Embed Size (px)
Citation preview
Rheinlandtreffen 8. November 2006
www.decus.de 1
1© 2004 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialSession NumberPresentation_ID
Sicherheit in Storage Area Networking
222Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Agenda
Sicherheit in Storage NetworkingHistorischer Überblick
Storage Networking SicherheitEinschränkungen & Anforderungen
Storage Networking Security ArchitekturFabric Access SecurityIP StorageStorage ManagementSicherung beim Transport und “at Rest”
ZusammenfassungPresentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Rheinlandtreffen 8. November 2006
www.decus.de 2
333Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
SICHERHEIT IN STORAGE NETWORKINGhistorischer Überblick …
444Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Sicherheit in Storage Networking:Historischer Überblick
Traditionell weing beachtet:• Geringe Verbreitung von SANs, meist DAS• Back-End Netzwerk im Data Center, • FC SANs sind nach außen isoliert• Das Data Center ist ausreichend gesichert (Firewalls, User
Authentication, Intrusion Detection etc.)• …. Storage Administratoren sehen Security nicht als
Hauptbestandteil ihrer Aufgabe
Aber.., • Bis 2006 werden 70% der Speichersysteme über SAN angeschlossen
sein Source: Enterprise Storage Group.
• Neue Anwendungen wie netzwerkbasierte Virtualisierungsdiensteändern die Sicherheitsanforderungen
Traditionell weing beachtet:• Geringe Verbreitung von SANs, meist DAS• Back-End Netzwerk im Data Center, • FC SANs sind nach außen isoliert• Das Data Center ist ausreichend gesichert (Firewalls, User
Authentication, Intrusion Detection etc.)• …. Storage Administratoren sehen Security nicht als
Hauptbestandteil ihrer Aufgabe
Aber.., • Bis 2006 werden 70% der Speichersysteme über SAN angeschlossen
sein Source: Enterprise Storage Group.
• Neue Anwendungen wie netzwerkbasierte Virtualisierungsdiensteändern die Sicherheitsanforderungen
Rheinlandtreffen 8. November 2006
www.decus.de 3
555Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Storage Networking Sicherheit:Bedenken / Überlegungen
• 45% aller Unternehmen erleiden unerlaubtenDatenzugriff von Mitarbeitern
• 50-80% aller Security Attacken gescheheninnerhalb der Firewall, Quelle: FBI/CSI
• Kunden und Firmeninformationen sind essentiellfür Unternehmen.
• Die 3 wichtigsten Sicherheitsbedenken:– ungesicherte Management Interfaces
– ungesicherte, unverschlüsselte Datenspeicherung
– unzureichende Authentisierung von Endgeräten
• Nicht alle Angriffe sind beabsichting, unbeabsichtigte Eingriffe haben oft die gleichennegativen Auswirkungen
• 45% aller Unternehmen erleiden unerlaubtenDatenzugriff von Mitarbeitern
• 50-80% aller Security Attacken gescheheninnerhalb der Firewall, Quelle: FBI/CSI
• Kunden und Firmeninformationen sind essentiellfür Unternehmen.
• Die 3 wichtigsten Sicherheitsbedenken:– ungesicherte Management Interfaces
– ungesicherte, unverschlüsselte Datenspeicherung
– unzureichende Authentisierung von Endgeräten
• Nicht alle Angriffe sind beabsichting, unbeabsichtigte Eingriffe haben oft die gleichennegativen Auswirkungen
666Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
• SAN Extension (FCIP) erweitert SANs über das Datacenter hinaus – DR, BC, Backup, Vaulting, Outsourcing
• IP Storage verbreitet sich immer mehr– FCIP, iSCSI, Management
• FC Security Standards werden entwickelt– FC-SP Working Group of ANSI T11.3 Committee– SMI-S (SNIA Storage Management Initiative Specification) XML-CIM via SSL/HTTPS)– SNMPv3 (Encryption, Authentication, Ensures Data Integrity, Prevents MIM)
• Gesetzliche, regulative Anforderungen– California Senate Bill 1386 – 48 Stunden Benachrichtigungsfrist an Kunden
unerlaubtem Zugriff auf Daten (Ausnahme bei Verschlüsselung)– Neue Regelungen im Gesundheitswesen– Basel II
• Das Zusammenwachsen von Storage und Netzwerkbewirkt ein verstärktes Bewußtsein fürSicherheitsfragen
• SAN Extension (FCIP) erweitert SANs über das Datacenter hinaus – DR, BC, Backup, Vaulting, Outsourcing
• IP Storage verbreitet sich immer mehr– FCIP, iSCSI, Management
• FC Security Standards werden entwickelt– FC-SP Working Group of ANSI T11.3 Committee– SMI-S (SNIA Storage Management Initiative Specification) XML-CIM via SSL/HTTPS)– SNMPv3 (Encryption, Authentication, Ensures Data Integrity, Prevents MIM)
• Gesetzliche, regulative Anforderungen– California Senate Bill 1386 – 48 Stunden Benachrichtigungsfrist an Kunden
unerlaubtem Zugriff auf Daten (Ausnahme bei Verschlüsselung)– Neue Regelungen im Gesundheitswesen– Basel II
• Das Zusammenwachsen von Storage und Netzwerkbewirkt ein verstärktes Bewußtsein fürSicherheitsfragen
Storage Networking Security:Treiber
Rheinlandtreffen 8. November 2006
www.decus.de 4
777Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
STORAGE NETWORKING SECURITY ARCHITEKTUR
888Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Security Architektur:AAA
• Authentication – prüft Identität Wer bist Du?
• Authorisation – regelt Zugriffsrechte Was darfts Du?
• Accounting – dient der SicherheitsüberwchungWas hast Du gemacht?
• Authentication – prüft Identität Wer bist Du?
• Authorisation – regelt Zugriffsrechte Was darfts Du?
• Accounting – dient der SicherheitsüberwchungWas hast Du gemacht?
Rheinlandtreffen 8. November 2006
www.decus.de 5
999Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Storage Networking Security Architektur:die wichtigsten Bereiche
iSCSI
SAN FabricTarget
Host
Fabric Security ist integralerBestandteil der gesamtenApplikations SecurityAllein nicht ausreichend – Host and Disk Security sind ebenfallserforderlich
11 SAN ManagementSecuritySAN ManagementSecurity
6 Kernbereiche1. SAN Management
-gesicherter Zugriff auf Management-Dienste
6 Kernbereiche1. SAN Management
-gesicherter Zugriff auf Management-Dienste
Data Integrity and SecrecyData Integrity and Secrecy6
6. Daten Integrität und Vertraulichkeit ( in Transit and at Rest)
6. Daten Integrität und Vertraulichkeit ( in Transit and at Rest)
Fabric AccessSecurity
Fabric AccessSecurity
2. Fabric Access – gesicherterZugang von Endgeräten zurFabric
2. Fabric Access – gesicherterZugang von Endgeräten zurFabric
22 Target AccessSecurity
Target AccessSecurity
33
3. Target Access – gesicherterZugriff auf targets und LUNs
3. Target Access – gesicherterZugriff auf targets und LUNs
SAN Fabric Protocol Security
SAN Fabric Protocol Security
44
4. SAN Protocol – gesicherteSwitch-to-Switch Kommunikation
4. SAN Protocol – gesicherteSwitch-to-Switch Kommunikation
IP StorageSecurity
(iSCSI/FCIP)
IP StorageSecurity
(iSCSI/FCIP)
55
5. IP Storage Access – sichereFCIP and iSCSI Dienste
5. IP Storage Access – sichereFCIP and iSCSI Dienste
101010Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
Sicheres SAN Management
Rheinlandtreffen 8. November 2006
www.decus.de 6
111111Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Sicheres SAN Management• Authentication, Authorization and Accounting (AAA)
aller Management Aktionen– Account log für alle Fabric Configuration Operations– RADIUS - Remote Authentication Dial In User Service (IETF RFC
2865 standard)– TACAC+ - Terminal Access Controller Access Control (weit
verbreitet im Cisco Umfeld, ähnlich wie RADIUS)– Syslog Logging– Switch Logging– Call Home (SMTP)
• Konsistente Security Policy über alle Devices– Cisco Fabric Manager bietet ‘Fabric Configuration Analysis’ Tool– Config Check gegen Policy – automatische Korrekturen– Zone Merge Analysis Tool – aufzeigen von Merge Inkonsistenzen
• Authentication, Authorization and Accounting (AAA) aller Management Aktionen
– Account log für alle Fabric Configuration Operations– RADIUS - Remote Authentication Dial In User Service (IETF RFC
2865 standard)– TACAC+ - Terminal Access Controller Access Control (weit
verbreitet im Cisco Umfeld, ähnlich wie RADIUS)– Syslog Logging– Switch Logging– Call Home (SMTP)
• Konsistente Security Policy über alle Devices– Cisco Fabric Manager bietet ‘Fabric Configuration Analysis’ Tool– Config Check gegen Policy – automatische Korrekturen– Zone Merge Analysis Tool – aufzeigen von Merge Inkonsistenzen
121212Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Securing Storage Management• gesicherter Transport für alle Management Zugriffe
– CLI – Secure Shell (SSH)– Fabric Manger GUI – Simple Network Management Protocol (SNMPv3)– SSH and SNMPv3 können mit RADUIS oder TACACS+ für AAA Dienste kombiniertwerden, beide arbeiten verschlüsselt
• Role-Base Access Control (RBAC) für unterschiedliche Management Profile:
– z.B. Storage Admin, SAN Admin, SAN Operator, E-Mail admin, Tape SAN Admin etc.– 64 Rollen per VSAN
CLI Access Security*Console*TelnetSecure Shell Protocol (SSH)User Roles
Fabric Manager Access SecuritySNMPv3 Username Password Authentication and EncryptionUser Roles*SNMP v1 & 2 Community String Authentication
Rheinlandtreffen 8. November 2006
www.decus.de 7
131313Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
Sicherer Fabric Zugang
141414Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
ApplicationServers
SAN InselAbteilung #2
Abteilung#3VSAN
Erweiterte Security mitCollapsed Fabric
Erweiterte Security mitCollapsed Fabric
Cisco MDS 9000 Family
SAN InselAbteilung #3
SAN InselAbteilung #1
DiskArrays
Applikation/Abteilungbasierte SAN Inseln
Abteilung#2VSAN
Abteilung#2VSAN
Abteilung #1VSAN
GemeinsamerStorage Pool für
alle VSANs
Fabric Access Security:Virtual SANs (VSANs)
14
Industry Industry FirstFirst
Separate physische FabricsUngenutzte Ports pro SAN Insel
Hohe Anzahl von Switches
Separate physische FabricsUngenutzte Ports pro SAN Insel
Hohe Anzahl von Switches
• Konsequente VSAN Isolation, Service Partitioning und Frame Tagging
• Fabric-Probleme oder fehler bleiben im VSAN
• Roles Based Access Control per VSAN
• Standardkonform zu ANSI T11 Virtual FabricExtended Headers Standard
• Konsequente VSAN Isolation, Service Partitioning und Frame Tagging
• Fabric-Probleme oder fehler bleiben im VSAN
• Roles Based Access Control per VSAN
• Standardkonform zu ANSI T11 Virtual FabricExtended Headers Standard
Rheinlandtreffen 8. November 2006
www.decus.de 8
151515Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Port Security
• Port Securityverhindert FLOGI von Endgeräten und
anderen Switchen
Host, Storage oder Switches werdenauthentifiziert
Identifizierung anhand der WWPN
Auto Learn erspart manuelleKonfiguration
WWN 1
WWN 2 WWN 3
Port X -> WWN 1Port Y -> WWN 2Port Z -> WWN 3
WWN 4
161616Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Fabric Access Security:Port Security
• Verhindert unerlaubten Zugriff auf Switchportsbindet WWN(s) auf einen oder mehrere Ports.
• verhindert FC frame S_ID Spoofing - durch Hardware Frame Filtering
• Einsetzbar für Device-to-Switch and Switch-to-Switch Port Security
• Kann pro VSAN eingestzt werden• Alle unerlaubten Login Versuche werden dem SAN
Administrator gemeldet• Auto Learn ermöglicht einfache
Konfiguration beierstmaligem Einsatz
• Verhindert unerlaubten Zugriff auf Switchportsbindet WWN(s) auf einen oder mehrere Ports.
• verhindert FC frame S_ID Spoofing - durch Hardware Frame Filtering
• Einsetzbar für Device-to-Switch and Switch-to-Switch Port Security
• Kann pro VSAN eingestzt werden• Alle unerlaubten Login Versuche werden dem SAN
Administrator gemeldet• Auto Learn ermöglicht einfache
Konfiguration beierstmaligem Einsatz
Rheinlandtreffen 8. November 2006
www.decus.de 9
171717Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Nichtauthorisierte
Hosts und Switche
Fabric Access Security:FC Security Protocol (FC-SP)
17
Storage Subsysteme
RADIUS TACACS+ Server
Trusted Hosts
FC-SP
(DH-CHAP)
FC-SP
(DH-CHAP)
• Working Group of INCITS T11.3 Committee – Cisco, EMC, Veritas, QlogicKey Contributers
• FC-SP ermöglicht Authentication
– Switch to Switch
– Switch to Device
– Device to Device
• Verschlüsselung auf Frame Level
• Konsistente & sichere Policy Verteilunginnerhalb der Fabric
• Schützt gegen:– Imitationsatacken von “Rogue Devices”
– Verkabelungsfehler
– Snooping
– Hijacking
181818Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18
TARGET ACCESS SECURITY
Rheinlandtreffen 8. November 2006
www.decus.de 10
191919Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
FC FC
Fabric Access Security: FC Zoning
FC
FC
FC
FC
FC
FC FabricZone A
Zone B
Zone C
DefaultZone
Zoning ermöglicht Abgrenzungen – z.B.. OS, Abteilung, Applikation etc.
202020Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Fabric Access Security:Soft Zoning und Hard Zoning
• Soft ZoningDie Fabric vergibt Informationen nur an Zonen-Mitglieder
Anrufernummergesperrt ????
• Hard ZoningDie Fabric verhindert böswilligen oder zufälligen Zugriff auf Mitgliederanderer Zonen
Hardware-Enforced, Per-Frame ACLs
MDS unterstützt 2,000 Zones und 20,000 Members
Rheinlandtreffen 8. November 2006
www.decus.de 11
212121Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Fabric Access Security: FC LUN und Read-Only Zoning
FC Fabric
Zone DLUN Zone B
LUN Zone CFC
FC
FC LUN Zone A
LUN Zoning• LUNs hinter einer WWN in unterschiedlichen
Zonen• Gesicherter Zugriff auf LUN Ebene mit
Hardware Enforcement
Read-Only Zoning• MDS ermöglicht Read-Only Zone in Hardware• Filtert Frames gem. Read/Write Command• Reduziert Sicherheitsrisiken für Hosts, die nur
Lesezugriff benötigen.
222222Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22
IP STORAGE ACCESS
Rheinlandtreffen 8. November 2006
www.decus.de 12
232323Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Sicherer IP Storage:SCSI over IP (iSCSI)
23
iSCSI Initiators (Hosts)
• iSCSI Host/Switch Authentication über CHAP ( LokaleSwitch Datenbank, RADIUS or TACACS+)
• IETF’s IPSec Verschlüsselung (3DES or AES) Data Integrität (verhindert das verändern und”mithören” von Daten währen der Übertragung)
• Cisco MDS bietet alle Security Features, die vom IETF ‘Securing Block Storage Protocols over IP’ Standard gefordert sind.
Zentale (Data Center) IP Host
IP
iSCSI mitIPsec
FC Targets
• Nach erfolgreichem Login erweiterete Sicherheit durch FC Zoning, VSANs, LUN Masking etc. Authorisation
• MSModul bietet FC Targets as iSCSI Targets an
• MSModul bietet iSCSI Targets und FC Initiators an
242424Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Securing IP Storage:FC over IP (FCIP)
24
• Remote Replication und SAN (ISL-) Verbindungen über IP Netze
• FCIP Tunnel = Virtual ISL – erlaubt alle bestehenden FC Fabric Security Mechanismen
– FC Port Security
– FC-Based FC-SP DH-CHAP Switch-to-Switch Authentication
• Cisco MDS 9216i und MSM(14+2 Card) unterstützt IPsec in Hardware = High Performance
Zentrale/Produktion
(Data Center)Außenstelle/Backup(Data Center)
FCIP mit IPsec
IP WAN
Rheinlandtreffen 8. November 2006
www.decus.de 13
252525Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25
Datenintegrität
262626Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Securing Data at Rest:Hauptanwendungen
• Schützt sensitive Daten vor IT Personal• Tape Security• Disaster Recovery• Replica Protection• Outsource/ASP Services
• Schützt sensitive Daten vor IT Personal• Tape Security• Disaster Recovery• Replica Protection• Outsource/ASP Services
Rheinlandtreffen 8. November 2006
www.decus.de 14
272727Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Securing Data at Rest:Joint Cisco/Decru Solution
Cisco & Decru bieten:• geminsame Security
Lösung auf Basis von Veschlüsselungs-technologien
• Getestete und Zertifizierte, Appliance basierte Architekture
• Schützt gespeicherteData in SAN, NAS und auf Tape
Cisco & Decru bieten:• geminsame Security
Lösung auf Basis von Veschlüsselungs-technologien
• Getestete und Zertifizierte, Appliance basierte Architekture
• Schützt gespeicherteData in SAN, NAS und auf Tape
282828Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28
Zusammenfassung
Rheinlandtreffen 8. November 2006
www.decus.de 15
292929Presentation_ID © 2004 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Zusammenfassung
• Storage Networking Security ist ein Teil derDatacenter Security und der Cisco Self Defending Network Strategie
• Mit der Ausdehneung von SANs über das Datcenter hinaus, gewinnt das Thema SAN Security an Bedeutung
• Cisco bietet umfassende Security Features in derMDS 9000 Familie
– Data Path Features Hardware-basiert– MDS Familie bietet Advanced Security (keine Performance-
Einschränkungen))– Standards basierend
• Storage Networking Security ist ein Teil derDatacenter Security und der Cisco Self Defending Network Strategie
• Mit der Ausdehneung von SANs über das Datcenter hinaus, gewinnt das Thema SAN Security an Bedeutung
• Cisco bietet umfassende Security Features in derMDS 9000 Familie
– Data Path Features Hardware-basiert– MDS Familie bietet Advanced Security (keine Performance-
Einschränkungen))– Standards basierend
