IT-Symposium 2005

www.decus.de 1

Storage Security IT- Sicherheit von innen nach außen

Klaus KupferTechnical Manager Central Europekkupfer@decru.com

Agenda

• Warum Speichersicherheit• Bedrohungen für Speichernetzwerke• Decru Lösung

– NAS– SAN & Tape– Datenbanken– DCS

• Lifetime Key Management• Zusammenfassung• Über Decru

IT-Symposium 2005

www.decus.de 2

Wachsende Anforderung fürSpeichersicherheit

• Unternehmen speichern Terabytes von sensiblen Daten in Speichernetzwerken

• Information Lifecycle Management• Disaster Recovery• Replikation• Heutige Sicherheitsmodelle fokussieren rein

auf die Perimeterabsicherung– Daten innerhalb des Unternehmens werden nicht

betrachtet• Data in transit vs. data at rest

Gängige IT Strategien vergrößern dasRisiko

IT-Symposium 2005

www.decus.de 3

Der traditionelle Security Ansatz:Schutz des Storage Netzwerks vor externenl Angriffen

50-80% aller Attacken haben ihrenUrsprung innerhalb der Firewall Quelle: IDC and KPMG

•67% aller Unter-nehmen meldeteninterne Sicherheits-verletzungen inner-halb der letzten 12 Monate•DurchschnittlicherSchaden jederVerletzung war $2.7 million

Quelle: FBI/Computer Security Institute

IT-Symposium 2005

www.decus.de 4

Storage in GefahrKonsolidierung & Replikation gefährden Terabyte• Feb 2003 – Visa, Amex, Mastercard

– Hacker hackt 8 Millionen Kreditkarten Konten• Jan 2004 – MTC

– Kundendatenbank von Russlands größtemMobilfunk Anbieter gestohlen

• Feb, Mai 2004 – Microsoft and Cisco– Source Code gestohlen

• 2004 – Yahoo– Daten von 4,5 Mil. Kunden gestohlen– Folgekosten $22 Mil. für

Kundenentschädigung– Geschätzte $338 Mil. um verlorene Kunden

zurückzugewinnen ($75/Kunde)• Juli 2004 – Los Alamos Nuclear Lab

– Zwei Festplatten aus dem Labor werdenvermisst. Aus diesem Grund muss die ganzeAnlage abgeschaltet werden.

• Sept 2004 – Klage auf $50 Mil. – Helpdesk Angestellter stahl zehn-

tausende Kundendaten von Kreditdatenbank

Februar, 2005Bank of America “verlegt”

Bänder mit Kontodatenihrer Kunden u.a. US-

Senatoren

Bedrohungen für Datenspeicher

CLIENTS/HOSTS

NAS

SANTape

Disk Diebstahl/Service/

EntsorgungAdmin Angriff

Band Verlust/ Diebstahl

FIREWALL

Storage AdminZugriff

ZoningÄnderungen

SysAdminZugriff

WWN Spoofing,Viruses, Worms,

Hacker Tools

Host/UID Spoofing

FabricAngriff

Network Sniffing

VPN/Partner Zugang

PRIMARYSTORAGE TAPE

FC SWITCH

NAS APPLIANCE/FILE SERVER

DirectoryAttack

Traditionelle Perimeterabsicherung bietet wenig Schutz für die gespeicherten Daten

SECONDARYSTORAGE

IT-Symposium 2005

www.decus.de 5

KundenDaten

KundenDaten

Wer hat Zugriff auf vertrauliche Daten?

Geschäfts-berichte

Geschäfts-berichte

Personal-daten

Personal-daten

JuristischeDokumente

JuristischeDokumente

CEO

GeneralCounsel

CFO

NetzwerkAdministrator

SystemAdministrator

BackupAdministrator

StorageAdministrator

Outsourcer

DR StorageAdministrator

TapeKurier

Service

Storage

Rollen Aufteilung

Tape Backup

Clients/Hosts

StorageMirrored Sites/

Disaster Recovery

Kontrolliert vom Netzwerk-Administrator

VollzugriffOutsourcer

VollzugriffStorage Admin

Encryption + Zugriffskontrollenverhindern

client/host Attacken

Storage Admin kann Daten verwalten

aber nicht lesen

Outsourcer könnenDaten nicht lesen

EncryptionAccess Controls

WAN

Verwaltet vomSecurity Officer

IT-Symposium 2005

www.decus.de 6

Decru Lösung

Rating: DeployTop 10 lab score: 8.4/10Security: 10/10

Decru DataFort™Storage Security Appliances

Top 10 Products of 2004

• Zentrale Funktionalitäten der Decru Lösung:– Authentifizierung– Datenabsicherung (Verschlüsselung)– Auditing

• Einheitliche Sicherheitsplattform für alle SpeicherUmgebungen

• Schützt vertrauliche Daten vor internen und externen Bedrohungen

• Rollen Separierung– Separiert den Datennutzer vom

Datenadministrator• Erhöht Nutzung vorhandener Infrastruktur• Macht die Daten sicher, nicht die Infrastruktur• Hilft bei der Einhaltung gesetzlicher und sonstiger

Regelungen– Versicherung, dass Bedienerfehler, nicht authorisierter

Adminstrator Zugriff oder böswillige Attacken die Sicherheit der Daten nicht beeinträchtigt

• Kompatibilitätstest mit allen führenden Storage, Switch und OS Plattformen

– Transparente Integration in bestehende Umgebungen

IT-Symposium 2005

www.decus.de 7

Decru DataFort™Einheitliche Plattform für Storage Security

YesYesYesFIPS 140-2 L3

1U, 2U1U, 2U1U, 2UChassis

2Gb FC2Gb FCGigEInterconnect

Web, CLIWeb, CLIWeb, CLIAdministration

LKMLKMLKMKey Mgmt

DCS, DHA,Port Locking

DCS, DHA,Port Locking

DCS, IPsec, SSL, Kerberos

Auth/ACL

AES-256AES-256AES-256Encryption

SEPSEPSEPCrypto HW

T-Series(Tape)

FC-Series(SAN, Tape)

E-Series(NAS, DAS)

DataFort Features• Starke AES-256 Verschlüsselung:

– Robust, volle FC bzw. GbE Geschwindigkeit, Verschlüsselung in Hardware. Einheitliche Infrastruktur für NAS, SAN iSCSI und Tape

• Mandantenfähigkeit: – Cryptainer™ Einheiten erlauben die sichere Konsolidierung von Daten verschiedener Gruppen auf eine

gemeinsame Infrastruktur und verhindern den unauthorisierten Zugriff des Administrators

• Authentifizierung und ACL’s:– DataFort bietet vielfältige Optionen für eine strenge Authentifizierung und granulare ACL’s. Die Lösung

integriert sich problemlos in existierende Verzeichnisdienste

• CryptoShred™: – Alle lokalen und replizierten Kopien von Daten können auf einen Schlag gelöscht werden, indem einfach die

Keys gelöscht werden.

• Skalierbarkeit und Verfügbarkeit: – DataFort Cluster skalieren bis zu 32 Knoten und unterstützen Hochverfügbarkeits- und disastertolerante

Konfigurationen• Lifetime Key Management™ System:

– automatisiertes, zentralisiertes Key Management für Archivierung und Disaster Recovery

• Kryptographisch signierte Log Dateien:– Überwachen und dokumentieren Datenzugriff und Administrationsänderungen

• Zertifizierung:– FIPS 140-2 Level 3, Common Criteria EAL 4+

IT-Symposium 2005

www.decus.de 8

Decru E-Series

NAS Infrastruktur - LösungNAS Infrastruktur - Risiko

Active Directory

Domänen Admin Fehler / Angriff•Benutzer Password Änderung•Group Memberships

Verlust / Diebstahl von Bändern

Fileserver Fehler / Angriff•Machine Admin Vollzugriff•Backup User Vollzugriff•Support and Service•Platten / Server Verlust /Diebstahl

Keine Prozeß / Tag / ZeitAuthentifizierung

Prozeß / Tag / Zeit Schloss;Applikationssignatur

Keine nicht authorisiertenÄnderungen

Verschlüsselte Bänder können sicher ausgelagert werden

Daten liegen verschlüsselt auf Platte -• Server Admin sieht verschl. Daten• Backup User sieht verschl. Daten• Support / Service sieht verschl. Daten• keine Gefahr bei Platten / Server Verlust

AES 256 Verschlüsselung

IPsec Verschlüsselung

IT-Symposium 2005

www.decus.de 9

Decru FC/ T-Series

SAN Infrastruktur - LösungSAN Infrastruktur – Risiko

Prozess und BenutzerAbsicherung

WWN und PasswortAuthentifizierung

AES 256 Verschlüsselun

VerschlüsselteTapes sind unbrauchbar

Switch Admin Fehler / Angriff

Keine Authentifizierung auf Benutzer / Applikationsebene

Platten Diebstahl / Reparatur

Storage Admin Fehler / Angriff

Tape Diebstahl / Verlust

WWN Spoofing

Plattensystem wird per LUN verschlüsselt -• Support / Service sieht verschlüsselte Daten• keine Gefahr bei Plattenverlust / -diebstahl• Admin Fehler / Angriff enthüllt nur verschl. Daten

IT-Symposium 2005

www.decus.de 10

FC switch FC switch

Server Server

Storage Storage

Headquarters DR Site/Outsource

Clear text

Clear text

Secure DR: Multiple Copies of Data

Tape System

Data Exposed

Data Exposed

Data Exposed

Data Exposed

ClearData

SecuredCipherText

CipherTextCipher

Text

Data Secured

Data Secured

DataFort DataFort

Data Secured

WANWAN

Decru: Bandverschlüsselung

geschützter Tape Backup

FC SWITCH

ungesicherter Tape Backup

Encrypted

Encrypted

CUSTOMER SSN AMTJohn Magnus 544-89-3021 $304.31Susan Wong 522-35-1105 $91.05Ken Hernandez 670-32-1145 $21.88Alicia Sparr 435-98-0498 $209.95M.J. Satyr 594-22-9038 $76.55Dan Spencer 543-09-3451 $413.03Mary Jones 495-38-8971 $90.74Jerome White 613-98-8932 $247.11Martin Ng 339-77-9201 $20.89Fay Dunlap 784-29-6290 $401.92Takeshi Doi 544-09-3193 $29.01Sarah Fisher 432-92-7105 $142.28Ingrid Parker 595-29-7406 $102.48

CUSTOMER SSN AMTJohn Magnus 544-89-3021 $304.31Susan Wong 522-35-1105 $91.05Ken Hernandez 670-32-1145 $21.88Alicia Sparr 435-98-0498 $209.95M.J. Satyr 594-22-9038 $76.55Dan Spencer 543-09-3451 $413.03Mary Jones 495-38-8971 $90.74Jerome White 613-98-8932 $247.11Martin Ng 339-77-9201 $20.89Fay Dunlap 784-29-6290 $401.92Takeshi Doi 544-09-3193 $29.01Sarah Fisher 432-92-7105 $142.28Ingrid Parker 595-29-7406 $102.48

DYHY^C^@^@^@~]<F2>^?z<B2>0 ^N<E4>q<91><CD>xl<CB>^A^@^@^@^\<84>1 <92><F6>^Cq<89><90><CF><9C><D9>1#<F6><8E><C1><CF><86><DA>B<EB><F7>A.\<AD><CF><F0><D2>-<CA><C3><DA><8E><F1><B7>^C^L<EE><E5><9E><A4><9E>_^W<CE><AD><BB>2<95>`<D3>E^Tl<8D><A7>^<CD><93><A6>/<F5><AC><DF>s<88><87>,<F3>"=<F2>:P;<F3><B1><9F><82><97>^Q<BA><ED>o<AF><C5><DF>u"6,Q^D<A7><B9>ol<87>\8<D3><B6><8D>k<9D><A8>)9^^A^Q)<F0><FE>-<C0><FB>^LI<82><DB><E0><C8><D9>a<8E>W<BB><88>q<CC><C0>+^B^\L<FA><DA><DD><E3><A5>O^O<D7>T7<9

DYHY^C^@^@^@~]<F2>^?z<B2>0 ^N<E4>q<91><CD>xl<CB>^A^@^@^@^\<84>1 <92><F6>^Cq<89><90><CF><9C><D9>1#<F6><8E><C1><CF><86><DA>B<EB><F7>A.\<AD><CF><F0><D2>-<CA><C3><DA><8E><F1><B7>^C^L<EE><E5><9E><A4><9E>_^W<CE><AD><BB>2<95>`<D3>E^Tl<8D><A7>^<CD><93><A6>/<F5><AC><DF>s<88><87>,<F3>"=<F2>:P;<F3><B1><9F><82><97>^Q<BA><ED>o<AF><C5><DF>u"6,Q^D<A7><B9>ol<87>\8<D3><B6><8D>k<9D><A8>)9^^A^Q)<F0><FE>-<C0><FB>^LI<82><DB><E0><C8><D9>a<8E>W<BB><88>q<CC><C0>+^B^\L<FA><DA><DD><E3><A5>O^O<D7>T7<9

FC SWITCH

Cleartext

Cleartext

Decru DataFort

IT-Symposium 2005

www.decus.de 11

Decru Client Security Module

Decru Client Security Module (DCS)Powerful Endpoint Security for Servers and Desktops

DETAILS• Unterstützt NAS, DAS, SAN, Tape, iSCSI• OS support: Windows, Linux, Solaris (1H’05)

• Optionale Komponente- minimiertManagement Kosten und Betriebsrisiko

• Unterstützt 2 Gbps FC, ohne jeglichePerformance Beeinflussung

• Eng an DataFort gekoppelt; sichere HW dient als “Rettungsangker”

DCS schützt Clients and Server mit Hilfe folgender Sicherheitsfeatures:• Granulare Policy Durchsetzung: Benutzer, Administrator, Applikation, Zeit,Tag,

Cryptainer • Applikations Whitelist: Security Administrator bestimmt freigegebene

Applikationen. Alle anderen Applikationen, Viren, Würmer, DLL’s und Hacker Tools sind blockiert

• Cryptographische Authentifizierung: Applikationen sind cryptograpisch signiertund Maschinen auf denen DCS läuft authentifizieren sich am DataFort und verhindern damit spoofing

IT-Symposium 2005

www.decus.de 12

Ungesicherte ApplikationsumgebungMögliche Risiken in rot

App/DB servers FC Switches SAN Storage DR Storage

Storage Admin, Hacker, oder physikalischer Zugang

Schädliche Programme(Würmer, Viren usw.)

WAN ReplikationFabric/Switch

Attacks

WWNSpoofing

Server SysAdmin “SU” Angriff

Netzwerk,IP Adressen Änderung

DBA Angriff

Traditionelle Datenbank Sicherheit (Spalte)Sicherheits Elemente in blau

ACLs, Authentication

Verschlüsselungauf Spaltenebene

App/DB servers FC Switches SAN Storage DR StoragePros•Verschlüsselung auf Spaltenebene schütztDaten von allenBenutzern inc. dbaCons• extrem langsam(Durchsatz, Latenz)

• Änderung an Appl.,DB sind erforderlich

•Keine Server Security Optionen (gegen Viren, Sysadmin..) •Kein Index auf verschlüsselte Spalten• Vergrösserung der Datenbank•Keine Kompression beiBackup

Out-of-bandencryption appliance

Verschlüsselungauf Spaltenebene

Verschlüsselungauf Spaltenebene

Daten werden auf Spalltenebeneverschlüsselt innerhalb der DB. Integrierte HSM Prozessoren oderexterne Appliances beschleunigen die Verschlüsselung.

IT-Symposium 2005

www.decus.de 13

Decru Secure Application EnvironmentSecurity Elemente in blau

DCS

DCS

Lifetime Key Mgmt

ACLs, Auth,Tamper-evident logs

AES-256PortLocking

AES-256

DCS Whitelists,Authentifizierung,

HW Integrität, Auditing

AES-256for data in flight

App/DB servers FC Switches &DataForts

SAN Storage DR StoragePros• Volle (2 Gbps)

Performance • Skalierbare Cluster•Transparent fürOS, Appl., DB

• Keine Appl. Änder-ungen

• Blockt Sysadmin• App-level authent,

ACLs, Integrität• zentrales Key Mgmt.• volle DB Funktionalität(indexing, calc…)

• Voller DR support

Cons• nur DBA Audit

Daten werden transparent und mit vollerNetzgeschwindigkeit verschlüsselt. KeinerleiÄnderungen an der DB oder Appl. notwendig

Decru Lifetime Key Management

IT-Symposium 2005

www.decus.de 14

Lifetime Key Management™

• DataFort verschlüsselt alle Keys, bevor sie den Storage Encryption Processor verlassen

• LKM automatisiert Backup/ Recovery und Archivierung von Verschlüsselungskeys

• LKM bietet zentrales Key Management für das gesamte Unternehmen• Recovery Smart Cards werden für das Wiederherstellen oder Klonen

eines DataForts benötigt: Quorum 2/5, 2/3 oder 3/5 Smart Cards

Sichere, automatisierte Key Management Infrastruktur

Secure

LKM

Secure

Secure

Secure

NAS

SANTape

Hochverfügbarkeit fürverschlüsselte Daten

Secure

Secure

Secure

• DataFort Clustering

• DataFort Cloning

• Software Recovery

IT-Symposium 2005

www.decus.de 15

DataFort: einfaches Management

• SchnelleInstallation

• Einzelnes GUI fürCluster-management

• CLI und Web-basierendesmanagement

• Wizard hilft beiKonfiguration der Sicherheits-parameter

• Monitoring via SNMP

• Auditing, Syslog

Zusammenfassung

IT-Symposium 2005

www.decus.de 16

Bedrohung und Gegenmassnahmen

CLIENTS/HOSTS

NAS

SAN

Tape

Platten Diebstahl/Reparatur, Entsorgung

Admin Zugriff

Band Verlust,Diebstahl

FIREWALL

Storage AdminZugriff

Port AddressSpoofing

SysAdminAngriff

WWN Ausspähen,Viren, Würmer,Hacker Tools

Host/UID Ausspähen

FabricAngriff

Network Sniffing

VPN/Partner Zugang

PRIMARYSTORAGE

AES-256 Encryption,Compartmentalization

Gestaffelte Abwehr,Storage VPN,

Sicheres Key Mgmt

DCSAES-256

Verschlüsselung

Storage VPN(IPsec/SSL)

FC SWITCH

NAS APPLIANCE/FILE SERVER

DATAFORT E-SERIES

DATAFORT FC-SERIES

AES-256 Verschlüsselung,Compartmentalization

Host Authentifizierung,User/Appl. Llevel

ACLs,HW-basierende

IntegritätHost

AuthentifizierungPort Abriegelung

DirectoryAngriff

Stufenweiser ZugriffKontroller, Applikations

Signierung

DCS

DCS

TAPESECONDARY

STORAGE

About Decru

• Gegründet 2001 mit dem Ziel das Problem der Speichersicherheit zu lösen

• HQ in Kalifornien mit Niederlassungen in London, München, Berlin und Amsterdam

• Gut finanziert von namhaften Investoren: mehr als 45 m $ Kapital

– NEA, Benchmark, Greylock

• Geführt durch erfahrenes und erfolgreichesManagement Team

• Nachgewiesene Implementationen bei:– Finanzdiensleistern, Regierung, Militär und

kommerziellen Unternehmen -> weltweit “Top 10.”

“12 Hot Startups”

Nominated: “Best EnterpriseSecurity Product”

IT-Symposium 2005

www.decus.de 17

Vielen Dank