Безопасность хранения данных

Содержание

Слайд 2

Краткое содержание

Технологии хранения данных и новые угрозы
Возможные направления атак
Методы противодействия угрозам

Краткое содержание Технологии хранения данных и новые угрозы Возможные направления атак Методы противодействия угрозам

Слайд 3

Новые угрозы в сетях хранения данных

Новые угрозы в сетях хранения данных

Слайд 4

Технологии сетей хранения

Сети хранения в основном используют протокол Fibre Channel
данные хранятся централизованно,

Технологии сетей хранения Сети хранения в основном используют протокол Fibre Channel данные
в системах хранения, доступны в виде блоков
выделенная сеть создает иллюзию безопасности
администраторы безопасности не подозревают или не интересуются FC-сетями

Слайд 5

Новые угрозы и проблемы безопасности

Сети хранения становятся все больше, количество подключений растет,

Новые угрозы и проблемы безопасности Сети хранения становятся все больше, количество подключений
снижается доверие к сети и устройствам
Подключение удаленных ЦОД через FCIP, CWDM/DWDM
Традиционные проблемы безопасности, существовавшие в IP-сетях актуальны и в FC SAN
WWN spoofing, E-Port replication, MitM-attacks во многом сходны со своими «родственниками» в IP

Слайд 6

Новые угрозы и проблемы безопасности

Архитектура сетей Fibre Channel обеспечивает доступ к служебной

Новые угрозы и проблемы безопасности Архитектура сетей Fibre Channel обеспечивает доступ к
информации для любых устройств
Администраторы систем и сетей хранения не имеют опыта в области информационной безопасности
Управление устройствами в сети хранения осуществляется по тому же каналу, что и передача данных (in-band)
Протоколы аутентификации устройств (стек FCSP) окончательно не разработаны

Слайд 7

Атаки в сетях Fibre Channel

Атаки в сетях Fibre Channel

Слайд 8

Session Hijacking

В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence)
последовательности определяются

Session Hijacking В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence)
Seq_ID, каждый пакет в рамках последовательности определяется Seq_CNT
Seq_ID остается постоянным, Seq_CNT увеличивается на единицу в каждом пакете
Может быть применимо для подмены in-band сессии управления, например, дисковым массивом

Слайд 9

MitM Attack

В сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается

MitM Attack В сети FC соответствие между 64-bit WWN и 24-bit FCID
средствами Fabric Name Server
FNS расположен по известному адресу 0xfffffc, запрос на регистрацию не аутентифицируется

Слайд 10

WWN Spoofing

WWN используется для аутентификации узлов как при организации zoning, так и

WWN Spoofing WWN используется для аутентификации узлов как при организации zoning, так
для LUN masking
ПО драйверов позволяет изменить WWN

Слайд 11

E-Port Replication

Взаимодействие коммутаторов в FC-сети осуществляется через E-port
Аутентификация при подключении коммутаторов не

E-Port Replication Взаимодействие коммутаторов в FC-сети осуществляется через E-port Аутентификация при подключении
производится
атакующий может объявить себя коммутатором FC
«коммутатор» может управлять маршрутизацией в фабрике
«коммутатор» может изменять политики zoning
«коммутатор» может объявлять о существовании новых узлов

Слайд 12

Сценарий атаки

Сценарий атаки

Слайд 13

Атака через сеть хранения

Атака через сеть хранения

Слайд 14

Методы противодействия

Методы противодействия

Слайд 15

Аутентификация

Аутентификация устройств в сети хранения: протокол FCSP
Обеспечивает аутентификацию устройств (host-to-switch и switch-to-switch,

Аутентификация Аутентификация устройств в сети хранения: протокол FCSP Обеспечивает аутентификацию устройств (host-to-switch
host-to-host) в сети хранения Fibre Channel
Реализация FCSP DH-CHAP поддерживается рядом производителей FC-коммутаторов и FC-HBA
Аутентификация устройств интегрируется в общую платформу аутентификации (RADIUS)

Слайд 16

Авторизация

Ближайший этап – использование PKI для аутентификации устройств (FCAP)

Авторизация Ближайший этап – использование PKI для аутентификации устройств (FCAP)

Слайд 17

Авторизация

Сейчас используются WWN
Использовать:
port-based zone
hardware zoning
port locking
VSAN (Cisco-only)

Авторизация Сейчас используются WWN Использовать: port-based zone hardware zoning port locking VSAN (Cisco-only)

Слайд 18

Конфиденциальность

Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи

Конфиденциальность Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей
данных в силу агрегации информации в одной точке
В настоящий момент стек FC не предусматривает никаких средств криптозащиты
ведется, но не закончена, разработка стека протоколов FCSec
Для FCIP и iSCSI применим IPSec
Рекомендуется защищать не только среду передачи, но и сами данные в процессе хранения
Имя файла: Безопасность-хранения-данных.pptx
Количество просмотров: 220
Количество скачиваний: 0