имеющей связь с этим устройством. На практике число ПК, которым действительно нужен доступ к устройствам NAS и разделяемым ресурсам на них, невелико, поэтому следует реализовать механизм, который ограничивал бы это число в рамках политики безопасности, без использования технологии виртуальных ЛВС (ВЛВС).

Магнитные ленты (или диски CD-ROM на небольших предприятиях) еще одна разновидность небезопасных средств хранения данных. Если предприятие, хранящее резервные копии своих данных в удаленном хранилище, не шифрует копируемую информацию, то существует риск того, что она станет известна злоумышленникам, поскольку по дороге в хранилище носители с копиями иногда теряются (курьер случайно оставил их в местном Макдональдсе) или их может прочитать посторонний. В этом отношении использовать диски CD-ROM и DVD даже опаснее, чем магнитные ленты, так как оптические приводы распространены шире ленточных накопителей.

Высокотехнологичная “замазка” для “дыр”

Очень часто шифрование данных рекламируется как решение всех проблем, связанных с безопасностью их хранения. Мы считаем это преувеличением. Пройдет еще не мало времени, прежде чем появятся усовершенствованные методы и средства шифрования хранящейся и передаваемой информации, которые позволят нам спокойно спать по ночам. Следует учитывать и тот факт, что приложения по-прежнему работают с незашифрованными данными, а, значит, злоумышленник, получающий доступ к устройству с запущенным на нем приложением, получает доступ и к данным, которые может “видеть” это устройство.

Кроме того, использование шифрования создает сложную проблему управления ключами дешифрования. Пока хранящиеся зашифрованные данные остаются актуальными для деятельности предприятия, его сотрудники должны иметь возможность читать их, а для этого им нужен соответствующий ключ. В большинстве компаний имеется информация, которая должна храниться по меньшей мере в течение семи лет, а за это время используемые на предприятии ключи наверняка изменятся. И хотя существуют системы, которые позволяют сделать так, чтобы новые ключи работали со старыми данными, они (эти системы) редко используются на практике, поскольку вся информация должна быть сначала дешифрована, а затем зашифрована повторно.

Шифрование тогда станет панацеей от всех бед, когда разработчики научатся создавать приложения, использующие только зашифрованные данные. До тех пор оно останется лишь частью арсенала защитных методов и средств. В настоящее время имеются средства шифрования информации, записываемой на магнитные ленты, а также продукты, шифрующие файлы и базы данных.

Архитектурные варианты

Выбор средств и методов обеспечения безопасности инфраструктуры хранения данных зависит от ее архитектуры.

Устройства DAS. В начале текущего года сотрудник фирмы Fidelity Investments, предоставляющей финансовые услуги, взял с собой на деловую встречу за пределами фирмы ноутбук с конфиденциальной информацией о более чем 196 тыс. настоящих и бывших служащих компании Hewlett-Packard, и этот ноутбук украли. После того как данный факт пропажи стал достоянием гласности, указанная фирма поспешила заверить общественность, что ею введены строгие правила, регламентирующие вынос устройств с конфиденциальной информацией за пределы фирмы, и что украденные вместе с ноутбуком данные почти невозможно использовать, поскольку срок лицензии на работавшее с ними приложение истек. При этом о шифровании данных не было сказано ни слова. Для нас же совершенно ясно, что информацию, записываемую на устройства, которые выносятся за территорию предприятия, обязательно нужно шифровать. Парольная защита — это только первая линия обороны данных, которая — увы! — довольно легко обходится — стоит всего лишь извлечь диск из компьютера и подключить его к другой машине в качестве второго (незагрузочного) диска. Если же записанные на диске данные зашифрованы, то их нельзя прочитать даже при загрузке машины с другого диска.

Системы NAS — это более проблемные с точки зрения безопасности хранящихся данных устройства. В настоящее время доступ к содержимому большинства из них контролируется с помощью справочника Active Directory или парольных файлов, но, если вы не будете секционировать свою сеть, создавая ВЛВС, предназначенные для работы с устройствами NAS, все машины сети смогут обращаться к такому устройству, поскольку доступ контролируется только на уровне пользователей, которым даются права на разделяемые ресурсы. Это означает, что злоумышленник, находясь в той же самой сети, где размещено устройство NAS, получит список имеющихся разделяемых ресурсов. Чтобы осуществить доступ к данным, он может начать атаку или попытаться использовать разные имена пользователей.

Надежного решения этой проблемы не существует. Лучшее, что вы можете сделать в сети с несколькими небольшими устройствами NAS, — это сконфигурировать ее таким образом, чтобы ВЛВС “отгораживали” эти устройства от тех клиентских машин, которые не должны с ними работать. Та-кой подход эффективен в тех случаях, когда доступ к хранящимся на устройствах NAS данным необходим лишь небольшому числу пользователей или серверов.

Сети iSCSI. Решения на базе протокола iSCSI — это нечто среднее между Fibre Channel-сетями SAN и средами с устройствами NAS. Будущие версии iSCSI-продуктов должны быть хорошо защищенными. Поскольку для передачи данных эти продукты задействуют протокол IP, теоретически возможно ограничить доступ к хранящейся информации на основе идентификаторов пользователей и их групп посредством служб справочника ADS или LDAP, но пока это никем не реализовано. Сегодня доступ к устройствам iSCSI контролируется так же, как и доступ к массивам Fibre Channel-сети SAN, т. е. на основе аппаратных идентификаторов машин. Что же в этом плохого? Да то, что эти идентификаторы “привязаны” к оборудованию, а, значит, в случае замены сервера или его сетевой платы вам придется реконфигурировать средства безопасности, но зато широковещательные сообщения не передаются по всей сети.

Помимо контроля доступа на основе упоминавшихся идентификаторов, задействуйте защитные механизмы ОС. Они не очень надежные, но тем не менее это лучше, чем ничего. Определив права пользователей в отношении томов iSCSI, вы можете ограничить их доступ к указанным томам в дополнение к тем ограничениям, которые накладываются на пользовательские машины. Это действует подобно ограничениям доступа к устройствам NAS и DAS на основе групп в Windows или Unix. Fibre Channel-сети SAN.

Обеспечение информационной безопасности этих сетей — дело непростое, поскольку к ним не применимы понятия пользователей и групп. Сеть SAN пре-доставляет виртуальный диск серверу, а тот делает с ним все, что ему “хочется”. Этот диск можно рассматривать как устройство DAS с той лишь разницей, что данных на нем может храниться гораздо больше, чем на любом из физических дисков. Используемая в сети SAN функция ограничения перечня “видимых” конкретной машиной виртуальных дисков (обычно их называют логическими устройствами) называется маскированием логических устройств (LUN masking). Как оказалось, реализованное только программными средствами маскирование (soft masking) можно преодолеть, поэтому индустрия систем хранения данных движется в направлении к аппаратно-программным решениям. Впрочем, последние страдают схожими проблемами.

Хорошей новостью является то, что пока еще не известно ни об одном случае кражи данных с помощью этой “лазейки”. Поскольку вы ничего не можете с ней сделать, кроме как требовать от производителей реализации аппаратного маскирования, пусть ее существование не слишком беспокоит вас. Риск потери данных представляется минимальным — ведь, чтобы нарушить работу функции маскирования, злоумышленник сначала должен взломать сеть SAN (наверняка у него найдутся более простые способы добраться до конфиденциальной информации). Будем считать маскирование логических устройств вполне надежным.

Осталось организовать защиту хранящейся в сети SAN информации на уровне пользователей. Существует простой способ сделать это, если высокая производительность сети SAN для вас не так важна, как ее большая емкость хранения данных и эффективность использования дисковой памяти. Установите сервер, который должен будет работать в качестве NAS-шлюза, предоставляющего доступ к одному или нескольким логическим устройствам SAN по протоколу CIFS или NFS.

Характерные для данного подхода проблемы с обеспечением безопасности схожи с проблемами, связанными с использованием устройств NAS. Фактически вы создаете еще один уязвимый уровень сетевой архитектуры, подверженный атакам в большей мере, чем сеть SAN. Однако использование шлюза NAS позволяет предотвращать кражу данных самими сотрудниками предприятия — ведь если человек не увидит какой-либо объект данных, то у него и не возникнет желания украсть его. Внедрив шлюз NAS в свою сеть SAN, вы можете уберечь от соблазна злоумышленных действий, в общем-то, лояльных служащих, всего-навсего лишив их возможности видеть те объекты, которые им видеть не нужно. Что же касается опытного хакера, то ему проще преодолеть защиту шлюза NAS, чем проникнуть в сеть SAN.

Магнитная лента. Ее выносят из здания компании и только бог знает, каким маршрутом везут в удаленное хранилище. Единственный реальный способ защитить записанную на ней информацию — зашифровать ее, причем ключ дешифрования не должен храниться на этой же ленте. В случае использования функции шифрования вы должны сохранять ключи и средства дешифрования весь период времени, пока вам необходим доступ к записанной информации. Если же вы, зашифровав информацию, запишите ключ дешифрования на ту же ленту, то сыграете на руку потенциальному злоумышленнику.

Устройства USB. Обезопасить данные путем ограничения использования устройств USB можно с помощью растущего числа продуктов, таких, как программа DeviceWall компании Centennial Software, которая предназначена для блокирования портов USB. Однако на управление доступом к указанным портам уходит значительное время, поскольку потребности пользователей постоянно меняются. Например, сотрудник компании может попросить разрешить ему доступ к порту USB своей настольной системы, и его руководитель, возможно, подтвердит необходимость предоставления этого доступа, но будет ли он по-прежнему нужен сотруднику через полгода? Периодический анализ потребностей пользователей в доступе к портам USB (и пересмотр соответствующих прав) не слишком большая дополнительная нагрузка на ИТ-менеджеров, зато таким образом использование портов и устройств USB сводится к минимуму. Блокирование портов USB окажется бесполезной процедурой без одновременного ограничения доступа к приводам оптических дисков.

Дополнительные меры безопасности

Помимо обеспечения информационной безопасности на уровне устройств памяти, нелишне предпринять и некоторые другие защитные меры. Шифрование передаваемых по сетевым каналам данных защищает их от перехвата злоумышленником, подключившимся к сети предприятия, но не обеспечивает их безопасности на хосте со свободным доступом к информации. Большинство продуктов шифрования баз данных дешифруют их перед отправкой по сети. Увы, системы, которые шифруют хранящиеся данные, ничего не делают для защиты передаваемой информации.

Для гарантии информационной безопасности важна корпоративная политика контроля доступа. Управление правами доступа к конкретным файлам и каталогам с помощью создаваемых средствами ОС групп пользователей предусмотрено в любой системе безопасности. Оно должно быть каждодневной практикой отвечающего за безопасность персонала. Вы же не хотите, чтобы хакер получил доступ ко всем информационным ресурсам вашей сети, взломав, например, учетную запись одного из сотрудников отдела кадров? Ограничение прав доступа к файлам (хотя это и не очень надежная мера) поможет уменьшить число файлов, к которым злоумышленник сможет обратиться в малый промежуток времени. Кроме того, нужно отслеживать действия злоумышленников с помощью журналов аудита.

К сожалению, для управления правами доступа пользователей к файлам и каталогам требуется много времени. Вместо того чтобы пытаться определять права доступа к каждому из нескольких тысяч или миллионов файлов организации для каждого из нескольких сотен или тысяч ее сотрудников, большинство преуспевающих в этом деле организаций наделяют правами доступа только группы пользователей, причем к корневым каталогам или каталогам более низкого уровня.

И наконец, для защиты любых ИТ-систем (не только хранящих данные) от атак внешних хакеров полезными являются обнаруживающие и пресекающие попытки неавторизованного доступа продукты IDS и IPS. В силу ряда технических и социальных причин они менее эффективны против злоумышленников внутри предприятия..





  
11 '2006
СОДЕРЖАНИЕ

бизнес

• Как обуздать стресс, работая в call-центре

инфраструктура

• Защита хранящихся корпоративных данных

• SAS, или Старая песня на новый лад

• Далеко, а рукой подать

• Протоколы внутренней маршрутизации

информационные системы

• Недорогие пакеты управления настольными системами

• Wеb-конференции, которые объединяют мир

сети связи

• Усовершенствованные приемники для оборудования WCDMA

• Файлообменные сети P2P: основные принципы, протоколы, безопасность

кабельные системы

• Открытые монтажные стойки в центрах обработки данных

• Производители кабельных систем приближают беспроводное будущее

защита данных

• Межсетевые экраны для Web-приложений излечивают страх

• Тестируем межсетевые экраны для Web-приложений

новые продукты

• Универсальная радиорелейная платформа компании Alcatel


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх