Безопасность хранения данных

Февраль 15, 2021

Главная
Разное
Безопасность хранения данных

Содержание

2. Краткое содержание Технологии хранения данных и новые угрозы Возможные направления атак Методы противодействия угрозам
3. Новые угрозы в сетях хранения данных
4. Технологии сетей хранения Сети хранения в основном используют протокол Fibre Channel данные хранятся централизованно, в системах
5. Новые угрозы и проблемы безопасности Сети хранения становятся все больше, количество подключений растет, снижается доверие к
6. Новые угрозы и проблемы безопасности Архитектура сетей Fibre Channel обеспечивает доступ к служебной информации для любых
7. Атаки в сетях Fibre Channel
8. Session Hijacking В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence) последовательности определяются Seq_ID, каждый
9. MitM Attack В сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается средствами Fabric Name
10. WWN Spoofing WWN используется для аутентификации узлов как при организации zoning, так и для LUN masking
11. E-Port Replication Взаимодействие коммутаторов в FC-сети осуществляется через E-port Аутентификация при подключении коммутаторов не производится атакующий
12. Сценарий атаки
13. Атака через сеть хранения
14. Методы противодействия
15. Аутентификация Аутентификация устройств в сети хранения: протокол FCSP Обеспечивает аутентификацию устройств (host-to-switch и switch-to-switch, host-to-host) в
16. Авторизация Ближайший этап – использование PKI для аутентификации устройств (FCAP)
17. Авторизация Сейчас используются WWN Использовать: port-based zone hardware zoning port locking VSAN (Cisco-only)
18. Конфиденциальность Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи данных в силу
20. Скачать презентацию

Краткое содержание
Технологии хранения данных и новые угрозы
Возможные направления атак
Методы противодействия угрозам

Новые угрозы в сетях хранения данных

Технологии сетей хранения
Сети хранения в основном используют протокол Fibre Channel
данные хранятся централизованно,

в системах хранения, доступны в виде блоков
выделенная сеть создает иллюзию безопасности
администраторы безопасности не подозревают или не интересуются FC-сетями

Новые угрозы и проблемы безопасности
Сети хранения становятся все больше, количество подключений растет,

снижается доверие к сети и устройствам
Подключение удаленных ЦОД через FCIP, CWDM/DWDM
Традиционные проблемы безопасности, существовавшие в IP-сетях актуальны и в FC SAN
WWN spoofing, E-Port replication, MitM-attacks во многом сходны со своими «родственниками» в IP

Слайд 6

Новые угрозы и проблемы безопасности
Архитектура сетей Fibre Channel обеспечивает доступ к служебной

информации для любых устройств
Администраторы систем и сетей хранения не имеют опыта в области информационной безопасности
Управление устройствами в сети хранения осуществляется по тому же каналу, что и передача данных (in-band)
Протоколы аутентификации устройств (стек FCSP) окончательно не разработаны

Слайд 7

Атаки в сетях Fibre Channel

Слайд 8

Session Hijacking
В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence)
последовательности определяются

Seq_ID, каждый пакет в рамках последовательности определяется Seq_CNT
Seq_ID остается постоянным, Seq_CNT увеличивается на единицу в каждом пакете
Может быть применимо для подмены in-band сессии управления, например, дисковым массивом

Слайд 9

MitM Attack
В сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается

средствами Fabric Name Server
FNS расположен по известному адресу 0xfffffc, запрос на регистрацию не аутентифицируется

Слайд 10

WWN Spoofing
WWN используется для аутентификации узлов как при организации zoning, так и

для LUN masking
ПО драйверов позволяет изменить WWN

Слайд 11

E-Port Replication
Взаимодействие коммутаторов в FC-сети осуществляется через E-port
Аутентификация при подключении коммутаторов не

производится
атакующий может объявить себя коммутатором FC
«коммутатор» может управлять маршрутизацией в фабрике
«коммутатор» может изменять политики zoning
«коммутатор» может объявлять о существовании новых узлов

Слайд 12

Сценарий атаки

Слайд 13

Атака через сеть хранения

Слайд 14

Методы противодействия

Слайд 15

Аутентификация
Аутентификация устройств в сети хранения: протокол FCSP
Обеспечивает аутентификацию устройств (host-to-switch и switch-to-switch,

host-to-host) в сети хранения Fibre Channel
Реализация FCSP DH-CHAP поддерживается рядом производителей FC-коммутаторов и FC-HBA
Аутентификация устройств интегрируется в общую платформу аутентификации (RADIUS)

Слайд 16

Авторизация
Ближайший этап – использование PKI для аутентификации устройств (FCAP)

Слайд 17

Авторизация
Сейчас используются WWN
Использовать:
port-based zone
hardware zoning
port locking
VSAN (Cisco-only)

Слайд 18

Конфиденциальность
Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи

данных в силу агрегации информации в одной точке
В настоящий момент стек FC не предусматривает никаких средств криптозащиты
ведется, но не закончена, разработка стека протоколов FCSec
Для FCIP и iSCSI применим IPSec
Рекомендуется защищать не только среду передачи, но и сами данные в процессе хранения

Безопасность хранения данных

Содержание

Слайд 2

Краткое содержание
Технологии хранения данных и новые угрозы
Возможные направления атак
Методы противодействия угрозам

Слайд 3

Новые угрозы в сетях хранения данных

Слайд 4

Технологии сетей хранения
Сети хранения в основном используют протокол Fibre Channel
данные хранятся централизованно,

Слайд 5

Новые угрозы и проблемы безопасности
Сети хранения становятся все больше, количество подключений растет,

Слайд 6

Новые угрозы и проблемы безопасности
Архитектура сетей Fibre Channel обеспечивает доступ к служебной

Слайд 7

Атаки в сетях Fibre Channel

Слайд 8

Session Hijacking
В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence)
последовательности определяются

Слайд 9

MitM Attack
В сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается

Слайд 10

WWN Spoofing
WWN используется для аутентификации узлов как при организации zoning, так и

Слайд 11

E-Port Replication
Взаимодействие коммутаторов в FC-сети осуществляется через E-port
Аутентификация при подключении коммутаторов не

Слайд 12

Сценарий атаки

Слайд 13

Атака через сеть хранения

Слайд 14

Методы противодействия

Слайд 15

Аутентификация
Аутентификация устройств в сети хранения: протокол FCSP
Обеспечивает аутентификацию устройств (host-to-switch и switch-to-switch,

Слайд 16

Авторизация
Ближайший этап – использование PKI для аутентификации устройств (FCAP)

Слайд 17

Авторизация
Сейчас используются WWN
Использовать:
port-based zone
hardware zoning
port locking
VSAN (Cisco-only)

Слайд 18

Конфиденциальность
Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи

Безопасность хранения данных

Содержание

Краткое содержаниеТехнологии хранения данных и новые угрозыВозможные направления атакМетоды противодействия угрозам

Новые угрозы в сетях хранения данных

Технологии сетей храненияСети хранения в основном используют протокол Fibre Channelданные хранятся централизованно,

Новые угрозы и проблемы безопасностиСети хранения становятся все больше, количество подключений растет,

Новые угрозы и проблемы безопасностиАрхитектура сетей Fibre Channel обеспечивает доступ к служебной

Атаки в сетях Fibre Channel

Session HijackingВ сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence)последовательности определяются

MitM AttackВ сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается

WWN SpoofingWWN используется для аутентификации узлов как при организации zoning, так и

E-Port ReplicationВзаимодействие коммутаторов в FC-сети осуществляется через E-portАутентификация при подключении коммутаторов не

Сценарий атаки

Атака через сеть хранения

Методы противодействия

АутентификацияАутентификация устройств в сети хранения: протокол FCSPОбеспечивает аутентификацию устройств (host-to-switch и switch-to-switch,

АвторизацияБлижайший этап – использование PKI для аутентификации устройств (FCAP)

АвторизацияСейчас используются WWNИспользовать:port-based zonehardware zoningport lockingVSAN (Cisco-only)

КонфиденциальностьПроблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи

Похожие презентации

Краткое содержание
Технологии хранения данных и новые угрозы
Возможные направления атак
Методы противодействия угрозам

Технологии сетей хранения
Сети хранения в основном используют протокол Fibre Channel
данные хранятся централизованно,

Новые угрозы и проблемы безопасности
Сети хранения становятся все больше, количество подключений растет,

Новые угрозы и проблемы безопасности
Архитектура сетей Fibre Channel обеспечивает доступ к служебной

Session Hijacking
В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence)
последовательности определяются

MitM Attack
В сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается

WWN Spoofing
WWN используется для аутентификации узлов как при организации zoning, так и

E-Port Replication
Взаимодействие коммутаторов в FC-сети осуществляется через E-port
Аутентификация при подключении коммутаторов не

Аутентификация
Аутентификация устройств в сети хранения: протокол FCSP
Обеспечивает аутентификацию устройств (host-to-switch и switch-to-switch,

Авторизация
Ближайший этап – использование PKI для аутентификации устройств (FCAP)

Авторизация
Сейчас используются WWN
Использовать:
port-based zone
hardware zoning
port locking
VSAN (Cisco-only)

Конфиденциальность
Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи