Hartnäckig hält sich der Mythos, Daten im SAN seien per se sicherer als im LAN oder WAN. Zwar sorgen Wurmbefall, Trojaner-Angriffe oder Denial-of-Service-Attacken (DoS) auf Speichernetze seltener für Schlagzeilen, doch dürfte das eher an der noch vergleichsweise geringen Verbreitung von Speichernetzen liegen. Tatsache ist, dass jeder unsichere Server mit Verbindung zu einem SAN sämtliche Speichergeräte und alle anderen mit dem SAN verbundenen Hosts gefährdet. Hinzu kommt, dass Unternehmen zunehmend die Reichweite ihrer Speichernetze kostengünstig bis zu entfernten Niederlassungen ausdehnen. Ohne große Infrastrukturinvestitionen lassen sich zum Beispiel entlegene SAN-Inseln mit FCIP (Fibre-Channel-over-IP) an eine zentrale Disaster-Recovery-Lösung mit permanentem Backup anbinden. Noch günstiger ist der Speicherdatentransport per IP mit dem Protokoll iSCSI (Internet Small Computer System Interface, auch SCSI-over-IP). Damit können Hosts und Server direkt über die eingebaute Ethernet-Karte an das SAN angeschlossen werden.

Immer mehr Speicherdaten, die bisher ausschließlich über spezielle SAN-Verbindungen wie Fibre Channel liefen und daher meistens unverschlüsselt blieben, fließen nun via LAN und WAN - und werden somit angreifbar. Kundendaten beispielsweise können abgegriffen werden, wenn sie über weite Strecken in eine entfernte Backup-Datenbank repliziert werden. Die zunehmende Verflechtung mit IP-Netzen birgt für vormals separate Speichernetze neue Gefahren, denen viele der bisher praktizierten Schutzmaßnahmen nur wenig entgegenzusetzen haben. Die häufigste Form des Angriffs auf ein SAN sind Spoofing-Attacken. Hierbei werden unterschiedliche Erkennungsmerkmale der erlaubten Teilnehmer, beispielsweise Node- oder Port-Name oder Source Port ID, erschlichen und für die missbräuchliche Nutzung der SAN-Fabric verwendet. Eine andere Variante sind die Denial-of-Service-Angriffe, die eine massive Störung des SAN zum Ziel haben, beispielsweise durch die Flutung des Management-Ports der SAN-Switches.

Fabric und Target Security

Nicht autorisierte Zugriffe auf eine Switched Fabric und daran angeschaltete Speichersysteme - so genannte Targets - bedrohen Anwendungsdaten sowohl direkt als auch mittelbar. Sie können zum Beispiel die Integrität der logischen Gerätezuordnung stören. Daher sind flexibel steuerbare Kontrollmöglichkeiten für die Kommunikation innerhalb einer Fabric notwendig. Darauf zielt Fibre Channel Zoning ab: Generell beschreibt das Verfahren die Unterteilung eines Speichernetzes in mehrere Bereiche, in denen eine Verbindung erlaubt wird. Diese Bereiche können sich auch überlappen. Komponenten, die verschiedenen Zonen angehören, können sich gegenseitig nicht "sehen". Ein Nachteil von Zoning ist, dass damit keine logische Unterteilung der Fabrics vorgenommen werden kann, da die Fabric Services, etwa der Name Service, nicht mehrmals vorhanden sind. Eine logische Unterteilung, um zum Beispiel Komponenten nach funktionellen Gesichtspunkten zu isolieren, lässt sich nur mit virtuellen SANs (VSAN) erreichen. So können die Datenbestände verschiedener Kundenunternehmen in einem gemeinsamen Rechenzentrum sicher gegeneinander abgeschottet werden.

Zu unterscheiden ist zwischen hardware- und softwarebasiertem Zoning. Beim Hard-Zoning wendet jeder Switch eine eigene Zugriffsliste (Access Control List = ACL) auf jeden transportierten Datenblock (Fibre Channel Frame) an. Soft-Zoning arbeitet mit den Informationen die im Name Service registriert sind. Der jeweilige FC-Name-Service eines SAN führt für jeden FC-Switch eine Liste mit all denjenigen Port-IDs, die mit dem Switch mindestens eine Zone gemeinsam haben. Soft-Zoning bieten keinen großen Schutz, da ein Zugriff schon dann möglich ist, wenn der Angreifer die Adressen kennt.

Die verschiedenen Hersteller nutzen unterschiedliche Implementierungen. Anwender sollten darauf achten, dass immer Hardware Enforced Zoning unterstützt ist. Wichtig ist auch, dass neben Port- und WWN-Zoning weitere Optionen zur Verfügung stehen, beispielsweise LUN-Zoning oder Zoning basierend auf der I/O-Operation. Damit können SAN-Bereiche eingerichtet werden, in denen nur ein lesender Zugriff erlaubt ist. Dies erhöht die Sicherheit der Anwendungen und Daten zusätzlich. Typischerweise teilt sich ein Disk Array in mehrere logische Geräte auf; ihm sind Logical Unit Numbers (LUNs) zugeordnet. LUN-Zoning nutzt diese Tatsache aus, um den Zugriff auch innerhalb eines einzelnen Plattensystems differenziert zu steuern.

Virtuelle SANs

Eine weitere wichtige Sicherheitsfunktion sind VSANs: Damit werden auf demselben physikalischen Speichernetz mehrere logische Fabrics eingerichtet. Ein Switch kann dabei mehreren virtuellen SAN-Umgebungen angehören. Weil die virtuellen Teilnetze auf Port-Ebene dennoch sauber voneinander getrennt sind, bleiben mögliche Instabilitäten auf das jeweils betroffene Teilnetz beschränkt, zum Beispiel nach einem DoS-Angriff. Ein Überschwappen auf das gesamte SAN ist so ausgeschlossen.

SAN Fabric Security Protocol

Ursprünglich verfügte Fibre Channel nur über rudimentäre, aus heutiger Sicht völlig ungenügende Authentifizierungsmechanismen. Zur Geräteidentifikation wurden Passwörter zumeist unverschlüsselt übertragen. Spätestens wenn das SAN die schützende Grenze eines Rechenzentrums überschreitet, haben Hacker leichtes Spiel. Deshalb hat das Technical Committee T11.3 der INCITS (International Committee for Information Technology Standards) den Standard FC-SP (Fibre Channel Secure Protocol) erarbeitet.

FC-SP liefert eine Architektur für sichere Authentifizierung zwischen zwei Switches, Gerät und Switch sowie zwischen zwei Geräten. Das Verfahren stützt sich auf das Challenge Handshake Authentication Protocol (CHAP). Die häufig zu lesende Erweiterung CHAP-DH ist eine Referenz auf die Namen der Erfinder des hierfür genutzten Krypto-Algorithmus, Whitfield Diffie und Martin Hellman. CHAP-DH bietet als Standardauthentisierungsprotokoll für FC-SP die bi-direktionale, Passwort-basierende Authentisierung (CHAP) zusätzlich gesichert per Diffie-Hellmann-Verfahren. Hierdurch wird die Anfälligkeit von CHAP gegen das Erraten von Passwörtern (Wörterbuchangriffe) gesenkt.

Mit FC-SP kann ein Switch neue Geräte am SAN entweder lokal authentifizieren oder über einen zentral installierten Server, zum Beispiel auf Basis von Radius (Remote Authentication Dial-In User Service) oder Tacas+ (Terminal Access Controller Access Control System). Da beide Varianten in der Netzwerkwelt sehr verbreitet sind, können Unternehmen mit FC-SP oftmals auf eine vorhandene Authentifizierungsinfrastruktur zurückgreifen.

Storage-over-IP

Besondere Herausforderungen bringt der angesprochene Trend zu Storage-over-IP mit sich. Üblicherweise werden multiprotokollfähige Switches sowohl für SAN-to-SAN-Erweiterungen per FCIP eingesetzt als auch zur Anbindung von Servern via iSCSI. Einem solchen Server (einem iSCSI-Initiator) gegenüber erscheint ein FC-Speichergerät als iSCSI-Target; umgekehrt präsentiert sich der Server dem SAN-Switch als ein FC-Host. Dies ist entweder durch dynamisches oder durch statisches Mapping realisiert. Die dynamische Variante bietet mehr Flexibilität, doch gelten hier Beschränkungen in Bezug auf VSANs, und unter Sicherheitsaspekten müssen gewisse Mindestvoraussetzungen erfüllt sein. Beispielsweise sollte das Zoning immer den IQN (iSCSI Qualified Name) des iSCSI-Initiators einschließen (so genanntes Symbolic Name Zoning).

Sicherer ist in jedem Fall das statische Mapping. Zum einen herrschen hier keine Einschränkungen gegenüber VSANs, zum anderen lassen sich Zugriffsbefugnisse für iSCSI-Initiatoren auf FC-Geräte per ACL exakt definieren, und zwar auf Basis von IQNs, IP-Adressen oder einer Kombination aus beidem.

Vertraulichkeit und Integrität

iSCSI und FCIP unterstützen sowohl Authentifizierung als auch Autorisierung, übertragen Speicherdaten jedoch unverschlüsselt. Sie können auf ihrem Weg durch das IP-Netz eventuell ausgespäht oder manipuliert werden. Eine Verschlüsselung per IP Security (IP Sec) müssen auf der einen Seite die SAN-Switches übernehmen. Auf der Client-Seite kann entweder ein VPN-Software-Client oder ein VPN-Gateway vor den Servern eingesetzt werden. SAN-Switches erlauben ein hardwarebasierende Verschlüsselung gemäß IP Sec an.

IP Sec ist ein Framework offener Standards, die auf der IP-Ebene ansetzen und sich zum Beispiel im Umfeld virtueller privater Netzwerke (VPN) tausendfach bewähren. Vertraulichkeit gewährleistet IP Sec dadurch, dass Datenpakete vom Sender verschlüsselt werden, zum Beispiel gemäß AES (Advanced Encryption Standard) oder per 3DES (Triple Data Encryption Standard). Integrität - die Un- versehrtheit der übertragenen Daten - garantiert IP Sec mittels einer signierten Prüfsumme im Authentication Header (AH), die auch die Authentizität (Eindeutigkeit des Absenders und des Empfängers) gewährleis- tet. Verschleierungsversuchen durch Spoofing wird so ein Riegel vorgeschoben. IP Sec liefert ein weiteres Beispiel dafür, wie Speicherdaten von vorhandenen Sicherheitsfunktionen eines IP-Netzwerks profitieren können.

Die Gefahren einer böswilligen Ausnutzung der Management-Anbindungen eines SAN werden oftmals unterschätzt. Umso wichtiger ist es, die zentrale Account-Management-Infrastruktur auf Basis von Radius oder Tacas+ vom IP-Netzwerk auf das SAN auszuweiten. Mit Sicherheitsprodukten lassen sich beispielsweise alle Managementzugriffe durch rollenbasierende Rechtezuordnung steuern. Administratoren können so unterschiedliche Rollen und damit Zugriffsrechte zugewiesen werden. Ein Administrator darf beispielsweise nur "lesen", während es einem anderen auch gestattet ist, Änderungen vorzunehmen. Diese Rechte können auf Teilbereiche eines SAN beschränkt werden, so dass eine sehr feine Rechteverwaltung möglich ist.

Protokollierung

Unerlaubte Zugriffe auf Management-Interfaces lassen sich zudem durch ACLs unterbinden. Für das Compliance-Management wichtig sind die automatische Protokollierung sämtlicher Änderungskommandos und die regelmäßige Sicherung der Konfiguration der Switches einer Fabric. Im Falle eines Falles lassen sich ein früherer Zustand sehr schnell wiederherstellen oder Konfigurationen und Logdaten für eine forensische Analyse einsehen. (kk)