M 2.359 Überwachung und Verwaltung von Speicherlösungen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Um Fehlersituationen und Sicherheitsprobleme zeitnah erkennen und beheben zu können, ist es notwendig, den laufenden Betrieb von Speicherlösungen zu überwachen. Voraussetzung für eine solche Überwachung ist die Möglichkeit, Daten von verschiedenen Quellen (Server, Switches, Speichersysteme usw.) auszuwerten.

Eine Speicherlösung besteht aus einer Vielzahl von Komponenten, die zu überwachen sind:

Alle Daten sollten dabei vorrangig daraufhin geprüft werden, ob die Vorgaben des Betriebshandbuchs umgesetzt bzw. eingehalten werden.

Eine effiziente Analyse der Daten ist in der Regel nur realisierbar, indem spezielle Anwendungen zum automatisierten Monitoring und Reporting eingesetzt werden. Dabei muss eine Vielzahl von Daten gesammelt und ausgewertet werden. Daher sollte unter anderem durch Einsatz oder Nutzung eines NTP-Servers eine einheitliche Datums-/Uhrzeiteinstellung auf allen Geräten erzwungen werden. Wichtige Nachrichten, die auf Basis von SNMP gesendet werden, können durch den Einsatz von Nachrichtenfiltern herausgefiltert und somit schneller erkannt werden.

Spezielle Produkte zur Überwachung ermöglichen je nach Ausprägung sowohl eine Statusüberwachung als auch die Anpassung von Einstellungen in Echtzeit. Der Netzadministrator kann bei auftretenden Problemen automatisch gewarnt werden, bevor diese zu Ausfällen führen.

Die Überwachung von Ereignissen der gesamten Speicherlösung (FC/IP-Ports, Netz- und Speichersysteme) und Umgebungsparameter gestattet eine frühzeitige Fehlererkennung und -isolierung sowie eine Indikation der Verfügbarkeit und Leistungsfähigkeit der gesamten Umgebung.

In diesem Zusammenhang müssen folgende Komponenten überwacht werden:

Eine erweiterte Möglichkeit der Überwachung von Speicherlösungen bietet der Einsatz sogenannter Security Information and Event Management-Lösungen (SIEM). Diese sind in der Lage, Ereignis-, Bedrohungs- und Risikodaten zusammenzufassen. Auf dieser Basis können sie Sicherheitsinformationen liefern und schnelle Reaktionen auf Sicherheitsvorfälle sowie die Protokollverwaltung und Erzeugung von Compliance-Berichten sicherstellen.

Neben der Überwachung der Ressourcen sollte auch die Verwaltung einzelner Komponenten und des Gesamtsystems von zentraler Stelle aus möglich sein. Systeme, die eingesetzt werden, um die Speicherlösungen zu steuern oder zu kontrollieren, werden oft als Speichermanagementsysteme bezeichnet. Idealerweise verfügen Managementsysteme über die Möglichkeit, auf eine Reporting-Historie zuzugreifen. Auf diesem Weg können Ereignisse und Störungen, die in der Vergangenheit liegen, nachträglich untersucht werden und entsprechende Erkenntnisse der Stabilisierung des Gesamtsystems dienen.

NAS-Management

Die Überwachung von reinen NAS-Lösungen ist häufig besonders einfach gestaltet. Auch wenn das System scheinbar "wartungsfrei" erscheint, ist es nötig, technische und/oder organisatorische Überwachungsmaßnahmen zu etablieren. Nach Möglichkeit sollte die NAS-Lösung in ein einfaches Netzmanagementsystem eingebunden werden, um mindestens zu kontrollieren, ob die NAS-Lösung verfügbar ist und hinreichend Speicherkapazität aufweist.

SAN-Management

Bei der Überwachung von SAN-Lösungen stehen die Mechanismen des "In-Band-Managements" und des "Out-of-Band-Managements" zur Verfügung.

In-Band-Management findet auf den Schnittstellen und Netzen statt, die dem Datentransport zwischen den SAN-Geräten dienen. Die Möglichkeiten der Konfiguration und der Überwachung sind beim In-Band-Management häufig weitreichender und komfortabler, da die zugrunde liegende Software produktnah ist und Hersteller hier Alleinstellungsmerkmale suchen.

Das Out-of-Band-Management benutzt dagegen zusätzliche Schnittstellen, üblicherweise TCP/IP-Netzanschlüsse. Als Protokoll zur Informationsgewinnung ist SNMP weit verbreitet. Out-of-Band-Management bietet die üblichen Standards und erleichtert die Kombination von Produkten unterschiedlicher Hersteller.

Da als Protokoll beim Out-of-Band-Management oft noch die wenig sichere SNMP Version 1 genutzt wird, ist ein separates abgeschottetes Management-LAN zu betreiben (siehe M 2.357 Aufbau eines Administrationsnetzes für Speichersysteme). Grundsätzlich sollen auch innerhalb dieses Netzes nur sichere Protokolle (SSH statt telnet, HTTPS statt HTTP) zur Administration genutzt werden. Die zumindest logische, wenn nicht gar physische Trennung dieses Administrationsnetzes vom Produktionsnetz macht jedoch den Einsatz unsicherer Protokolle tolerierbar.

Bei höheren Anforderungen an die Verfügbarkeit der Managementlösung sollte eine Kombination der beiden dargestellten Varianten gewählt werden. Wenn sowohl In-Band- als auch Out-of-Band-Management und Überwachung im Einsatz sind, erleichtert und beschleunigt die zusätzliche Netzanbindung die Überwachung und Diagnose von Problemen, erhöht jedoch auch den Betriebsaufwand.

Zentrale Kontrolle

In größeren Installationen, vor allem bei Speicherlösungen mit verschiedenen Standorten der Komponenten, sollte eine zentrale Stelle existieren, an die alle für den Betrieb wichtigen Informationen gemeldet werden. Der Einsatz von Programmen, die das Geschehen übersichtlich grafisch darstellen können, ist ratsam.

Ein solches Managementsystem stellt die Schnittstelle zu einem komplexen System dar. Es kann nur von hinreichend geschultem Personal effizient genutzt werden.

Sofern eine Speicherlösung durch einen externen Dienstleister betrieben wird, sind in Abhängigkeit der Vertragsgestaltung Service Level Agreements (SLAs) geschlossen worden. In diesem Fall sollte eine Institution Festlegungen treffen, wie die Einhaltung dieser vertraglichen Regelungen überwacht werden kann (z. B. durch regelmäßiges Reporting und Kontrolle) bzw. welche Informationspflichten für den Dienstleister mit diesen einhergehen.

Prüffragen: