M 5.130 Absicherung des SANs durch Segmentierung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Ein Storage Area Network ist häufig als Fibre-Channel (FC-SAN) realisiert. Es besteht aus einem oder mehreren Switches, Speichersubsystemen wie Plattensubsystemen oder Sicherungsgeräten wie z. B. Bandlaufwerken. Ein oder mehrere Switches, die miteinander verbunden sind, bilden eine Fabric. An die Switches werden Server angeschlossen, denen Speicher aus den Ressourcen des SAN zugewiesen wird.

Speichersubsysteme, Server und deren Betriebssysteme können, unabhängig voneinander, auch mehrfach zugeordnet werden. So werden einerseits verschiedenen Servern unterschiedliche (logische) Speicherressourcen auf einem Speichersystem zugeordnet, andererseits können einem Server mehrere (räumliche getrennte) Speicherkomponenten zugeordnet werden, um Redundanz für den Server und damit dessen Anwendungen zu erreichen.

Demzufolge ist die Verwaltung und Rechte-Zuordnung der Speicherressourcen im SAN anzupassen. Es muss dabei sichergestellt werden, dass keine Daten aufgrund eines falschen Zugriffs zerstört werden und dass Server nur mit "ihrem" Ausschnitt der Speichereinheiten im SAN arbeiten. Dies wird erreicht, indem das SAN in Segmente oder Gruppen eingeteilt wird, so dass nur die Geräte innerhalb eines Segmentes miteinander kommunizieren können.

Die Segmentierung bringt außerdem weitere Vorteile mit sich:

Um eine sinnvolle Segmentierung sicherzustellen sollte ein Konzept für die Zuordnung der SAN-Ressourcen erarbeitet werden. Die Informationen zur aktuellen Zuordnung der SAN-Ressourcen müssen stets dokumentiert und im Notfall verfügbar sein. Die aktuelle Ressourcenzuordnung sollte mit Hilfe der Verwaltungswerkzeuge einfach und übersichtlich erkennbar sein.

Segmentierung bei FC-SANs

Die interne Verwaltung und Zuordnung der Geräte in einem FC-SAN erfolgt über World Wide Names (WWN). Sie entsprechen in gewisser Weise den MAC-Adressen von Ethernet-Netzadaptern.

Die Segmentierung eines FC-SANs erfolgt durch Einteilung in Zonen (Zoning). Zoning-Funktion werden auf den Switches des SANs konfiguriert. Eine Zone kann Server, Speichersubsysteme und andere Switches als Mitglieder beinhalten.

Soft Zoning

SAN-Geräte haben einen eindeutigen WWN. Beim Soft Zoning werden Zonen durch die Gruppierung von WWNs gebildet. Die Zuordnung von Switch-Ports und SAN-Geräten zu Zonen erfolgt durch einen SAN internen Namensserver. Wenn sich ein SAN-Gerät an der Fabric anmeldet, teilt der Namensserver nur WWNs von Geräten der gleichen Zone mit.

Soft Zoning ist flexibel, da es unabhängig von der Verkabelung gehalten werden kann. Somit müssen Änderungen des Standortes von SAN-Geräten bei diesem Verfahren nicht eingepflegt werden.

Es gilt jedoch zu bedenken, dass Datenübertragungen zu gültigen WWNs nicht verhindert werden. Da manche Betriebssysteme WWNs intern speichern und in einem Cache vorhalten, kann es vorkommen, dass ein solches System auf Speichergeräte zugreift, die nach Willen des Administrators gar nicht mehr in der Zone enthalten ist. Damit sind Datenverluste zu befürchten.

Hard Zoning

Hard Zoning wird üblicherweise über Ports, gelegentlich auch über die WWN-Mechanik definiert. Der Begriff Hard Zoning kommt daher, dass es oft fest in Schaltungen ( ASIC s) im SAN-Switch, also in der Hardware, verankert ist. Soft-Zoning ist dagegen auf allen Ebenen durch Software realisiert.

Hard Zoning wird häufig auch als Port-Zoning bezeichnet. Die Segmentierung im SAN wird hergestellt, indem in Routing-Tabellen auf SAN-Switches Zonen ausschließlich über die Portnummern der Switche gebildet werden. Dadurch sind genau die Geräte, deren Portnummern als eine Zone zusammengestellt sind, Mitglied dieser Zone. Diese statische Zuordnung erzwingt, dass kein Datenverkehr zwischen Ports unterschiedlicher Zonen stattfindet. Die Einschränkung, dass Änderungen der Hardwarekonfiguration oder Standortwechsel von SAN-Geräten eine manuelle Anpassung der Tabellen erfordert, ist in der Praxis fast immer tragbar.

Da Speichernetze nur in seltenen Fällen häufigen Änderungen unterworfen sind, ist Hard Zoning oder ein adäquates herstellerspezifisches Verfahren als Schutz vor Datenverlust vorzuziehen.

Zudem sollte stets die kleinstmögliche Anzahl von Geräten in einer Zone zusammengefasst werden.

LUN Binding und Masking

Festplattensubsysteme in einem SAN stellen die eingebauten Platten als logical units zur Verfügung. Die Units können über ihre LUN (Logical Unit Number) adressiert werden. Um zu verhindern, dass jeder Rechner, der in einer Zone mit einem Festplattensubsystem stationiert ist, alle logischen oder physischen Platten dieses System sieht, können LUN Binding und LUN Masking eingesetzt werden.

LUN Binding ordnet Zugriffe auf die jeweiligen LUNs fest über bestimmte Fibre Channel Ports der Speichersysteme zu und erlaubt so die Adressierung der LUNs nur über bestimmte Netzzugänge.

Bei LUN Masking werden darüber hinaus Zugriffstabellen auf dem Plattensubsystem definiert, in denen die eindeutigen WWN Adressen der zugriffsberechtigten Server registriert sind. Alle anderen (maskierten) Platten sind für den Rechner unsichtbar.

Auf diese Weise kann auch eine fehlerhafte Konfiguration oder Bedienung eines Rechners mit SAN-Anschluss nur noch Auswirkung auf die für ihn sichtbar gemachten Platten haben.

Bei der Zuordnung von Servern und Speichersystemen im SAN sollte stets Zoning und LUN Masking kombiniert werden.

Virtuelle SANs (VSANs)

Analog zur Segmentierung von LANs in virtuelle Teilnetze (VLANs) ist auch eine Segmentierung eines SANs möglich. Dieses Konzept erweitert das Konzept des Zoning und bietet sowohl einen besseren Zugriffsschutz auf die Daten und Applikationen als auch Schutz vor einer breiteren Wirkung von Störungen, die so nur auf einen Teil des Netzes begrenzt werden können.

In einem VSAN werden mehrere Ports und damit mehrere Endgeräte einer Fibre Channel Fabric zu einer virtuellen Fabric zusammengefasst. Somit werden auf einer und derselben physikalischen Netzinfrastruktur mehrere virtuell getrennte Fabrics eingerichtet. Ein Switch kann dabei mehreren virtuellen SAN-Teilnetzen angehören. Für jedes VSAN werden separate Fabric Dienste wie Namensserver und Zoning realisiert. VSANs schränken also über das reine Zoning hinaus nicht nur die gegenseitige Sichtbarkeit von Endgeräten, sondern auch die gegenseitige Sichtbarkeit der Fabric-Konfigurationen ein.

Zoning findet unabhängig von einer Trennung in VSANs statt. Eine Zone kann sich nicht über mehrere VSANs erstrecken.

Durch Zoning wird der Zugriff und Datenfluss zwischen den Geräten reguliert. VSANs erlauben zusätzlich, alle in einem Teilnetz bereitgestellten Dienste zu isolieren und innerhalb des VSANs "abzukapseln".

Wenn ausschliesslich Zoning eingesetzt wird, bildet die gesamte Hardware des Speichernetzes eine "Sicherheitsdomäne". Wenn auf der Netzhardware des Speichernetzes VSANs konfiguriert werden, wird die Hardware logisch in verschiedene "Sicherheitsdomänen" aufgeteilt. Innerhalb dieser Domänen können dann "domänen-interne" Mechanismen wie Zoning und Port Binding eingesetzt werden.

Segmentierung bei ISCSI

Die Segmentierung im iSCSI Speichernetz erfolgt im Speichergerät analog zum Anschluss eines über FC-SAN angeschlossenen Gerätes. Der Unterschied liegt in der Verbindungszuweisung zwischen dem Server und dem Speichergerät.

Der iSCSI-HBA (Host Bus Adapter) wird als "Initiator" und der Port am Speichergerät als "Target" bezeichnet. Über mitgelieferte Management- Software werden beide über ihre IP-Adresse miteinander bekannt gemacht.

Um den Verbindungsaufbau abzusichern und die Authentizität von Initiator (=Server) und Target (=Festplatten) sicherzustellen, werden intern Sicherheitsprotokolle wie CHAP (Challenge Handshake Authentication Protocol)" oder iSNS (Internet Storage Naming Service) verwendet.

Die Zuordnung von Platten im Festplattensubsystem zu den angeschlossenen Rechnern kann wie bei FC-SANs über LUN Bindung und LUN Masking erfolgen.

Ergänzende Kontrollfragen: