M 2.353 Erstellung einer Sicherheitsrichtlinie für SAN-Systeme
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter
Ein SAN ist als zentrale Instanz zur Datenspeicherung für einige oder viele Abläufe und Geschäftsprozesse in der Institution essentiell. Der sichere und ordnungsgemäße Betrieb kann nur sichergestellt werden, wenn Planung, Stationierung, Administration und Betrieb von SAN-Systemen in die bestehenden sicherheitstechnischen Vorgaben integriert sind.
Die zentralen sicherheitstechnischen Anforderungen und das zu erreichende Sicherheitsniveau ergeben sich aus der organisationsweiten Sicherheitsleitlinie und sollten in einer spezifischen Sicherheitsrichtlinie für Speichersysteme formuliert werden, um die übergeordnet und allgemein formulierte Sicherheitsleitlinie im gegebenen Kontext zu konkretisieren und umzusetzen.
Grundlage für eine angemessene Definition von Forderungen, die in der Sicherheitsrichtlinie ausgedrückt werden, ist die Dokumentation der Schutzbedarfsfeststellung aller Daten, die im SAN gespeichert werden sollen. Nur hieraus lässt sich ableiten, welche Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit der Daten gestellt werden und entsprechend, welcher technische und organisatorische Aufwand angemessen ist.
Da SAN-Systeme ein dediziertes Netz enthalten, ist für die Erstellung einer Sicherheitsrichtlinie für SAN-Systeme zuerst die Maßnahme M 2.279 Erstellung einer Sicherheitsrichtlinie für Router und Switches zu beachten. Dort werden die allgemeinen Sicherheitsvorkehrungen für IT-Komponenten, die in einem internen Netz den Zugang zu Informationen oder anderen Systemen ermöglichen, vorgestellt.
Weitere Aspekte, die in der Sicherheitsrichtlinie eines SAN-Systems behandelt werden müssen sind:
Vorgaben für die Planung eines SAN:
- Es sind Vorgaben für die technische Infrastruktur zu entwickeln, in der SAN-Komponenten aufgestellt werden. Die Infrastruktur der Räume, in denen SAN Komponenten stationiert werden, muss geeignet sein, um die Verfügbarkeitsanforderungen des SAN-Systems zu erfüllen.
- Es sind Vorgaben zu machen, die den Zugriff Externer (zu Wartungszwecken) regeln. Da Überwachungs- und Wartungsverträge von Lieferanten von SAN Komponenten oftmals direkte Anbindung des Speichersystems an Überwachungssysteme des Herstellers oder Lieferanten fordern, ist festzulegen, wie solche Zugriffe kontrolliert und protokolliert werden.
- Wenn in Bezug auf die Verfügbarkeit ein sehr hoher Schutzbedarf festgestellt wird, ist der Einsatz einer desaster-toleranten SAN-Konfiguration einzufordern. Ist eine sehr hohe Verfügbarkeit des SANs gefordert, sind SPoF (Single Points of Failure), die bei einem Ausfall den Komplettausfall des Systems mit sich ziehen, zu vermeiden. Der Betrieb einer solchen Konfiguration ist durch besondere Testsysteme zu unterstützen, auf denen Änderungen und Software-Updates geprüft werden können.
Vorgaben für die Arbeit von Administratoren:
- Es ist zu dokumentieren, nach welchem Schema Administrationsrechte für SAN-Komponenten oder das Gesamtsystem vergeben werden. Wenn möglich, ist ein Rollenkonzept zu entwickeln.
- Es sollten Administrator-Rollen definiert werden, denen aufgabenbezogen die nötige Rechte eingeräumt werden. Insbesondere sollte die routinemäßige Systemverwaltung (zum Beispiel Backup) nur mit den unbedingt nötigen Rechten durchgeführt werden können. Die Administrator-Kennungen werden dann den Rollen zugeordnet. Um die Auswirkungen von Fehlern zu reduzieren, darf unter einer Administrator-Kennung nur gearbeitet werden, wenn es zwingend notwendig ist.
- Der administrative Zugriff ist mindestens durch Einsatz starker Passwörter, gegebenenfalls auch durch besondere Maßnahmen zur Benutzerauthentisierung, abzusichern.
- Die Verwaltung und Kontrolle von SAN-Ressourcen durch die Administratoren und der Zugriff für Revisoren auf die Systeme ist entweder nur lokal über eine direkt angeschlossene Konsole, ein eigenes Administrationsnetz oder über verschlüsselte Verbindungen zulässig. Der Zugriff auf SAN-Ressourcen ist auf definierte Systeme zu beschränken und z. B.durch Sicherheitsgateways zu kontrollieren.
- IT-Systeme, die als Management-Konsole oder zur Revision eingesetzt werden, sind auf stärkstmögliche Weise vor Viren und Schadprogrammen zu schützen.
- Durch die vorgegebene Aufgabenteilung, durch Vorgaben und Regelungen und eine stets aktuelle Dokumentation der Einstellungen aller SAN-Komponenten ist sicherzustellen, dass Administratoren keine Aktionen ausführen oder Einstellungen am SAN vornehmen, die zu Inkonsistenzen, Ausfällen oder Datenverlust führen können. Relevante Änderungen müssen dokumentiert werden. Es ist dazu empfehlenswert, ein Änderungsmanagement-Verfahren, z. B. in Anlehnung an die ITIL (IT Infrastructure Library) zu betreiben.
- Es ist festzulegen, ob für bestimmte Änderungen das Vieraugenprinzip anzuwenden ist.
Vorgaben für die Installation und Konfiguration des SAN:
- Das Vorgehen bei der Erstinstallation ist zu dokumentieren. Da diese in den meisten Fällen vom Hersteller oder Lieferanten vorgenommen wird, ist die entsprechende Dokumentation einzufordern.
- Nach der Installation sind die Default-Einstellungen in Bezug auf Sicherheitsgefährdungen zu überprüfen, unsichere Dienste auf LAN-Schnittstellen von SAN-Switches und Speichergeräten zu deaktivieren und die Änderungen von Standardkennungen und -Passwörtern zu prüfen.
- Die Funktion "Systemkonsole für das SAN" ist auf möglichst wenige Geräte zu beschränken. Zugriffe dieser Geräte auf SAN-Komponenten über das LAN sollten ausschließlich über verschlüsselte Verbindungen ermöglicht werden. Der Kreis der Zugriffsberechtigten Anwender auf die Geräte ist möglichst klein zu halten. Regeln zur Verwendung und Konfiguration von Konsole und Restriktion der Zugriffsarten sind zu dokumentieren.
- Es sind Regelungen zu Erstellung und Pflege von Dokumentation, und die Form der Dokumentation (z. B. Verfahrensanweisungen für die Einrichtung administrativer Kennungen, Betriebshandbücher für Abläufe und Kontrollen im Normalbetrieb) vorzugeben.
- Auch innerhalb des SANs sollten spezifische Methoden der Segmentierung (siehe M 5.130 Absicherung des SANs durch Segmentierung ) genutzt werden. Damit wird im SAN ein besserer Schutz von Teilbereichen - sowohl bezüglich der Vertraulichkeit als auch bezüglich der Integrität der Konfiguration und der Verfügbarkeit des SANs erreicht.
Vorgaben für den sicheren Betrieb:
- Die SAN-Administration ist abzusichern, indem Zugriffe nur über besondere Verbindungen (ein separates Administrationsnetz, gegebenenfalls auch das Speichernetz selbst) zugelassen werden.
- Es sind gegebenenfalls Werkzeuge für Betrieb und Wartung und die Integration der SAN Komponenten in ein bestehendes Netzmanagement auszuwählen. Vorgaben für eine sichere Konfiguration dieser Werkzeuge müssen definiert werden. Wenn möglich, sollten nur verschlüsselte Verbindungen genutzt und nicht benötigte Schnittstellen und Dienst gesperrt werden.
- Falls eine Fernwartung oder Überwachung durch den Hersteller genutzt werden soll, müssen Vorgaben für die Absicherung der Zugänge definiert werden. Beispielsweise ist die Anbindung per VPN oder exklusiv genutzte Verbindungen zu realisieren und eine für die Institution nachvollziehbare Protokollierung dieser Aktivitäten einzufordern.
- Die Berechtigungen für die Initiierung von Software-Updates und Konfigurationsänderungen sind eindeutig festzulegen. Die Vorgehensweise ist zu dokumentieren. Sobald sehr hohe Anforderungen an die Verfügbarkeit bestehen, ist zu fordern, dass Änderungen und Updates stets vor dem Wirkbetrieb an baugleichen Testsystemen zu erproben und zu bewerten sind.
- Während des SAN-Betriebes sind alle administrativen Tätigkeiten zu protokollieren. Darüber hinaus muss ein Konzept für die Verwaltung und Überwachung der Speichersysteme erstellt werden. Informationen zu diesem Thema finden sich in M 2.359 Überwachung und Verwaltung von Speichersystemen .
- Die Regelungen für die Datensicherung des SANs sind mit dem übergreifenden Datensicherungskonzepts der Institution (siehe dazu Baustein B 1.4 Datensicherungskonzept ) und mit den Schutzbedarfsanforderungen des SAN abzustimmen. Bei besonderen Anforderungen an die Vertraulichkeit ist hier die Rechteverwaltung auf Backups vorzugeben.
- Wegen der zentralen Bedeutung des SANs ist dessen Notfallvorsorge (siehe auch M 6.98 Notfallvorsorge für Speichersysteme ) in das organisationsweite Notfallvorsorgekonzept einzubinden.
- Auch für Revision und Audit sind Verantwortlichkeiten und Vorgehen zu beschreiben. Die SAN-Revision ist in ein übergreifendes Revisionskonzept zu integrieren.
Prüffragen:
- Wurde eine Sicherheitsrichtlinie für SAN -Systeme erstellt?
- Erfolgt die Administration des SAN -Systems ausschließlich über vertrauenswürdige Pfade?
- Existiert eine aktuelle Dokumentation der Einstellungen aller SAN -Komponenten?
- Wurden in der Sicherheitsrichtlinie Vorgaben zur Einrichtung, zum Betrieb und zur Störungsbehebung von SAN -Systemen beschrieben?