Herzlich willkommen! Bad Homburg Hamburg München

Transkript

1 Herzlich willkommen! Bad Homburg Hamburg München

2 Storage Security

3 Agenda: Storage Security vergessene Priorität höchstes Potential Storage Security Anforderungen Technologien Prozesse Anforderungen an ein Storage Security Audit

4 Storage Security Vergessene Priorität Einige Beispiele Iron Mountain verliert Tapes 3. Mai 2005 Iron Mountain verliert 40 Backup Tapes mit Personbezogenen Daten von ehemaligen und aktuellen Mitarbeitern der Firma Warner Bros. Sovereign Bank verklagt BJ s Wholesale wegen Kreditkarten-Daten Diebstahl 27. April 2005 Die Sovereign Bank verklagt den Großhändler auf Schadenersatz, weil er die Sicherheitsstandards von VISA nicht eingehalten hat und damit der Bank finanziellen Schaden zugefügt hat. BJ s hatte Daten, die eigentlich gelöscht hätten müssen, immer noch auf einem System gespeichert. Die Hardware wurde gestohlen und damit die persönlichen Daten von hunderten Kunden direkt kompromittiert. Schweizer Bank kämpft mit Totalausfall der Geldautomaten November 2004 Aufgrund einer Attacke eines aggressiven Computervirusses auf zentrale Datenbanksysteme wurden sämtliche Geldautomaten des Instituts für mehr als sechst Stunden lahmgelegt.

5 Storage Security Vergessene Priorität Storage Security umfasst folgende Bereiche: Vertraulichkeit Integrität Verfügbarkeit

6 Storage Security Vergessene Priorität Anforderungen: Vertraulichkeit - Schutz vor unautorisierter Preisgabe Aufgrund gesetzlicher Regelungen wird es immer wichtiger, Daten sicher unter Verschluss zu halten. Preisgabe (absichtlich oder unabsichtlich) führt zu (meist auch juristischen) Problemen. Der Trend wird sich wohl weiter verstärken. - Schutz vor Diebstahl Die Bedrohung durch Datendiebstahl steigt. Industriespionage, organisiertes Verbrechen oder auch hochmotivierte Hacker stellen ernstzunehmende Bedrohungen der Datenvertraulichkeit dar.

7 Storage Security Vergessene Priorität Anforderungen: Integrität - Schutz vor Veränderung der Daten Absichtliche oder Unabsichtliche Änderungen an Datenbeständen können rechtliche wie finanzielle folgen nach sich ziehen - Schutz vor Datenkorruption oder Datenverlust Aufgrund von Fremdeinwirkungen, unterschätzter Komplexität der Storageumgebungen und übersehener oder unüberschaubarer Abhängigkeiten wird es zunehmen wahrscheinlicher, dass es zu (auch unentdeckter) Datenkorrpution kommt. - Regulatorien / Compliance Vor dem Hintergrund der verschiedenen rechtlichen Anforderungen wird es immer wichtiger, nachweisen zu können, dass Daten authentisch sind und dies auch dem Kunden gegenüber auf Transaktionsebene herunterbrechen zu können.

8 Storage Security Vergessene Priorität Anforderungen: Verfügbarkeit - Schutz vor Verlust der Daten ist sicher eine der gängisten Disziplinen im Storage Bereich und wird von vielen beherrscht. - Sicherstellen des Datenzugriffs Häufig zusammengefasst unter den Begriffen Business Continuance oder Service Continuity stellt dies heute eine Hauptkomponente der Sicherheitsbemühungen dar.

9 Storage Security Vergessene Priorität Problemquellen: Hacker Viren Hardwarefehler Benutzerfehler Industriespionage Softwarefehler Naturkatastrophen Sabotage Organisiertes Verbrechen Terrorismus

10 Storage Security Potential im Channel Technologien: Backup speziell CDP Remote Replikation SAN und iscsi Security Produkte Verschlüsselung (für Daten im Transit und Daten in Ruhe) Dienstleistung: Bewertung und Analyse (Storage Security Audit) Implementierung

11 Storage Security Wunde Punkte Vaulting Links Arrays Replikation SAN iscsi Server und Filesysteme Switches LAN Management IP Storage NAS Remote Office Management-Applikationen Usersysteme

12 Storage Security Anforderungen Absicherung der Angriffspunkte: Authentifizierung der Server (LUN Masking, Zoning, Binding) Schutz vor Spoofing (Hardzoning, Frame-Filtering, iscsi CHAP) Schutz vor Sniffing (Verschlüsselung, Tunneling, Monitoring) Schutz vor menschlichen Fehlern Absicherung der Daten: Schutz vor Verlust (Backup, CDP, Business Continuance) Schutz vor unerlaubtem Zugriff

13 Storage Security Technologie-Beispiele Verschlüsselung Vaulting Potentielle Bedrohungsebenen: File System (Host-Seite) Array (LUN Masking) SAN (Kabel und Switches) Backup Tapes

14 Storage Security Technologie-Beispiele Absicherungsmöglichkeiten und Anforderungen Host Seite File System Encryption über das Betriebssystem File System Encryption über zusätzliche Softwarepakete Hardware Encryption auf dem Array oder in der Infrastruktur Array SAN Standardfeature des Arrays oder der Array Management Software Zentrales Provisioning und Auditing über Storage Resource Management Software Encryption über Appliances Signalüberwachung Backup Tapes Hardware Encryption im Laufwerk oder mittels Appliances Software Encryption über die Backup-Software

15 Storage Security Technologie-Beispiele Verschlüsselung Vaulting Hardware Verschlüsselung hat viele Vorteile kann an verschiedenen Punkten der Infrastruktur ansetzen kann Daten im Transit ebenso wie in Ruhe verschlüsseln beeinträchtigt nicht die Leistungsfähigkeit der Server bietet meist die stärkere Verschlüsselung (3DES als Minimumstandard) bietet häufig schon Verschlüsselung in wire speed erlaubt Plattform- und Applikationsunabhängiges Schlüsselmanagement

16 Storage Security Technologie-Beispiele Storage Resource Management und Provisioning Der typische IST-Zustand Zentrale SAN Komponenten (FC, iscsi) SAN Zentrale Storage Systeme (FC, iscsi) Heterogene Server (FC, iscsi) LAN Management Verteilte Management Applikationen und User (LAN) Probleme und Schwachpunkte viele User, die auf unabhängigen Management-Applikationen Veränderungen an der Infrastruktur vornehmen können/dürfen viele Zugangspunkte Kein zentrales Reporting und Auditing

17 Storage Security Technologie-Beispiele Storage Resource Management und Provisioning Der Ideal-Zustand Zentrale Resource Management Applikation übernimmt Provisioning SAN Zentrale Resource Management Applikation übernimmt Monitoring und Security Auditing Zentrale Management Applikation interagiert mit oder übernimmt Zugriffsschutz hin zum Management LAN

18 Storage Security Best Practices Erste Schritte zu einer sicheren Storage Umgebung Aufbau eines separaten Speichernetzes (das gilt besonders für IP und speziell iscsi) Benutzung von Hard Zoning im SAN oder äquivalenter Methoden im LAN Sicherstellen der Datenverfügbarkeit (DT, Backup, BC, DR) Zugriffskontrolle durch ACLs und Authentifizierung (für User und Hosts) Zentralisierung des Managements Überwachen und Verwalten von Änderungen Verschlüsselung Physikalischer Zugriffs- und Zugangs-Schutz Risikoabschätzung

19 Storage Security Prozesse und Best Practice Storage Security Audit Potential für Dienstleistung Risikoabschätzung Inventarerfassung (Hosts, Applikationen, Infrastruktur, Storage Systeme) Relevanzanalyse (Business Impact Analysis) Verfügbarkeitsanalyse Bedrohungsanalyse Dienstleistungen und Produkte Storage Ressource Management Consulting

20 Storage Security Prozesse und Best Practice Storage Security Audit Potential für Dienstleistung Risikominderung oder -vermeidung Backup Business Continuance Verschlüsselung Monitoring und Auditing Dienstleistungen und Produkte Storage Ressource Management Encryption-Software und -Appliances Backup- und Replikationssoftware Implementierung Consulting

21 Storage Security Prozesse und Best Practice Storage Security Audit Potential für Dienstleistung Risikominderung oder -vermeidung Backup Business Continuance Verschlüsselung Monitoring und Auditing Dienstleistungen und Produkte Storage Ressource Management Encryption-Software und -Appliances Backup- und Replikationssoftware Implementierung Consulting

22 Fragen?

23 Danke!