G 5.187 Überwindung der logischen Netzseparierung

Erfolgt die Trennung von Netzstrukturen unterschiedlicher Mandanten nicht durch den Aufbau physisch getrennter Netze, sondern kommen hierfür virtuelle Storage Area Networks (VSANs) oder Local Area Networks (VLANs) zum Einsatz, kann dies unter Umständen zu einer Gefährdung für die Informationssicherheit der Institution führen.

Gelingt es einem Angreifer, beispielsweise durch Ausnutzen von Schwachstellen, in das Netz eines anderen Mandanten einzudringen, kann er auf diesem Weg sowohl administrativen Zugriff auf das SAN oder LAN dieses Mandanten erlangen als auch auf die übertragenen Nutzdaten. Fehlende oder unzureichende Rechte-, Rollen- sowie Zonenkonzepte erhöhen dabei das Schadenspotenzial solcher Angriffe.

Grundsätzlich ist die Überwindung der Separierung über mehrere Wege möglich (siehe hierzu auch G 5.115 Überwindung der Grenzen zwischen VLANs):

N-Port ID Virtualization (NPIV) wird in virtuellen Storage Area Networks (VSAN) eingesetzt, bei denen der physische SAN-Server über eine unzureichende Anzahl an Fibre-Channel-Ports verfügt. NPIV erlaubt einem physischen Host Bus Adapter Port, mit mehreren World Wide Port Name (WWPN) verknüpft zu werden. Der Einsatz von NPIV in Fibre-Channel-Netzen kann dazu führen, dass ein Server sich durch Nutzung des gleichen WWPN unberechtigt Zugriff auf Daten eines anderen Servers verschaffen kann.