探索中国CIO人才现状 | 第四季调研报告
企业数据风险及其控制
2014-10-26  来源:techtarget

数据的风险分类

数据风险有两个关键领域,而这些都关系到如何将数据提交给客户。第一个风险涉及数据可被非授权的系统进行访问。第二个风险是非授权的人员访问数据。

非授权系统的访问

非授权的系统访问受保护的数据的可能性乍一看似乎不太可能。但是,当你考虑到所有可能产生的系统管理员的错误或故意非法访问,数据被入侵的潜在问题便开始增加。那么,非授权系统如何获取对另一个系统的数据的访问呢?

在这种情况下,该数据很可能将通过一个LUN的形式提交。此LUN可以通过任何一个光纤通道连接或互联网小型计算机系统接口(iSCSI)连接来提供。这两种连接类型呈现了相同级别的风险。攻击LUN将需要使用欺骗,使用一台电脑的主机总线适配器(HBA)来改变它呈现给目标系统的WWN。

这个目标不太容易完成,因为光纤通道端口一般不使用端口镜像,而攻击者试图拦截(嗅探)流量以了解WWNs在网络上传输数据的方法。攻击者想要欺骗WWN需要关于他们应该针对哪台主机WWNs的内部信息。然而,这在理论上是可能的。

尽管有困难,利用主机欺骗WWN的能力是潜在的风险——而一旦该WWN被欺骗,许多存储环境中的保护措施将被暴露。理论上,WWN欺骗将不得不通过分区定义访问——如果WWN分区被使用,而这是经常发生的情况——同时存储阵列提供的LUN掩码通常基于WWNs进行配置。绕过这两个关键的安全方法,入侵的主机可以访问这些LUN上的所有数据。

思考在单个磁盘的环境中。假设你已经从一台服务器删除了一个磁盘,并把它放在另一台服务器上——原有的系统对文件保护的措施将发生什么情况?磁盘现在由新的操作系统所拥有,作为这个流氓系统的管理员或root身份,你现在可以更改数据访问的权限。只要攻击者从卷读取和避免写入数据,原来的主机可能永远不会察觉已经发生过什么异常。

防止WWN欺骗和嗅探的另一个最佳实践是交换机专用,连接存储设备只为服务器和存储提供服务,这样终端用户设备和其他系统则不允许共享交换机硬件。这种方法依赖于交换机的物理安全性来限制你的风险。

数据暴露于一个非授权系统的风险的另一种途径是存储管理员故意或疏忽的配置。存储管理员可以故意或错误地分配LUN到错误的服务器,或者可能为特定服务器选择了错误的LUN。在这两种情况下,没有什么会妨碍管理员这样做,因为分区存在,服务器将被正确连接且分区到阵列。因为服务器会被正确注册到阵列中, LUN屏蔽也不会阻止它的。你可能想知道为什么存储阵列允许这样做。由于迁移的目的,存储供应商提供服务器之间的LUN共享能力,以支持服务器集群。虚拟集群的普及是常见的。为了从一台主机移动虚拟服务器到另一台主机,LUN必须在主机之间共享。

当决定如何保护你的存储时,识别关于LUNs对服务器造成的风险是非常重要的。

非授权人员的访问

服务器上静止数据的另一个风险是通过内置服务器中的数据访问机制攻击服务器本身。当服务器被攻陷从而将数据暴露给攻击者时,服务器控制的所有数据将遭受系统本身授权机制的风险。

一旦服务器在攻击者的控制下,攻击者就有改变文件系统权限的能力,这样新的操作系统所有者可以允许访问所有数据。为了收集信息,入侵系统的攻击者并不一定需要开始更改文件系统。也许是攻击者只关心截获的内容或从存储器读取的数据。正如有些工具可以嗅探有线和无线网络的网络流量,有些工具可以嗅探光纤通道网络上的流量。使用入侵系统,或者恶意软件,入侵者可以执行一个嗅探工具并收集系统数据。此外,通过访问这个入侵的系统,攻击者可以发动多次对存储基础架构攻击以获得其他服务器数据的访问。

数据风险管控最佳实践

对于存储基础设施和位于其上数据的风险,可以采取什么措施来设计一个健壮的体系架构抵御攻击呢?以下做法提供了最佳可行的缓解实践。

· 分区

基于端口的分区,通过主机和存储阵列之间的连接的控制提高了安全性。分区这种方法提供了对一个WWN欺骗攻击的保护。通过端口分区,即使主机系统被引入到一个伪造的WWN的环境中,主机也需要交换机定义的端口中,以便它的访问流量可以传输到存储阵列,因为区域基于端口进行配置的。通过分区的方式,交换机提供了路径,从服务器的HBA到阵列的HBA 。没有那个分区, WWN欺诈就没有路径到阵列。

· 阵列

阵列已经发展很长时间提供LUN掩码作为保护LUN不会被非授权服务器访问的一种形式。 LUN被非授权系统访问的最可能的原因是存储管理员偶然的或故意的错误配置。针对这一点,最好的防御是确保存储管理员是可信的,胜任的,以及控制和限制只有少数训练有素,可靠的管理员进行存储阵列的管理。

· 服务器

为了充分保证存储环境,你必须确保对服务器环境本身进行控制和监视。确保存储基础架构本身是不够的。对任何服务器的访问都可以显著将服务器和存储环境暴露给有害的活动。重要的是,服务器被安全地配置,并且该设备位于有访问控制和监控的安全设施中。变更管理和实时监控,跟踪更改系统和管理员在服务器上的活动,应与存储环境的安全一起实施。不仅在承载数据的服务器,也可用于管理阵列和交换机的管理服务器上采取这些步骤。

· 员工

当雇用个人来管理安全存储环境时,必要的技能应包括扎实的存储安全实践知识。计算机安全方法的背景和培训应该被视为一个重要的要求。当然,管理存储阵列的培训和经验也很重要,最好是关于在你的组织中使用的产品,而不是委任其他一些平台管理存储基础架构的管理员。此外,由于SAN是存储和网络融合的结果,具有网络背景可以是非常有价值的。

· 异地数据存储

异地存储数据(安全地)是任何组织业务连续性流程的一个重要方面。许多厂商会拿起备份磁带并将其移到一个安全的设施。应该对这些设施进行定期审计,以确保向异地发送的所有数据可问责。为了保护数据,不管在磁盘或磁带上都应该被加密。任何形式的在线数据备份应该采用端到端的加密方法。