MODULE 14aad.tpu.ru/practice/EMC/Module 14 adapt.pdf · 2015. 5. 26. · Управление корпоративной информацией (Enterprise Content Management ) приложений

EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.

MODULE – 14

БЕЗОПАСНОСТЬ

ИНФРАСТРУКТУРЫ

ХРАНЕНИЯ - SECURING THE STORAGE INFRASTRUCTURE

Module 14: Securing the Storage Infrastructure 1


После завершения этого модуля, вы должны быть в состоянии :

• Описывать основы информационной безопасности

• Объяснять различные области безопасности хранения

• Обсуждать реализации безопасности в SAN, NAS, иIP SAN

• Объяснять безопасность в виртуализированных и облачных средах


Module 14: Безопасность инфраструктуры

хранения


Module 14: Безопасность

инфраструктуры хранения

Во время этого занятия рассматриваются следующие темы :

• Построение структуры информационной безопасности

• Триада рисков

• Элементы защиты

• Контроль безопасности

Занятие1: Структура информационной безопасности



Безопасность хранения • Процесс применения принципов информационной

безопасности и практики в области технологий сетевого хранения данных

• Безопасность хранения фокусируется на безопасности доступа к информации с применением защитных мер или элементов управления

• Безопасность хранения начинается с построения ‘структуры информационной безопасности’

Storage

Security

Networking

Information

4 Module 14: Securing the Storage Infrastructure


Структура информационной безопасности

• Систематический способ определения требований безопасности

• Структура должна включать в себя:

Ожидаемые атаки на систему безопасности

Действия, которые могут нарушить безопасность информации

Меры безопасности

Управление, предназначенное для защиты от этих атак

• Структура безопасности строится на достижение четырех целей безопасности:

Конфиденциальность (Confidentiality)

Целостность (Integrity)

Доступность (Availability)

Подотчетность(Accountability)

• Инфраструктура безопасности начинается с понимания риска



Триада рисков

• Определяет риск в терминах угрозы, активов и уязвимости


Риск Угрозы

Уязвимости

Активы

Триада риска

Жел

ани

е п

ол

учи

ть д

оступ и

/ил

и и

зме

ни

ть

Агент угрозы

Угроза

Уязвимость

Актив

Риск Владелец

Приводит

Который использует

Приводящую к

To

Контрмеры Вызывает

Для сокращения

Ценность


Активы

• “Информация” наиболее важный актив организации

Прочие активы включают в себя оборудование, программное обеспечение и сетевую инфраструктуру

• Защита активов является основной заботой

• Вопросы безопасности

Должны обеспечить легкий доступ к активам для авторизованных пользователей

Стоимость безопасности активов должна быть частью стоимости активов

Затрудняет для потенциальных злоумышленникам получить доступ и поставить под угрозу активы

Следует повысить стоимость для потенциального злоумышленника в денежном выражении, усилиях и времени



Угрозы

• Потенциальные атаки, которые могут быть проведены на ИТ-инфраструктуру

• Атаки могут быть классифицированы на пассивные и активные

Пассивные атаки

Попытка получить неавторизованный доступ в систему

Попытка, представляющая угрозу для конфиденциальности информации

Активные атаки

Попытки изменить данные, отказ в обслуживании(DoS), и отказ доступа к информации

Попытка угрозы целостности данных, доступности и подотчетности




• Пути, которые обеспечивают доступ к информации, являются уязвимыми для потенциальных атак

• Требует реализации «глубокой защиты»

• Факторы, которые следует учитывать, при оценке степени уязвимости среды: Область атаки - Attack surface

Вектора атаки - attack vector

Показатель трудозатрат - work factorare

• Управление уязвимостями Минимизация области атаки и максимизация показателя

трудозатрат

Установка мероприятий (или контрмеры)




• Пути, которые обеспечивают доступ к информации, являются уязвимыми для потенциальных атак

• Требует реализации «глубокой защиты»

• Факторы, которые следует учитывать, при оценке степени уязвимости среды: Область атаки

Вектора атаки

Показатель трудозатрат

• Управление уязвимостями Минимизация области атаки и максимизация показателя

трудозатрат

Установка мероприятий (или контрмеры)




• Уменьшает воздействие уязвимостей

• Любые мероприятия должны задействовать все три аспекта инфраструктуры

Люди, процессы и технологии

• Мероприятия могут быть технические или нетехнические

Технические: антивирус, брандмауэры и системы обнаружения вторжений

Нетехнические: административные политики и физический контроль

• Мероприятия классифицируется на:

Профилактические

Исправительные - корректирующие

Расследование - детективные




• Уменьшает воздействие уязвимостей

• Любые мероприятия должны задействовать все три аспекта инфраструктуры

Люди, процессы и технологии

• Мероприятия могут быть технические или нетехнические

Технические: антивирус, брандмауэры и системы обнаружения вторжений

Нетехнические: административные политики и физический контроль

• Мероприятия классифицируется на:

Профилактические

Исправительные - корректирующие

Расследование - детективные




• Области безопасности системы хранения

• Угрозы безопасности в каждой области

• Применяемые мероприятия для снижения риска в каждой области

Lesson 2: Области безопасности хранения





Области безопасности системы хранения

Внешняя память

Резервирование,

восстановление и

архивация Доступ к

приложению

Хранилище данных

Доступ к

управлению

Сеть

хранения



Области безопасности хранения

• Подключение устройства к сети повышает уровень риска и более подвержены угрозам безопасности по сетям.

Устройства хранения данных стали в значительной степени подвергаться угрозам безопасности из различных источников.

Конкретные меры контроля должны быть реализованы для обеспечения среды сетей хранения.

Мы должны понимать, пути доступа, ведущие в хранилище ресурсов.

Пути доступа к хранению данных можно разделить на три области безопасности :

Доступ к приложению,

Доступ к управлению,

резервное копирование, репликации и архивирование.



Области безопасности хранения (продолжение)

• Подключение устройства к сети …

Пути доступа

Если конкретный путь является неавторизованным и должен быть запрещен на техническом уровне, убедитесь, что эти элементы управления не будет нарушены

Компоненты хранилища

Если каждый компонент в сети хранения данных считается потенциальной точкой доступа, область атаки на все эти точки доступа должны быть проанализированы с целью выявления соответствующих уязвимостей.



Области безопасности хранения (продолжение)

• Три области безопасности среды системы хранения.

Доступ к приложению для сохраненных данных через сеть хранения данных.

Доступ к управлению хранилища и соединительным устройствам и к данным, хранящимся на этих устройствах.

Эта область в первую очередь доступна администраторам хранилища, которые конфигурируют и управляют средой.

Доступ к резервному копированию, репликации и к архивам.

Наряду с точками доступа в эту область, среда резервного копирования также должны быть защищены.



Домены безопасности хранения (продолжение)

• Для защиты среды сетей хранения данных,

определить существующие угрозы внутри каждой из областей безопасности и

классифицировать угрозы на основе вида безопасности услуг:

доступность,

конфиденциальность,

целостность, и

утчетность.

• Следующий шаг состоит в выборе и реализации различных элементов управления в качестве контрмер на угрозы.



Безопасность области доступа к приложению:

• Защита данных и доступа к данным

Общие угрозы Доступный контроль Примеры

• Подмена идентичности

пользователя или хоста

• Повышение привилегий

• Неумелое обращение с

данными при передаче и

в состоянии покоя

• Перехват сетевых

пакетов

• Отказ в обслуживании

• Кражи носителей данных

• Строгая

аутентификация

пользователя и хоста

и авторизации

• Контроль доступа к

объектам хранения

• Шифрование данных

• Шифрование сети

хранения данных

• Многофакторная


• RBAC, DH-CHAP

• Зонирование,

маскирование LUN

• Шифрование

хранилища

• IP-Sec, FC security

protocol

• Антивирус

• Контроль

физического доступа

в ЦОД



Безопасность области доступа к приложению:

• Защита данных и доступа к данным

Общие угрозы Доступный контроль Примеры

• Подмена идентичности

пользователя или хоста

• Повышение привилегий

• Неумелое обращение с

данными при передаче и

в состоянии покоя

• Перехват сетевых

пакетов

• Отказ в обслуживании

• Кражи носителей данных

• Строгая


пользователя и хоста

и авторизации

• Контроль доступа к

объектам хранения

• Шифрование данных

• Шифрование сети


• Многофакторная


• RBAC, DH-CHAP

• Зонирование,

маскирование LUN

• Шифрование

хранилища

• IP-Sec, FC security

protocol

• Антивирус

• Контроль

физического доступа

в ЦОД



Безопасность области доступа к приложениям

• Контроль доступа пользователей.

Мы должны устранить угрозы подмены личности пользователя и повышения их привилегий.

Обе эти угрозы воздействуют на целостность данных и конфиденциальность.

Следующие механизмы контроля доступа к приложениям используются в области доступа к приложениям:

Аутентификация пользователя и хоста (технический контроль)

Авторизация (административный контроль).



Безопасность области доступа к приложению

• Контроль доступа пользователей …

Эти механизмы часто находятся за пределами границ сети хранения данных и требуют различных систем для соединения с другими корпоративными системами управления идентификационными данными и систем аутентификации.

Устройства NAS поддерживают создание списков контроля доступа, регулирующими доступ пользователей к определенным файлам.

Управление корпоративной информацией (Enterprise Content Management ) приложений обеспечивает доступ к данным с помощью управления правами доступа к данным (Information Rights Management - IRM), которая определяет, какие пользователи имеют право на документ.




• Ограничение доступа на уровне хоста начинается с аутентификации узла, когда он пытается подключиться к сети.

Различные сетевые технологии хранения, такие как iSCSI, FC, и хранение на основе IP (IP-based storage), используют различные механизмы аутентификации, такие как:

Challenge-Handshake Authentication Protocol (CHAP),

Fibre Channel Security Protocol (FC-SP), и

IPSec, соответственно, для аутентификации доступа хоста.




• После того как хост был аутентифицирован,

Следующим шагом является определение контроля безопасности хранения ресурсов, таких как порты, тома или пулы хранения, доступ для которых авторизован хосту

Zoning является механизмом контроля коммутаторы, которые сегментируют сеть на определенные пути , используемые для передачи данных;

LUN masking определяет какие хосты могут иметь доступ к каким устройствам хранения.



Безопасность области управления доступом

• Включает в себя защиту административного доступа и управление инфраструктурой

• Общие угрозы

Подмена идентификатора администратора

Повышение привилегий администратора

Слежка сетями и DoS

• Доступные средства контроля

Аутентификация, авторизация и контроля управления доступом

Частная сеть управления

Отключение ненужных служб сети

Шифрование трафика управления



Безопасность области управления доступом

• Включает в себя защиту административного доступа и управление инфраструктурой


Подмена идентификатора администратора

Повышение привилегий администратора

Слежка сетями и DoS

• Доступные средства контроля

Аутентификация, авторизация и контроля управления доступом

Частная сеть управления

Отключение ненужных служб сети

Шифрование трафика управления



Безопасность в области резервного копирования,

репликации и архивирования

• Включает в себя защиту инфраструктуры резервного копирования, репликации и архивирования


Подмена disaster recovery (DR ) идентификатора сайта

Неумелое обращение с данными при передаче и в состоянии покоя

Перехват сетевых пакетов

• Возможные средства контроля

Контроль доступа – первичной и вторичной памяти

Шифрование резервных данных

Шифрования сети репликации




• Реализации безопасности SAN

• Реализации безопасности NAS

• Реализации безопасности IP SAN

Lesson 3: Реализация безопасности в сетях хранения



инфраструктуры системы хранения


Реализации безопасности в SAN

• Общий механизм безопасности SAN состоит:

Зонирование и маскирование LUN (masking and zoning)

Безопасность портов коммутатора FC

Контроль доступа Switch-wide и fabric-wide

Логическое разделение фабрики (fabric): VSAN



Безопасность портов FC коммутатора

• Связывание портов

Ограничивает устройства, которые можно присоединяться к определенному порту коммутатора

Позволяет только соответствующему порту коммутатора подключаться к узлу для доступа фабрики

• Блокировка и разблокировка портов (lockdown и lockout)

Ограничивает тип инициализации портов коммутатора

• Постоянное отключение порта

Предотвращает порт коммутатора от включения даже после перезагрузки коммутатора



Контроль доступа Switch-wide и Fabric-wide • Списки контроля доступа (access control lists - ACLs)

Включает управление политиками соединения устройств и соединения коммутаторов

Политика управления подключением устройств определяет какие адаптеры HBA, порты хранилищ могут подключаться к определенному коммутатору

Политика управления подключением коммутатора предотвращает неавторизованное подключение коммутаторов к определенным коммутаторам

• Связывание Fabric

Предотвращает неавторизованное подключение коммутаторов от присоединения фабрике

• Контроль доступа на основе ролей Role-based access control (RBAC)

Позволяет назначение ролей пользователям, которым явно назначены права доступа



• Позволяет создавать несколько логических SAN на базе общей физической SAN

• События фабрики в одной VSAN не распространяются на другие

• Зонирование должны быть настроены для каждой VSAN

Логическое разделение фабрики: VSAN

VSAN 20 HR

VSAN 10 Engineering

Storage Array

Storage Array

Hosts Hosts

Host

FC Switch

FC Switch



Архитектура безопасности SAN : Обороны в

глубину (Defense-in-Depth)

Security Zone D Host - Switch

Security Zone G Switch - Storage

WAN

Security Zone F Distance Extension

LAN

Security Zone C Access Control - Switch

Firewall

Security Zone B

Security Zone E

Switch - Switch/Router

Security Zone A Administrator



Архитектура безопасности SAN : Обороны в

глубину (Defense-in-Depth)

Security Zone D Host - Switch

Security Zone G Switch - Storage

WAN

Security Zone F Distance Extension

LAN

Security Zone C Access Control - Switch

Firewall

Security Zone B

Security Zone E

Switch - Switch/Router

Security Zone A Administrator



Реализации безопасности в NAS

• Разрешения и ACLs

Защита ресурсов NAS путем ограничения доступа

• Другие механизмы аутентификации и авторизации

Kerberos и сервисы Directory

Реализуется для проверки личности пользователей сети и определения их прав

Firewalls

Для защиты инфраструктуры хранения данных от несанкционированного доступа и вредоносных атак



Общий доступ к файлам NAS : Windows ACL

• Типы ACLs

Дискреционные списки контроля доступа (DACL)

Обычно называется ACL и используется для определения контроля доступа

Системные списки контроля доступа (SACL)

Определяет какие потребности доступа, подлежащих аудиту если включен аудит

• Владелец объекта

Владелец объекта имеет строго заданные разрешения на этот объект

Дочерние объекты родительского объекта автоматически наследует ACL из родительского объекта

• Идентификаторы безопасности - Security identifiers (SIDs)

SIDs уникально идентифицирует пользователя или группу пользователей

ACLs используют SIDs для контроля доступа к объектам 36 Module 14: Securing the Storage Infrastructure


Общий доступ к файлам NAS :разрешения UNIX

• Разрешения UNIX определяют что может быть сделано с файлом и кем Общие разрешения: Read/Write/Execute

• Каждый файл и подкаталог (фолдер) имеет три отношения собственности: Права собственника файла

Права для группы, которой он принадлежит

Права для всех других пользователей


rwxr-xr-х “d"

"l"


Аутентификация и авторизация

Windows Authentication

Windows Domain Controller/ Active Directory

UNIX Authentication

NIS Server

UNIX object -rwxrwxrwx

Windows object ACL

SID abc deny write SID xyz allow write

Authorization

User SID - abc

UNIX Client

Windows Client

User root

NAS Device

Validate permissions with NIS or

Domain Controller



Kerberos – Сетевой протокол аутентификации

• Использует шифрование с секретным ключом

• Клиент может доказать свою идентичность серверу (и наоборот) через незащищенное сетевое соединение

• Клиент Kerberos

Сущность, которая получает билет обслуживания для службы Kerberos

• Сервер Kerberos

Обращается к Центр распределения ключей Key Distribution Center (KDC)

Реализует обслуживание аутентификации (Authentication Service - AS) и сервис выдачи билетов (Ticket Granting Service - TGS)



Аутентификация Kerberos

Windows Client

KDC

ID Proof (1)

TGT + Server name (3) TGT (2)

KerbC (KerbS TKT) (5)

Active

Directory

(4)

NAS Device

Keytab (7)



Брандмауэры сетевого уровня Network Layer Firewalls) • Firewalls реализуются в среде NAS

Для защиты от угроз безопасности в IP-сети

Для проверки сетевых пакетов и сравнения их с набором настроенных правил безопасности

Пакеты, которые не авторизуются правилами безопасности, отбрасываются

• Демилитаризованная зона (Demilitarized Zone - DMZ)

Для обеспечения безопасности внутренних активов при разрешенном интернет-доступе к различным ресурсам

Internal Network

Сервер приложений

Демилитаризованная зона(DMZ)

External Network



Реализации безопасности в IP SAN: CHAP

• Challenge-Handshake Authentication Protocol (CHAP)

Предоставляет для инициаторов и конечных объектов метод аутентификации друг друга, используя секретный код

Initiator

Host

Target

iSCSI

Storage Array

1. Инициирует login в target

2. CHAP вызов отправляется в initiator

3. Принимает общий секрет и вычисляет величину с использованием односторонней хэш-функции

4. Возвращает значение хэш-функции в target

5. Вычисляет ожидаемое значение хэш –функции от общего секрета и сравнивает значение полученное от initiator

6. Если значения совпадают, аутентификация признается



Безопасность IPSAN с доменами Discovery iSNS

Management Platform

Host A

Host B Host C

Device A

Device B iSNS может быть частью

сети или станцией управления

Два

Discovery

Домена

IP SAN




• Проблемы безопасности

• Мероприятия безопасности

Lesson 4: Безопасность в виртуальных и облачных средах





Безопасность в виртуальных и облачных средах

• Эти среды имеют дополнительные угрозы из-за мультиарендности и недостаточно контроля над ресурсами облака

• Виртуализация конкретных проблем в области безопасности являются заботой для всех облачных моделей

• В публичных облаках существуют дополнительные проблемы безопасности, которые требуют конкретных контрмер

Клиенты имеют меньше контроля для обеспечения соблюдения мер безопасности в общественных облаках

Имеются трудности для потребителей и провайдеров облачных услуг (cloud service providers - CSP) для удовлетворения потребностей в области безопасности всех клиентов



Проблемы безопасности

• Мультиарендность

Позволяет нескольким независимым арендаторам обслуживаться с использованием того же набора ресурсов хранения

Совместное размещение нескольких виртуальных машин на одном сервере и совместное использование ресурсов увеличивают возможности атак

• Скорость атаки

Любые существующие угрозы безопасности в облаке распространяется быстрее и имеет большее влияние, чем в традиционных центров обработки данных

• Data privacy Обеспечение информации и конфиденциальности данных (Personally Identifiable Information - PII юридически защищены от разглашения)

• Information assurance - конфиденциальность, целостность и доступность данных в облаке




• Обеспечение безопасности вычислений

Безопасность физического сервера, VMs и гипервизора

• Обеспечение сетевой безопасности

Виртуальный брандмауэр

Обеспечивает фильтрацию пакетов и мониторинга трафика VM-на-VM

DMZ и шифрование данных

• Обеспечение безопасности хранения

Контроль доступа и шифрования данных

Использовать отдельные LUN для файлов конфигураций VM и данных VM

Отделять трафик VM от трафика управления



• Продукты безопасности RSA

• VMware vShield

Концепции на практике


Module 14: Обеспечение

безопасности инфраструктуры



Продукты безопасности RSA

• RSA SecureID

Обеспечивает двухфакторную аутентификацию

Основывается на чем-либо, что пользователь знает (пароль или PIN-код) и что имеется у пользователя (устройство аутентификации)

Устройство аутентификации автоматически меняет пароли каждые 60 секунд

• RSA Identity и Access Management

Обеспечивает идентичность, безопасность и контроль доступа для управления в физических, виртуальных и облачных средах

• RSA Data Protection Manager

Позволяет развертывание шифрования, токенизацию, а также корпоративное управление ключами



VMware vShield

• Семейство VMware vShield включает три продукта

vShield App

Решение брандмауэра на основе гипервизора по защите конкретных приложений

Наблюдает за сетевой активностью между виртуальными машинами

vShield Edge

Обеспечивает комплексную защиту периметра сети

Развернутое в виде виртуального устройства и служит в качестве шлюза безопасности сети для всех хостов

Предоставляет множество услуг, включая межсетевой экран, VPN и DHCP

vShield Endpoint

Состоит из усиленной специальной VM безопасности с антивирусным программным обеспечением стороннего производителя



Module 14: Резюме

Основные вопросы, затронутые в этом модуле :

• Структура информационной безопасности

• Области безопасности хранения

• Средства управления, которые могут быть развернуты в отношении выявленных угроз в каждой области

• Архитектура безопасности SAN

• Механизмы защиты в средах SAN, NAS и IP SAN environments

• Безопасность в виртуализированных и облачных средах



Проверьте ваши знания – 1

• Какая атака предполагает выполнения действия и устранения доказательств, которые могли доказать идентичность атакующего?

A. Отказ в обслуживании -Denial of service

B. Подслушивание - Eavesdropping

C. Отречение - Repudiation

D. Перехват - Snooping

• Какова роль Active Directory в аутентификации Kerberos?

A. Реализует сервис аутентификации и билет предоставления услуги

B. Проверяет идентификатор сессии, когда устанавливается клиент-серверная сессия

C. Проверяет информацию пользователя для входа

D. Поддерживает ключ безопасности для серверов




• Как уязвимость может быть уменьшена в ИТ-среде?

A. Максимизируя область атаки и минимизируя фактор трудозатрат

B. Минимизируя область атаки и максимизируя фактор трудозатрат

C. Максимизируя как область атаки так и фактор трудозатрат

D. Минимизируя как область атаки так и фактор трудозатрат

• Какой механизм безопасности SAN предотвращает доступность порта коммутатора от того включен даже после перезагрузки коммутатора?

A. Блокировка порта - Port lockdown

B. Постоянное отключение порта - Persistent port disable

C. Связывание порта - Port binding

D. Зонирование порта - Port zoning




• Какой механизм безопасности гарантирует, что порт может быть инициализирован только с определенным типом порта?

A. Блокировка порта - Port lockdown

B. Постоянное отключение порта - Persistent port disable

C. Связывание порта - Port binding

D. Зонирование порта - Port zoning


Documents

MODULE 14aad.tpu.ru/practice/EMC/Module 14 adapt.pdf · 2015. 5. 26. · Управление корпоративной информацией (Enterprise Content Management ) приложений